Российские хакеры оставили без света Прикарпатье. Кто следующий?

В канун Нового года для всего хакерского мира случилось одно примечательное событие. И произошло оно 23 декабря в Украине. 

Впервые в мире с помощью кибер-атаки удалось отключить электроснабжение отдельного региона. Прикарпатьеоблэнерго ограничилось тогда только коротким сообщением, согласно которому причиной масштабной аварии, вероятно, было вмешательство посторонних лиц в работу телемеханики - автоматической системы контроля и управления оборудованием. IT-система предприятия пострадала настолько сильно, что каждую из подстанций пришлось включать вручную. В общей сложности около 700 000 человек в Ивано-Франковской области оставалось без света на несколько часов.

Заразу распознали не сразу

Зарубежные СМИ подхватили тему о странной аварии только в начале января. Связано это было с тем, что потребовалось чуть больше недели, чтобы крупные международные IT-компании и организации (SANS ICS, Symantec, ESET), детально ознакомившись с ситуацией в Прикарпатье, огласили наиболее обоснованную версию случившегося : электричество было действительно отключено с помощью хакерской атаки с использованием вредоносного и очень опасного трояна семейства Black Energy.

По данным Symantec, за семейством вирусов Black Energy стоит группировка Sandworm. Она орудует против промышленных объектов Украины, других стран Европы и даже против НАТО.

Факт состоявшейся в конце декабря серьезной кибер-атаки в Украине американскому Forbes подтвердили и в украинском CERT-UA (команда реагирования на компьютерные чрезвычайные происшествия в Украине). C ЛІГА.net представитель CERT UA смог пообщаться только неофициально, сославшись на то, что информацию можно получить только после одобрения руководства (которое, кстати, "добра" в итоге не дало). Представитель центра рассказал, что сейчас CERT готовит некую инструкцию, как определить "в ручном режиме" уязвима ли система предприятия к Black Energy, который заразил украинское облэнерго.

Как заражают украинские предприятия

Как рассказал ЛІГА.net технический директор украинской антивирусной компании Zillya! Антивирус Олег Сыч, данный троян обладает большим набором функций (в основном деструктивного характера). Он получает инструкции с командного сервера злоумышленников, выполняет удаление данных и другие действия на компьютерах. "Существует большое количество модификаций данного трояна, и, очевидно, что антивирусным компаниям известны не все из существующих модификаций. В ближайшее время нас ждёт много открытий в этом области", - прогнозирует Сыч.

Особенность вредоносного ПО Black Energy состоит в том, что оно заражает IT-системы очень избирательно, позволяя совершать таргетированные атаки на промышленные объекты.

Zillya! предоставило шаблон письма, с которым рассылается такой вирус в отдельном файле:

"У зв’язку з виявленням небезпечної уразливостi у серверах, на яких працують поштовi служби та сайти державних органiв влади усiм спiвробiтникам потрiбно змiнити паролi до пошти та iнших служб.

У додатку список з небезпечними паролями. Якщо Ви знайшли свiй пароль у цьому списку, його треба змiнити.

Відділ інформаційної безпеки
Міністерства промислової політики України

03035, м. Київ,
вул. Сурикова, 3
+380 (44) 245-4778
+380 (44) 246-3220
------------------------------ "

"Я даже знаю случаи, когда просто звонили в какую-то контору в финотдел и говорили: вам сейчас придет файлик. Вы его откройте. Мы вам шлем. Это такая-то фирма. Человек (обычный юзер) его открывает, и система заражена", - добавляет собеседник ЛІГА.net из CERT. Он уточняет, что в большинстве случаев системы заражаются сугубо из-за человеческого фактора. Финансист - это не системный администратор. Он не будет вникать, что за файл пришел по почте.

Когда все началось: что утаивают облэнерго

Эксперты из компании ESET заявляют, что, скорее всего атака 23 декабря коснулась не только Прикарпатьеоблэнерго, но и еще нескольких аналогичных предприятий. 

ЛІГА.net  выяснила, какие компании уже пострадали от атаки и какие оказались в зоне риска.

