osint24 (osint24) wrote in ru_polit,
osint24
osint24
ru_polit

Очень познавательная статья о возможностях современных хакеров

Вредонос BlackEnergy использовался для атаки на украинские энергосети

Эксперты ряда компаний, специализирующихся на информационной безопасности, сообщают, что в конце декабря 2015 года, в ходе атак на украинские СМИ и энергосети, была использована малварь, известная как BlackEnergy. Авторство данного вредоноса приписывают российской хакерской группе Sandworm, которая ранее осуществляла атаки на SCADA-системы в США и Европе. Однако декабрьский инцидент с украинскими энергосетями впервые повлек за собой массовое отключение электроэнергии.

23 декабря 2015 года украинская компания «Прикарпатьеоблэнерго» сообщила, что в работу ее систем было произведено некое «вмешательство». В результате без электричества осталась немалая часть западной Украины, а именно Ивано-Франковская область, включая столицу Прикарпатья — Ивано-Франковск. Служба безопасности Украины немедленно инициировала расследование происшедшего, не преминув обвинить в случившемся российских хакеров.

Расследованием инцидента также занялись и ведущие компании: ESET, iSight, Trend Micro и другие. В начале недели они представили первые отчеты о проделанной работе.

Вредонос BlackEnergy известен с 2007 года. За прошедшее время он неоднократно использовался для проведения атак на правительственные организации и инфраструктуру различных компаний по всему миру. Как выяснилось, в декабре минувшего года целью малвари действительно стали украинские СМИ и электроэнергетические компании.

Аналитик ESET Антон Черепанов пишет в официальном блоге, что компания «Прикарпатьеоблэнерго» была не единственной жертвой этой атаки. Очевидно, другие пострадавшие пока не хотят предавать случившееся огласке.

Еще в 2014 году специалисты «Лаборатории Касперского» изучили несколько десятков плагинов для Windows и Linux, которые BlackEnergy использует в работе. Тогда был обнаружен Windows-модуль, названный «dstr». По данным экспертов, он предназначался для уничтожения и перезаписи определенных данных, хранящихся на жестком диске зараженной машины.

Специалисты ESET тоже обнаружили похожий плагин — KillDisk (Win32/KillDisk), который злоумышленники начали применять в 2015 году. Компонент предназначен для уничтожения и перезаписи более 4000 типов файлов и призван повредить операционную систему до такой степени, чтобы она перестала загружаться.

В ходе атаки на украинские компании, была выявлена новая версия KillDisk, с которой эксперты ранее не встречались. Она позволяет атакующим точно назначить время, в которое вредоносный пейлоуд будет активирован. Также этот KillDisk умеет подчищать за собой журналы событий Windows. В декабре вредоносный модуль был призван повредить 35 типов файлов, включая документы, изображения, файлы баз данных и конфигурации.

Кроме того, эта версия малвари содержит функции, позволяющие саботировать работу промышленных систем. В частности, после заражения малварь отключает ряд процессов и повреждает ответственные за их запуск файлы. Один из этих процессов — sec_service.exe, он как раз относится к работе автоматизированной системы управления ASEM Ubiquity.

Помимо вредоноса BlackEnergy специалисты ESET выявили на одной из пострадавших машин SSH бэкдор (Win32/SSHBearDoor.A trojan), позволяющий злоумышленникам получить доступ к зараженной системе. Бэкдор заметили, когда на одном из серверов обнаружили якобы легитимную версию SSH-приложения Dropbear. На деле оказалось, что атакующие использовали VBS файлы и заставляли Dropbear сервер их обработать, что приводило к изменению его настроек. После этого сервер принимал соединения на порт 6789. Более того, сервер давал атакующим точку входа в сеть компании, позволяя использовать для входа жестко закодированный пароль или приватный ключ.

Специалисты iSight и Trend Micro согласны с заключением своих коллег: они тоже убеждены, что декабрьский блэкаут был спровоцирован хакерской атакой на «Прикарпатьеоблэнерго».

Однако эксперты ESET весьма осторожны в своих выводах. В блоге Антон Черепанов и Роберт Липовски (Robert Lypovsky) пишут, что обнаруженный в пострадавших системах троян BlackEnergy, теоретически, мог спровоцировать выход украинских энергосистем из строя, он обладает нужными для этого функциями. Однако специалисты видят и другое возможное объяснение. Сам по себе BlackEnergy, равно как и найденный SSH бэкдор, могли предоставить злоумышленникам доступ к зараженным сетям. А имея прямой доступ, атакующие могли попросту отключить критические узлы энергосистем вручную, а затем уже активировать модуль KillDisk для затруднения восстановления работы промышленного комплекса.

Также ни одна компания не спешит обвинять в случившемся российских правительственных хакеров. Лишь специалисты iSIGHT Partners, еще в 2014 году, усмотрели связь BlackEnergy с вышеупомянутой группой Sandworm, которую ранее уже связывали с российскими спецслужбами.
Tags: Украина
Subscribe
Buy for 80 tokens
Buy promo for minimal price.
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 13 comments