Кибер-война России против Украины

Во всех атаках многие специалисты указываю на следы группы Sandworm, которую ранее уже связывали с российскими спецслужбами, в том числе российским ГУР.

Кибер-война России против Украины

Помимо начала военной компании России на Востоке страны в добавок ко всему она еще развернула «кибер-информационную» войну, применив при этом все возможные методы и средства направленные в первую очередь на подрыв национальной безопасности страны и дискредитации ее в глаза мировой общественности. Для этого она не поскупилась ежегодно тратить на расходы в  содержании своих «кибервойск»  более 300 млн. долларов  и штатом более 1 тыс. человек, согласно отчету компании Zecurion Analytics. Первыми под удар российских хакерских групп попала почти вся энерго-система Украины в период с 2015-2016 года. 23 декабря  2015 года большая часть Прикарпатья осталась без электричества. Как сообщала украинская компания «Прикарпатьеоблэнерго», причиной аварии было названо вмешательство посторонних лиц в работу телемеханики – автоматической системы контроля и управления энергетическим оборудованием. Служба безопасности Украины незамедлительно занялась расследованием этого инцидента и уже 28 декабря в содеянном обвинила российские спецслужбы в атаке на системы управления энергетического комплекса страны.

В сообщениях СМИ говорится о том, что отключение энергии в Прикарпатье было вызвано хакерской атакой, в которой использовался вирус. Исследователи компании ESET выяснили , что для выведения из строя автоматизированной системы управления в «Прикарпатьеоблэнерго» использовался уже известный троян BlackEnergy. Впервые этот троян упоминался еще в 2007 году и за последние несколько лет были выявлены неоднократные случаи его использования для кибератак в Украине. Забавно, что российский антивирус Касперского внес сигнатуру по BlackEnergy самым последним, многие эксперты объясняют это тесным взаимодействием Касперского с ФСБ , в данном случае возможным заказчиком вируса.

В результате атаки  были выведенны из строя электросети компании "Прикарпатьеоблэнерго" и оставила без света Ивано-Франковск и часть Прикарпатья.

Затем атакам была подвержена  «Черновцыоблэнерго» и «Киевоблэнерго». Метод внедрения и заражения систем носил один и тот же характер. Специалисты украинской компании CyS Centrum выделяют следующие объекты атак и такую хронологию событий:

1.      12.05.14 – попытка доставки трояна посредством электронной почты украинским предприятиям, занимающимся железнодорожными перевозками, помимо этого в список компаний так же входило «Прикарпатьеоблэнерго», взлом которого произошел 23.12.15. Т.е. попытки атак начались полтора года назад. По полученным данным стало известно, что для отправки писем с вредоносным ПО использовался один из серверов Португальского университета "University of Beira Interior".

2.  март 2015 г. –одно из западных облэнерго.

3. 23.12.15 – атака на АСУТП (автоматизированная система управления технологическим процессом) электростанций.

Везде была использована малварь, известная как BlackEnergy. Авторство данного вредоноса приписывают российской хакерской группе Sandworm, которая ранее осуществляла атаки на SCADA-системы в США и Европе. Micro и другие. В начале недели они представили первые отчеты о проделанной работе.

Вредонос BlackEnergy известен с 2007 года. За прошедшее время он неоднократно использовался для проведения атак на правительственные организации и инфраструктуру различных компаний по всему миру.

Специалисты ESET тоже обнаружили похожий плагин — KillDisk (Win32/KillDisk), который злоумышленники начали применять в 2015 году. Компонент предназначен для уничтожения и перезаписи более 4000 типов файлов и призван повредить операционную систему до такой степени, чтобы она перестала загружаться.

В ходе атаки на украинские компании, была выявлена новая версия KillDisk, с которой эксперты ранее не встречались. Она позволяет атакующим точно назначить время, в которое вредоносный пейлоуд будет активирован. Также этот KillDisk умеет подчищать за собой журналы событий Windows. В декабре вредоносный модуль был призван повредить 35 типов файлов, включая документы, изображения, файлы баз данных и конфигурации.

Кроме того, эта версия малвари содержит функции, позволяющие саботировать работу промышленных систем. В частности, после заражения малварь отключает ряд процессов и повреждает ответственные за их запуск файлы. Один из этих процессов — sec_service.exe, он как раз относится к работе автоматизированной системы управления ASEM Ubiquity.

Помимо вредоноса BlackEnergy специалисты ESET выявили на одной из пострадавших машин SSH бэкдор (Win32/SSHBearDoor.A trojan), позволяющий злоумышленникам получить доступ к зараженной системе. Бэкдор заметили, когда на одном из серверов обнаружили якобы легитимную версию SSH-приложения Dropbear. На деле оказалось, что атакующие использовали VBS файлы и заставляли Dropbear сервер их обработать, что приводило к изменению его настроек. После этого сервер принимал соединения на порт 6789. Более того, сервер давал атакующим точку входа в сеть компании, позволяя использовать для входа жестко закодированный пароль или приватный ключ.

Специалисты iSight и Trend Micro  с заключением своих коллег: они тоже убеждены, что декабрьский блэкаут был спровоцирован хакерской атакой на «Прикарпатьеоблэнерго» и другие энерго-системы Украины.

Во всех атаках многие специалисты указываю на следы группы Sandworm, которую ранее уже связывали с российскими спецслужбами, в том числе российским ГУР.

В настоящий момент специалистами компании ProtectMaster проводится исследование исходных кодов вируса с целью создания сигнатурной базы для антивирусных компаний и патча для удаления вируса. Планируется детально изучить поведение вируса и способ заражения чтобы предоставить информацию о непосредственном разработчике и заказчике.