Как оказалось, в один и тот же день с атакой на прикарпатское энергетическое предприятие произошел сбои и на Киевоблэнерго. Компания сообщила, что "посторонними лицами было совершено незаконное проникновение в информационно-технологическую систему удаленного доступа телеуправления оборудованием подстанций". Как результат, около 80 000 потребителей оказалось без света на несколько часов. В пресс-службе Киевоблэнерго ЛІГА.net сообщили, что по этому прецеденту до сих пор идет расследование. И его итоги появятся только после окончания рождественских праздников.

Читайте также: Чиновник времен Януковича купил дата-центр под Верховной Радой

Как рассказал редакции генеральный директор украинской компании из сферы кибер-безопасности CyS Centrum Николай Коваль, заражение энергетических объектов случилось много ранее самого апогея атаки 23.12.2015, когда были выведены из строя подстанции, а также серверное оборудование и другие средства вычислительной техники. "Образцы вредоносных писем, обнаруженные в том же Прикарпатьеоблэнерго, датированы маем 2014 года", - подчеркивает он.

В то время вирусы из семейства Black Energy как раз только начали орудовать в Украине и пытались заразить предприятия Укрзализныци  (все шесть железных дорог, относящихся к сфере ее управления). "Письмо счастья" тогда получило и Прикарпатьеоблэнерго. Это позволяет Ковалю предположить, что троян вот уже как более полутора лет пытались занести в систему энергокомпании (или он уже там был с того времени).

По мнению Коваля, 23 декабря были и другие пострадавшие облэнерго, решившие не предавать инцидент огласке. По его предположениям, это могли быть компании в Черновцах, Львове, Житомире, Харькове.

Кто может быть следующим

Атаки подобного рода в 2016 году абсолютно не исключены. "Объекты атомной энергетики, газотранспортная система и другие также могут стать целями (если уже ими не стали) в любой момент", - рассказывает Николай Коваль. По его словам, в группе риска транспорт (наземный, подземный, воздушный), энергетика (в т.ч. атомная), нефтегазовые предприятия, телевидение и радиовещание, крупные IТ-узлы (операторы/провайдеры, точки обмена трафиком, вычислительные центры), промышленность (в т.ч. военная), архивы/библиотеки, государственные учреждения.

Кроме того, в CyS Centrum предполагают, что в Украине могли быть атакованы аэропорт Борисполь и Международные авиалинии Украины (обнаружен драйвер BlackEnergy2). Хотя, как добавляет представитель компании ESET Антон Черепанов, на сегодняшний момент в Украине достоверно известно о жертвах вируса Black Energy среди новостных каналов и компаний распределяющих электроэнергию.

Украинские ТВ-каналы, по его словам, потеряли часть данных. Атака на украинские СМИ с использованием того же инструментария была совершена хакерами несколько раньше - в октябре 2015 года, когда проходили местные выборы. По данным CyS Centrum, пострадать могли ТРК Украина и СТБ.

А что же люди в погонах?

Кибератаки застали врасплох украинские госорганы. После атаки на Прикарпатьеоблэнерго СБУ опубликовала заявление, в котором указала на попытку российских спецслужб атаковать компьютерные сети энергетического комплекса страны. "Идут неотложные оперативно-следовательские действия", - написала служба перед Новым годом. 

Вряд ли  украинские спецслужбы смогут разработать и применить комплексный подход в киберзащите государства. Ведь подготовленной нормативной базы, которая бы распределила компетенции и задания чиновников и силовиков в этой сфере, пока не существует в принципе. Уже не первый год Госспецсвязи и депутаты пытаются доработать и принять закон о кибербезопасности страны. Не первый год на профильных конференциях и встречах экспертов по безопасности идут разговоры о том, что нужно определить перечень критической инфраструктуры государства  (объекты и коммуникации, которые обязательно нужно защитить от кибератак).

Вплоть до последнего времени виделось, что такие промедления не принесут особого вреда. Казалось бы, ну что может значить какая-то кибербезопасность в сравнении с вопросом о цене на газ или курсе доллара? А получилось так, что российские хакеры теперь в любой момент могут отключить электричество украинским потребителям. И не только электричество. Николай Коваль замечает некую взаимосвязь между важными политическими событиями и атакам Black Energy (выборы - атака на информресурсы, отключение Крыма от энергосети - атака на облэнерго). "Сейчас на повестке дня газовые вопросы. Кто знает, быть может, угроза коснется соответствующих предприятий", - резюмирует эксперт.  

Стас Юрасов

редактор ЛІГА.Tech