18.01.2016 // Кибератака на энергетические компании Украины продемонстрировала уязвимость их IT-инфраструктуры

В ночь перед Рождеством в Ивано-Франковской области Украины произошло отключение электроснабжение из-за, как впоследствии выяснилось, кибератаки. Целью нападения была энергетическая компания Прикарпатье облэнерго. Атака затронула по крайней мере 80000 человек, что составляет примерно половину населения области.

Недавно Check Point выпустила доклад о уязвимости критических инфраструктур, и эта атака на украинскую энергосистему показывает, насколько реальны такие угрозы. Данная проблема часто обсуждалась экспертами в прошлом, но до сих пор у этих обсуждений не было общественных реализаций. 

Эксперты отмечают, что атака производилась при помощи вредоносной программы BlackEnergy, проявившейся в атаках начала 2007 года. Считается, что хакерская группа под названием Sandworm, замеченная в использовании этой программы, связана с российскими киберпреступниками. В прошлом эта группа атаковала энергетические компании с целью кражи данных, но никогда для отключения энергии.

В чем важность этой атаки?

Это нападение является первой доказанной кибератакой, которая успешно нарушила подачу електроэнергии. Этот инцидент демонстрирует потенциальные последствия атаки на критически важную инфраструктуру. Теперь для всех стран, очень важно обеспечить адекватную защиту для своей инфраструктуры в связи с существенным риском повторения такого нападения в другом месте.

Потенциальный ущерб от таких атак может быть неограничен, и способен повлиять на каждый аспект повседневной жизни каждого гражданина. Представьте себе, что целью атаки было отключение подачи воды в целой стране, взятие контроля над ядерным реактором или крушение поезда с пассажирами. Последствия могут быть катастрофическими.

Как проводилась атака?

По данным компании Eset вредоносный код распространялся посредством фишинговой атаки. Как было опубликовано на CyS Centrum, письма выглядели так, как будто они были отправлены украинским парламентом в адрес компании. Письма содержали файл PowerPoint с макросами. После открытия файла пользователей обманом заставили запустить макросы, что позволило вредоносному коду инфицировать компьютеры.

Один из возможных способов борьбы с такого рода атаками состоит в осторожности и отказе от открытия вложений в подозрительных письмах. Так же избежать атаки посредством инфицированных файлов поможет использование технологии CheckPoint SandBlast Threat Extraction, позволяющей удалять макрокоманды во входящих файлах. Эта мера защиты может обезопасить от фишинг-атак, при помощи которых злоумышленники обычно обманывают пользователей.

После попадания во внутреннюю сеть BlackEnergy Trojan начал распространяться и в конце концов спровоцировал отключение света. Стоит обратить внимание на два ключевых компонента атаки, информация о которых была опубликована Eset:

1. SSH бэкдор - SSH-серверы представляют собой тип программного обеспечения, которое может принимать соединения от удаленных компьютеров. Нападавшие запустили SSH сервер, содержащий бэкдор, что позволило им получить доступ во внутреннюю сеть, введя заранее установленный пароль.
2. Компонент KillDisk - компонент, который был использован для уничтожения данные в предыдущих атаках BlackEnergy. Тем не менее, по данным ESET это компонент, который скорее всего и вызвал отключение энергопоставок, так как он содержит две необычные команды. По крайней мере одна из этих команд может использоваться для подключения к ICS (промышленным системам управления), которая управляет энергосистемой.

Как бы то ни было, возможно, что мы только видим часть цепочки. Некоторые исследователи говорят, что компонент KillDisk в одиночку, вероятно, не смог бы вызвать отключения электричества. Компонент KillDisk также стирает журналы Windows, что позволяет злоумышленнику скрыть дополнительные процессы, выполнение которых могут оказаться реальной причиной аварии.

Нахождение злоумышленниками векторов атаки против инфраструктуры и других целей становится сегодня намного легче. Используя, например, такой сайт как Shodan (сканер, при помощи которого можно найти системы, подключенные к сети Интернет, в том числе критически важные инфраструктуры) атакующие могут получить информацию о физическом местоположении устройств, их IP-адресах, а в некоторых случаях, даже список программного обеспечения, которое на нем запущено.

Check Point недавно выпустила предупреждение об угрозах по данной теме, и обеспечивает защиту IPS от таких угроз.

Эта атака подчеркивает уязвимость критических инфраструктур, и, скорее всего, подобные атаки будут повторяться. Потенциальные последствия этого вида угрозы требуют от компаний и стран улучшения защиты критических инфраструктур насколько это возможно. Check Point недавно провели тест сравнения нескольких поставщиков решений, которые обеспечивают такую защиту. Рекомендуем Вам просмотреть результаты этого теста.

Автор статьи -  Check Point Research Team

Оригинал находится здесь.