Расследование кибератаки на Украину: как вирус сломал облэнерго
23 декабря 2015 года произошло беспрецедентное для Украины событие. Кибератака на инфраструктурные энергетические объекты Украины привела к масштабному отключению электроэнергии. В Прикарпатье, а также Киевской и Черновицкой областях без электричества остались около 220 000 потребителей электроэнергии (что составляет около 1% всего энергопотреблителей страны). Отключение электричества продолжалось от 1 до 3 часов в трех областях. Суммарный недоотпуск электроэнергии составил 73 МВт/час или 0.015% от суточного объёма потребления Украины.
Первая волна: разведка
По данным, полученным в результате расследования, атака на энергетические системы Украины началась еще в мае 2014 года. Именно 13 мая 2014 года на энергопередающие организации была произведена адресная почтовая рассылка, которая и привела к заражению критически важных вычислительных систем. Примечательно, что письмо было отправлено с IP-адреса, принадлежащего University of Beira Interior (Португальский университет), часть компьютеров которого, видимо, также контролировалась хакерской группировкой.
Согласно свойствам документа, он был создан 29 апреля 2014 года пользователем Erdr-lviv-03 (единый реестр досудебных расследований). Возможно, документ действительно был украден злоумышленниками ранее с ПК, имеющих отношение к этому реестру. Также не исключено, что документ изначально был сформирован злоумышленниками, а наименование пользователя может свидетельствовать о том, что эта же группа злоумышленников ранее готовила атаку на судебную систему Украины.
В результате активации из письма вредоносного файла в систему устанавливается троянская программа Backdoor.Fonten.Win32.4. Троян содержал в себе шпионский модуль, который собирал информацию о системе и сети и отправлял ее на удаленный командный центр, подконтрольный злоумышленникам.
С момента заражения систем злоумышленники имели возможность собирать информацию о структуре локальных сетей и используемого программного обеспечения, информацию об учетных записях пользователей, режимы использования ПО, графики работ и т.п.
Вторая волна: активное заражение
Начиная с июня 2014 и по октябрь 2015 года злоумышленники провели еще несколько волн рассылок вредоносных писем с вредоносным софтом с широким функционалом. В каждом случае рассылки были точечными (охватывали небольшое количество абонентов) и подталкивали открыть файл в письме все новыми и новыми якобы интересными документами, такими как:
· информация о связи народных депутатов с ополченцами;
· запрос к руководителям организаций на предоставление списков сотрудников для мобилизации.
В том числе злоумышленники получали удаленный доступ к системам, а также возможность уничтожения информации на жестких дисках своих жертв.
Через удаленный доступ к системе с помощью троянской программы 23 декабря 2015 года около 15:30 злоумышленники провели скоординированную атаку на информационную инфраструктуру украинских облэнерго. Они использовали полученные ранее механизмы удаленного доступа к административным компьютерам и серверам автоматизированной системы диспетчерского управления, воздействовали на выключатели на распределительных подстанциях, перекрыли подачу электроэнергии потребителям.
Кибератака на одно из облэнерго также сопровождалась массовыми звонками на номера call-центра с целью их перегрузки (DDoS атака на call-центр). По имеющейся информации, звонки велись с номеров в Российской Федерации.
После внесения изменений в режимы работы распределительных подстанций троянская программа при помощи модуля KillDisk уничтожала файлы в зараженной системе. В результате этого было выведено из строя несколько серверов и рабочих станций, что значительно затруднило восстановление работы энергосистем в нормальном режиме.
Тем не менее сотрудники атакованных облэнерго, оперативно разобравшись в ситуации и отключив скомпрометированные и выведенные из строя системы, перевели управление в системах распределения энергии в ручной режим и восстановили подачу электроэнергии.
Третья волна: ставка на битого дурака
Несмотря на то что последствия атаки на указанные выше облэнерго на данный момент устранены, спецоперация атакующей стороны явно не завершена. 20 января 2016 года была осуществлена новая рассылка по предприятиям, имеющим отношение к энергетике Украины. В данном случае распространялся еxcel-документ якобы с внутренней информацией по Укрэнерго.
Документ содержит в себе макрос. Поскольку во всех актуальных версиях MS Office исполнение макросов по умолчанию отключено, злоумышленники подталкивали получателей собственноручно активировать макрос в документе. Сообщение о том, что необходимо включить исполнение макросов для отображения содержимого документа, маскируется под автоматическое сообщение MS Office, на самом деле не являясь таковым. После активизации макрос загружает файл с удаленного сервера и запускает его.
В этот раз злоумышленники не стали подготавливаться долго и решили использовать за основу троянскую программу с открытым исходным кодом, написанную на языке Python gcat, который доступен всем желающим. Особенностью трояна является то, что он способен общаться с управляющим сервером посредством отправки электронных писем через сервис Gmail.
Судя по тому, как проводилась атака, можно сделать вывод, что во время первой волны требуемый заказчиком результат не был достигнут. А уровень осведомленности персонала на атакуемых предприятиях стал возрастать. В результате заказчик данных атак начал подгонять исполнителей, а исполнители не стали придумывать что-то новое и просто использовали первый попавшийся инструмент. Предполагаем, что данная атака потерпела неудачу, так как реакция на инцидент была молниеносной и предприятиям удалось избежать значительного ущерба.
Заключение
Надо отдавать себе отчет, что случилось беспрецедентное событие для Украины - проведена успешная кибератака на инфраструктурные объекты. Очевидно, что страна давно находилась под "прицелом" недоброжелателей. Кибератаки вышли за уровень наживы, атаки частных лиц, промышленного шпионажа. Случившееся событие можно рассматривать либо как кибертерроризм, либо как акт военной агрессии.
Помимо энергосистемы Украины, данная атака охватила также и другие важные объекты: телевизионные каналы 1+1 и СТБ, аэропорт Борисполь, другие облэнерго, ряд государственных предприятий и т.п.
Читайте также Чиновник времен Януковича купил дата-центр под Верховной Радой
Тот факт, что данная атака началась еще в 2014 году, говорит о том, что существует высокая вероятность заражения значительно большего количества объектов. Такие контролируемые злоумышленниками системы могут располагаться по всей стране и ожидать удобного времени в режиме спящего агента.
Так, по данным вирусной статистики антивирусной лаборатории Zillya!, есть ряд систем во Львове и в Мариуполе, на которых в январе 2016 года были обнаружены другие модификации троянской программы BlackEnergy.
Автор: технический директор Zillya! Антивирус Олег Сыч