Atak cybernetyczny na ukraiński system energetyczny

Złośliwe oprogramowanie było przyczyną przerw w dostawach energii do około połowy domów w rejonie Iwano-Frankowska na Ukrainie. Przerwa spowodowana atakiem cybernetycznym trwała kilka godzin.

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!
Zautomatyzowane rozpoznawanie i szybkie eliminowanie słabych punktów

Zautomatyzowane rozpoznawanie i szybkie eliminowanie słabych punktów

Spektakularne ataki cybernetycznie nie są już dziełem geniuszu utalentowanych hackerów. Jeśli na komputerach w przedsiębiorstwie znajdują się słabe punkty, można dokonać ataku za pomocą narzędzi dostępnych w internecie. Ta biała księga opisuje scenariusze ataków i pokazuje, jak...

Twierdza „data center”

Twierdza „data center”

Znaczenie infrastruktury teleinformatycznej dla poprawnego funkcjonowania przedsiębiorstwa, jak i jej złożoność, nakładają na administratorów wymóg stałej kontroli parametrów pracy serwerowni. Jednak samo gromadzenie informacji o zdarzeniach to nie wszystko – te dane wymagają jeszcze...

Zagrożenia z "ciemnej sieci" – raport IBM

Zagrożenia z "ciemnej sieci" – raport IBM

Jednym z największych zagrożeń współczesnego świata wirtualnego jest ransomware – oprogramowanie, które szyfruje dysk twardy użytkownika, a ponowny dostęp do jego zawartości oferuje za opłatą. Poniższa publikacja wskazuje, że ataki tego typu są obecnie niezwykle dochodową...

Rozległa przerwa w dostawach energii elektrycznej, która objęła około połowy domów znajdujących się w regionie Iwano-Frankowska na Ukrainie (obszar ten zamieszkuje około półtora miliona osób) nie była spowodowana klasycznym uszkodzeniem urządzeń. Kilkugodzinną przerwę 23 grudnia 2015r. spowodował atak cyberprzestępców, którzy zablokowali pracę krytycznej infrastruktury za pomocą złośliwego oprogramowania.

Początkowo nie łączono ze sobą poszczególnych awarii, ale firma ESET na podstawie informacji telemetrycznych związanych z usługami wykrywania złośliwego oprogramowania działającymi w chmurze ustaliła, że było to skoordynowane działanie. Jego celem były różne przedsiębiorstwa z sektora energetycznego na Ukrainie, wszystkie ataki odbyły się w tym samym czasie. Terroryści wykorzystali do ataku znane od pewnego czasu złośliwe oprogramowanie BlackEnergy, które z kolei zainstalowało komponent o nazwie KillDisk, blokujący ponowny start z dysku twardego komputera.

Zobacz również:

Wirus był już znany

Złośliwe oprogramowanie z rodziny BlackEnergy było znane od kilku lat. Pierwsze dokładniejsze opracowania przedstawiono podczas konferencji Virus Bulletin w 2014r., omawiając ataki cyberszpiegowskie przeciw istotnym celom z sektora rządowego na Ukrainie. Twórcy wykorzystali różne mechanizmy infekcji, wykorzystując przy tym niesławną podatność dnia zerowego w oprogramowaniu Microsoft Powerpoint (CVE-2014-4114). Wirusa początkowo wykorzystywano do celów szpiegowskich, ale już w 2014r. badacze wykryli składnik odpowiedzialny za infekcję urządzeń automatyki przemysłowej.

W listopadzie ubiegłego roku odkryto wykorzystanie dodatkowego składnika niszczącego dyski (KillDisk), który miał za zadanie trwale unieruchomić atakowany system operacyjny. Oprogramowanie to zostało wykorzystane do ataków przeciw firmom z sektora mediów podczas ubiegłorocznych wyborów lokalnych na Ukrainie. Ten sam mechanizm został teraz wykorzystany w ataku przeciw przedsiębiorstwom z branży dystrybucji energii elektrycznej (zaatakowano kilka firm, w tym „Prikarpatja Oblenergo”).

Jak doszło do infekcji

Jak informuje ukraińskie przedsiębiorstwo zajmujące się bezpieczeństwem teleinformatycznym CyS Centrum, wektorem infekcji był dokument pakietu biurowego Microsoft Office zawierający złośliwe makra. Scenariusz ataku obejmował wysyłanie kierowanej kampanii spear phishingowej, w której ofiara otrzymywała załącznik zawierający zainfekowany plik oraz tekst zachęcający do uruchomienia makra. Po uruchomieniu makr komputer został zainfekowany koniem trojańskim BlackEnergy. Koń trojański BlackEnergy jest oprogramowaniem modułowym, który pobiera i instaluje różne komponenty przeznaczone do wypełniania zadań. Takim modułem był KillDisk, który oprócz usuwania plików i niszczenia środowiska startowego Windows, posiadał również narzędzia przeznaczone do sabotażu systemów automatyki przemysłowej. Oprogramowanie mogło odczekać wskazany czas, a następnie przerwać dwa procesy związane z modułem komunikacji przez wirtualny port szeregowy ELTIMA lub urządzenia ASEM. Jeśli wirus wykrył odpowiednie składniki, nie tylko przerywał proces, ale także nadpisywał odpowiadające mu sterowniki, by utrudnić przywrócenie systemu do działania. Istnieje także inne wyjaśnienie istnienia modułu niszczącego – koń trojański zawarty w złośliwym oprogramowaniu służył do zdalnego dostępu, a mechanizm KillDisk posłużył na końcu ataku do zacierania śladów.

Prenumerata Computerworld Zamów teraz bezpłatnie »
Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.