23 грудня раптове відключення залишило близько половини будинків в Івано-Франківській області без електрики. ПАТ «Прикарпаттяобленерго» публічно заявило, що причиною її відключення стало “втручання” в роботу системи компанії.
«Частково без електропостачання залишилася центральна частина Івано-Франківська, Городенківський, Калуський, Долинський, Косівський, Тисменицький, Надвірнянський райони та Яремчанська зона», – повідомили тоді в обленерго.
Причиною аварії назвали втручання сторонніх осіб у роботу телемеханіки – автоматичної системи контролю та управління енергообладнанням. Крім того, компанія повідомила і про технічні збої в роботі свого кол-центру.
Служба безпеки України 28 грудня звинуватила в цьому Росію. СБУ повідомила, що йшлося про кілька українських енергокомпаній.
«Служба безпеки України попередила спробу російських спецслужб вразити комп’ютерні мережі об’єктів енергетичного комплексу України. Співробітники СБУ виявили шкідливе програмне забезпечення в мережах окремих обласних енергетичних підприємств. Вірусна атака супроводжувалася безперервними дзвінками (телефонним «флудом») на номери техпідтримки обленерго. Шкідливе програмне забезпечення було локалізовано. Тривають невідкладні оперативно-слідчі дії», – мовилося в повідомленні.
У понеділок дослідники з кіберохоронної фірми «iSIGHT Partners» повідомили, що вони отримали зразки шкідливого коду, що інфікували, щонайменше, трьох регіональних операторів. Вони також повідомили, що шкідливі програми призвели до «деструктивних подій», які, у свою чергу, призвели до вимкнення енергопостачання. Якщо ця інформація підтвердиться, то це буде перший відомий випадок використання шкідливого програмного забезпечення для відключення електроенергії.
“Це нова віха кіберзлочинності, тому що ми, безумовно, бачили цільові руйнівні події проти нафтовидобувних компаній, наприклад, але ніколи не бачили події, яка викликає вимкнення електроенергії,”- повідомив Джон Хулткуіст, голова відділу кібер-шпигунства та розвідки компанії «ISight». – «Це сценарій, який викликає в нас величезну стурбованість”, пише Ars.
Дослідники з антивірусної компанії «ESET» підтвердили, що українські енергокомпанії були заражені вірусом “BlackEnergy,” який був виявлений в 2007 році, та був оновлений два роки тому, щоб включити цілий ряд нових функцій, включаючи можливість блокування завантаження заражених комп’ютерів. Зовсім недавно «ESET» також виявили, що шкідлива програма знову оновлена, та до неї додали компонент під назвою назвою «KillDisk», який руйнує важливі частини жорсткого диску комп’ютера, а також, здається, має функції, які включають в себе саботаж промислових систем управління. Остання версія «BlackEnergy» також включає в себе бекдор до Secure Shell (SSH) – утиліти, яка дає зловмисникам постійний доступ до заражених комп’ютерів.
«Надзвичайно вправний»
До цих пір вірус «BlackEnergy» використовувався головним чином для проведення шпигунства по цілях в новинних агенціях, енергетичних компаніях та інших промислових групах. Компанія «ESET» не залишає сумнівів, що один або більше компонентів вірусу «BlackEnergy» спричинив вимкнення енергії. У блозі, опублікованому в понеділок, дослідники ESET писали: «Наш аналіз руйнівного програмного забезпечення «KillDisk», виявленого в декількох енергопостачальних компаніях в Україні показує, що теоретично вірус здатний відключати критично важливі системи.
Тим не менш, є також інше пояснення. «BlackEnergy» – бекдор, а також недавно виявлений SSH-бекдор, самі забезпечують зловмисникам віддалений доступ до зараженої системи. Після успішного проникнення в критичну систему управління електромережами з будь-яким із цих троянів, зловмисник, теоретично, здатний її вимкнути. У такому випадку, руйнівний троян «KillDisk» починає діяти та робить відновлення після атаки набагато важчим».
За минулий рік група вірусів «BlackEnergy» повільно збільшила свої руйнівні здібності. Наприкінці минулого року, як повідомляє «Computer Emergency Response Team», модуль «KillDisk» вірусу «BlackEnergy» інфікував засоби масової інформації в Україні, що призвело до повної втрати відео та іншого контенту. «KillDisk», що потрапив в українські енергетичні компанії, містить подібні функції, але він був запрограмований, щоб видалити більш вузький набір даних, повідомляє ESET.
«KillDisk» також був оновлений, щоб саботувати два комп’ютерні процеси, у тому числі дистанційне управління платформою, пов’язаною з «ELTIMA Serial to Ethernet» з’єднаннями, які використовуються в промислових системах управління.
У 2014 році група, відповідальна за «BlackEnergy», яку «ISight» називає як «Sandworm gang», або «банда піщаного хробака», здійснила ряд атак, спрямованих на Організацію Північноатлантичного альянсу, українські та польські урядові установи, а також різні чутливі галузі промисловості Європи. Дослідники «ISight» повідомляють, що «банда піщаного хробака» має зв’язки з Росією, а також може мати відношення до специфічних урядових організацій. Згідно з ESET, українські енергокомпанії були інфіковані з використанням замаскованих макросів, які включає в себе «Microsoft Office».
Якщо це правда, то це дуже сумно, що промислові системи управління, які використовуються для живлення енергією мільйонів людей, можуть бути інфіковані за допомогою такої простої соціально-інженерної хитрості. Також надзвичайно турбує, що відтепер шкідлива програма може створювати збої в енергопостачанні, які можуть мати смертельні наслідки для великої кількості людей.
У 2012 році найбільший виробник газу в Саудівській Аравії також був заражений шкідливими програмами, однак, немає ніякого підтвердження, що це вплинуло на виробництво. Звіт «ISight» припускає тривожну ескалацію подій, що може мати наслідки для промислово розвинених країн у всьому світі.
