ICS-CERT опубликовал подробные сведения об атаке на украинские облэнерго

ICS-CERT опубликовал дополнительные сведения об атаке на украинские энергокомпании, осуществленной в конце декабря 2015 года. Информация основана на результатах опроса сотрудников пострадавших предприятий, состоявшегося после атаки.

Исходя из материалов опроса, атака была осуществлена удаленными злоумышленниками. Инцидент затронул три региональные компании по снабжению населения электроэнергией (облэнерго). Из-за атаки примерно 225 тысяч потребителей на некоторое время остались без энергоснабжения. После возобновления работы компании были вынуждены работать в ограниченных условиях.

Кибератака была скоординирована и выполнялась синхронно. Злоумышленники предположительно провели подготовительные работы и знали структуру внутренних сетей облэнерго. По словам сотрудников компаний, все атаки произошли в течение 30-минутного окна и повлияли на работу центральных и региональных облэнерго. Злоумышленники использовали либо встроенные средства удаленного администрирования, либо ПО для управления SCADA-системами через VPN-соединения. Предположительно, хакеры похитили учетные данные сотрудников еще до осуществления нападения.

По завершению атаки злоумышленники удалили данные с ряда систем, используя вредоносное ПО KillDisk. Вредонос удаляет определенные файлы и повреждает главную загрузочную запись (master boot record, MBR) жесткого диска. Хакеры также повредили прошивку преобразователей Serial-to-Ethernet и отключили источники бесперебойного питания через интерфейс удаленного управления. Как предполагают эксперты ICS-CERT, злоумышленники пытались предотвратить восстановление работоспособности систем.

Внутренние сети каждого облэнерго были инфицированы вредоносным ПО BlackEnergy. В то время как сам вредонос не использовался для осуществления атаки, эксперты оценивают роль BlackEnergy как значительную в контексте данного инцидента. Вирус распространялся с помощью целевого фишинга с вредоносными вложениями в виде документов Microsoft Office. Предположительно, хакеры использовали BlackEnergy в качестве изначального вектора для получения доступа к учетным данным сотрудников компаний.

ICS-CERT опубликовал рекомендации по предотвращению подобных атак в будущем. Специалисты посоветовали, в том числе, своевременно устанавливать последние обновления для операционных систем и программного обеспечения, ввести ограничения на запуск приложений с использованием "белых списков", ограничить доступ к интернету для систем АСУ ТП и использовать средства удаленного администрирования.