Cyberatak wstrzymał dostawy prądu na Ukrainie

Pod koniec grudnia ukraińskie przedsiębiorstwa energetyczne padły ofiarą ataku cybernetycznego, którego efektem była kilkugodzinna przerwa w dostawach prądu do niemal miliona mieszkańców Ukrainy. Eksperci z firmy antywirusowej ESET są niemal pewni, że wspomniana przerwa była skutkiem działania zagrożeń  BlackEnergy i KillDisk, jakie atakujący zainstalowali na komputerach pracowników jednego z lokalnych dostawców energii. Drugie z wymienionych zagrożeń, wykryte we wspomnianej firmie oraz kilku innych ukraińskich przedsiębiorstwach energetycznych, dodatkowo zmodyfikowano tak, by umożliwiało sabotowanie specjalistycznych systemów przemysłowych.

Załącznik wysyłany w fałszywej wiadomości do ukraińskich firm energetycznych23 grudnia 2015 roku, niemal połowa domów i mieszkań w obwodzie iwanofrankiwskim na Ukrainie (prawie milion mieszkańców) zostało pozbawionych energii elektrycznej na kilka godzin. Według ukraińskiej agencji informacyjnej TSN, przyczyną awarii zasilania był ,,atak hakerów” na jednego z lokalnych dostawców energii elektrycznej (firmę Prykarpattyaoblenergo).Eksperci z firmy ESET, dzięki zebranym danym m.in. z systemu wczesnego ostrzegania ESET LiveGrid, wykrywającego infekcje najnowszymi typami zagrożeń na całym świecie, poinformowali, że w tym czasie również inne przedsiębiorstwa energetyczne na Ukrainiezostały zaatakowane przez cyberprzestępców. Analiza wykazała, że hakerzy wykorzystywali do ataku zagrożenie BlackEnergy, które zostało wykorzystane do zainstalowaniainnego złośliwego programuKillDisk.

Eksperci z firmy ESET na podstawie zebranych informacji przedstawili jak najprawdopodobniej wyglądał  scenariusz tychataków.Najpierw pracownik firmy energetycznej otrzymał email, któregonadawca podszywał się pod przedstawiciela ukraińskiego parlamentu. Do wiadomościdodano załącznik w postaci dokumentu pakietu Office, który po otwarciu informował ofiarę, że do prawidłowego działania wymaga włączenia makr. Postąpienie zgodnie z zaleceniem skutkowało zainfekowaniem komputera zagrożeniem BlackEnergy Lite. Następnie zagrożenie to pobierało kolejne złośliwe oprogramowanie KillDisk. W standardowej wersji zagrożenie to potrafi m.in. usunąć wszystkie dane z dysków twardych zaatakowanych komputerów. W wersji wykrytej w ukraińskich firmach energetycznych zagrożenie KillDisk zostało wyposażone w zestaw nowych funkcji, m.in. możliwość opóźnienia swojego uruchomienia oraz nieodwracalną zmianę w plikach wykonywalnych specjalistycznych systemów przemysłowych, wykorzystywanych m.in. przez elektrownie. W efekcie w wigilię 2015 roku niemal milion mieszkańców ukraińskiego obwodu iwanofrankiwskiego została pozbawiona na kilka godzin prądu.

Jak podkreślają eksperci z firmy ESET, szczegółowa analiza wykazała, że złośliwe oprogramowanie BlackEnergy zostało wykryte na komputerach pracowników kilku ukraińskich elektrowni już wcześniej w 2015 roku.Wtedy jednak infekcja ta nie skutkowała pobieraniem komponentu KillDisk, co może sugerować, że było to jedynie przygotowanie do ataku, który nastąpił w ostatnich dniach grudnia. Obecnie trwa śledztwo władz ukraińskich, mające na celu wyjaśnienie, kto stał za atakiem, którego skutkiem była grudniowa przerwa w dostawie prądu do mieszkańców Ukrainy.

Atak polegający na sekwencji infekcji BlackEnergy, a następnie KillDisk, został po raz pierwszy opisany przez ukraiński zespół CERT w listopadzie 2015 roku. W tym czasie odbywały się lokalne wybory na Ukrainie i kilka redakcji medialnych zostało zaatakowanych w ten sposób wspomnianymi zagrożeniami. CERT wykazał, że w wyniku tego atakuduża ilość materiałów wideo i dokumentów nt. wyborów została zniszczona. Wcześniej, we wrześniu 2014 roku, eksperci z firmy ESET informowali o zagrożeniu BlackEnergy, które zaatakowało wiele firm i instytucji zlokalizowanych w Polsce i na Ukrainie.Wtedy zagrożenie pozwalało atakującemu m.in. na kradzież plików z zainfekowanego komputera czy zdalne uruchomienie dowolnego złośliwego kodu.

 

Podziel się na:
  • Facebook
  • Google Bookmarks
  • Blip
  • Wykop
  • Live
  • Twitter
  • PDF

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *