Atak cybernetyczny na ukraiński system energetyczny

Złośliwe oprogramowanie było przyczyną przerw w dostawach energii do około połowy domów w rejonie Iwano-Frankowska na Ukrainie. Przerwa spowodowana atakiem cybernetycznym trwała kilka godzin.

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!
Państwo 2.0. - 2-3 marca 2017 r.
2-3 marca 2017 r.

Państwo 2.0.

SEMAFOR 2017 - 30-31 marca 2017 r.
30-31 marca 2017 r.

SEMAFOR 2017

Nowoczesna ochrona danych — sześć zasad, którym należy poświęcić uwagę w pierwszej kolejności

Nowoczesna ochrona danych — sześć zasad, którym należy poświęcić uwagę w pierwszej kolejności

W dyskusjach na temat ochrony danych przybywa nowych idei, ponieważ wszystkie firmy starają się sprostać wymaganiom zmieniającej się rzeczywistości. Muszą zatem uwzględniać takie zagadnienia, jak olbrzymi wzrost ilości danych, migracje do chmury oraz przetwarzanie danych w dowolnym...

Bezpieczeństwo chmur publicznych z perspektywy polskich organizacji

Bezpieczeństwo chmur publicznych z perspektywy polskich organizacji

Dowiedz się jak przedstawiciele polskich organizacji oceniają bezpieczeństwo danych - czy wyżej cenią chmurę publiczną, czy własne centrum danych. Na to oraz kilkanaście innych pytań znajdziesz odpowiedź w bezpłatnym reporcie opracowanym wspólnie przez redakcję Computerworld oraz IBM...

5 strategii nowoczesnej ochrony danych

5 strategii nowoczesnej ochrony danych

Nie jest tajemnicą, że tradycyjne metody backupu i odtwarzania danych nie nadążają za niespotykanym wzrostem ich ilości, szybko postępującą konsolidacją centrów przetwarzania oraz wirtualizacją serwerów. Poniżej przedstawiono pięć strategii nowoczesnej ochrony danych, które nie...

Rozległa przerwa w dostawach energii elektrycznej, która objęła około połowy domów znajdujących się w regionie Iwano-Frankowska na Ukrainie (obszar ten zamieszkuje około półtora miliona osób) nie była spowodowana klasycznym uszkodzeniem urządzeń. Kilkugodzinną przerwę 23 grudnia 2015r. spowodował atak cyberprzestępców, którzy zablokowali pracę krytycznej infrastruktury za pomocą złośliwego oprogramowania.

Początkowo nie łączono ze sobą poszczególnych awarii, ale firma ESET na podstawie informacji telemetrycznych związanych z usługami wykrywania złośliwego oprogramowania działającymi w chmurze ustaliła, że było to skoordynowane działanie. Jego celem były różne przedsiębiorstwa z sektora energetycznego na Ukrainie, wszystkie ataki odbyły się w tym samym czasie. Terroryści wykorzystali do ataku znane od pewnego czasu złośliwe oprogramowanie BlackEnergy, które z kolei zainstalowało komponent o nazwie KillDisk, blokujący ponowny start z dysku twardego komputera.

Zobacz również:

Wirus był już znany

Złośliwe oprogramowanie z rodziny BlackEnergy było znane od kilku lat. Pierwsze dokładniejsze opracowania przedstawiono podczas konferencji Virus Bulletin w 2014r., omawiając ataki cyberszpiegowskie przeciw istotnym celom z sektora rządowego na Ukrainie. Twórcy wykorzystali różne mechanizmy infekcji, wykorzystując przy tym niesławną podatność dnia zerowego w oprogramowaniu Microsoft Powerpoint (CVE-2014-4114). Wirusa początkowo wykorzystywano do celów szpiegowskich, ale już w 2014r. badacze wykryli składnik odpowiedzialny za infekcję urządzeń automatyki przemysłowej.

W listopadzie ubiegłego roku odkryto wykorzystanie dodatkowego składnika niszczącego dyski (KillDisk), który miał za zadanie trwale unieruchomić atakowany system operacyjny. Oprogramowanie to zostało wykorzystane do ataków przeciw firmom z sektora mediów podczas ubiegłorocznych wyborów lokalnych na Ukrainie. Ten sam mechanizm został teraz wykorzystany w ataku przeciw przedsiębiorstwom z branży dystrybucji energii elektrycznej (zaatakowano kilka firm, w tym „Prikarpatja Oblenergo”).

Jak doszło do infekcji

Jak informuje ukraińskie przedsiębiorstwo zajmujące się bezpieczeństwem teleinformatycznym CyS Centrum, wektorem infekcji był dokument pakietu biurowego Microsoft Office zawierający złośliwe makra. Scenariusz ataku obejmował wysyłanie kierowanej kampanii spear phishingowej, w której ofiara otrzymywała załącznik zawierający zainfekowany plik oraz tekst zachęcający do uruchomienia makra. Po uruchomieniu makr komputer został zainfekowany koniem trojańskim BlackEnergy. Koń trojański BlackEnergy jest oprogramowaniem modułowym, który pobiera i instaluje różne komponenty przeznaczone do wypełniania zadań. Takim modułem był KillDisk, który oprócz usuwania plików i niszczenia środowiska startowego Windows, posiadał również narzędzia przeznaczone do sabotażu systemów automatyki przemysłowej. Oprogramowanie mogło odczekać wskazany czas, a następnie przerwać dwa procesy związane z modułem komunikacji przez wirtualny port szeregowy ELTIMA lub urządzenia ASEM. Jeśli wirus wykrył odpowiednie składniki, nie tylko przerywał proces, ale także nadpisywał odpowiadające mu sterowniki, by utrudnić przywrócenie systemu do działania. Istnieje także inne wyjaśnienie istnienia modułu niszczącego – koń trojański zawarty w złośliwym oprogramowaniu służył do zdalnego dostępu, a mechanizm KillDisk posłużył na końcu ataku do zacierania śladów.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.