Отключения в энергосистеме Украины – результат действия вируса BlackEnergy
Исследователи из компании iSIGHT Partners сообщили, что в их распоряжении оказалось зловредное ПО, которое инфицировало автоматизированные рабочие места трёх региональных электросетевых компаний. Специалисты iSIGHT Partners отметили, что действия именного этого ПО привели к массовым отключениям в энергосистеме Украины. Если эта информация подтвердится, то это будет первый случай, когда кибератака привела к подобным последствиям.
Никогда ранее хакерские атаки не приводили к отключениям в энергосистеме.
«Это событие является знаковым: несмотря на то, что ранее мы уже были свидетелями кибератак на объекты энергетической инфраструктуры – например, на предприятия нефтяной отрасли – они никогда не приводили к отключениям в энергосистеме», – отметил Джон Халтквист, руководитель подразделения по расследованию киберпреступлений компании iSIGHT. «Это то, чего мы опасались достаточно длительное время», – уточнил Джон.
Специалисты антивирусной компании ESET также подтвердили факт инфицирования автоматизированных рабочих мест нескольких электросетевых компаний, уточнив при этом тип вируса – BlackEnergy, который впервые был обнаружен в 2007 году. Два года назад вирус был обновлён и получил ряд новых функций, включая функцию, нарушающую нормальную загрузку компьютеров. Совсем недавно представители компании ESET обнаружили, что вирус был вновь обновлён и включил в себя, в том числе, компонент под названием KillDisk, который нарушает работу критических разделов жесткого диска компьютера и, по всей видимости, имеет функции, позволяющие саботировать работу АСУ ТП. Последняя версия вируса также включает компонент, создающий уязвимость, используя приложение Dropbear SSH для удалённого доступа по протоколу SSH, который даёт возможность атакующему получить беспрепятственный доступ к инфицированному компьютеру.
Инфицирование рабочих мест произошло через макросы простого документа Microsoft Office.
В сообщении, которое распространили представители компании ESET отмечено следующее: «Проведенный нами анализ зловредного компонента KillDisk, который был обнаружен в ряде электросетевых компаний Украины, показывает, что, теоретически, он может приводить к нарушению работы АСУ ТП. Однако, произошедшему может быть и другое объяснение. В легальном приложении Dropbear SSH был обнаружен бэкдор (прим. ред. – дефект алгоритма, который намеренно встраивается
Согласно данным ESET, инфицирование рабочих мест произошло через макросы простого документа Microsoft Office. Если это действительно так, то это вызывает крайнее беспокойство – как система, управляющая электроснабжением более миллиона людей, может быть инфицирована таким простым способом? [Ars Technica]