ESET: хакеры заразили украинские облэнерго с помощью документов MS Office
Атаку на "Прикарпатьеоблэнерго" назвали безпрецедентной.
Об этом говорится в
Сценарий атаки прост: жертва получает электронное письмо, которое содержит вложение с вредоносным документом. Например, в начале 2015 года вирус рассылался в сообщении с почтового сервиса Верховной Рады, где некие списки по мобилизации были вложены в отдельном Excel-файле. "Это пример использования социальной инженерии, а не уязвимостей программного обеспечения", - сказано в блоге.
Скриношот компании CyS Centrum
Если жертва поверила письму и запустила документ с макросом, ее компьютер заражен. В случае с украинскими облэнерго, в документах был спрятан "троян" BlackEnergy, который заразил систему другим "трояном" Win32/KillDisk. Кроме того, что эта программа способна "убивать" файлы, необходимые для загрузки операционной системы, ее специально подготовили для атаки на энергокомпании.
Во-первых, в ней была заложена возможность активации с определенной задержкой. А во-вторых, ее настроили на закрытие процесса sec_service.exe, который может относиться к компьютерным программам ELTIMA Serial to Ethernet Connector и ASEM Ubiquity, используемым в автоматизированных системах управления (Industrial control system; ICS).
"Наш анализ разрушительной вредоносной программы KillDisk, обнаруженной в нескольких энергопоставляющих компаниях Украины, показывает, что в теории она способна отключать критически важные системы. Есть и другое возможное объяснение: бэкдор BlackEnergy, а также недавно обнаруженный бэкдор SSH обеспечивают злоумышленникам удаленный доступ к зараженной системе. После успешного заражения критической системы одним из этих троянов, злоумышленник, опять-таки теоретически, может получить возможность ее отключения. В таком случае внедренный троян KillDisk работает на то, чтобы восстановление стало более сложным. Мы со значительной долей уверенности можем предположить, что именно такой набор инструментов был использован, чтобы вызвать
Такой же набор инструментов использовался недавно во время местных выборов в Украине. Однако тогда жертвами были средства массовой информации. В частности, была совершена атака на интернет-ресурсы группы StarLightMedia, в результате чего был сильно
ESET отмечает, что жертвой декабрьской атаки стала не только Ивано-Франковская область, где 23 декабря произошел сбой в работе "Прикарпатьеоблэнерго", но и некоторые другие энергокомпании. е энергокомпании. ESET не уточняет, какие именно, но речь может идти также о "Киевоблэнерго" и "Черновцыоблэнерго". Согласно сообщению Минэнергоугля Украины, на уровне ведомства создана комиссия, которая должна установить причины сбоя в работе этих энергопоставляющих организаций.
Издание
"Это поворотный момент, так как мы и прежде видели примеры разрушительных атак на энергетические компании — например, на нефтяные - но никогда раньше они не вызывали массовые отключения электроэнергии. Это сценарий, которого мы боялись уже очень давно", - цитирует издание глава отдела кибершпионажа iSIGHT Partners Джона Халткуиста.
You must be registered for see links
, 22:10
You must be registered for see links
You must be registered for see images
Атаку на "Прикарпатьеоблэнерго" назвали безпрецедентной.
You must be registered for see links
, которая произошла в конце 2015 года, была осуществлена с помощью вредоносного компьютерного обеспечения, спрятанного в документах Microsoft Office.Об этом говорится в
You must be registered for see links
, выпускающей известный антивирус NOD32.Сценарий атаки прост: жертва получает электронное письмо, которое содержит вложение с вредоносным документом. Например, в начале 2015 года вирус рассылался в сообщении с почтового сервиса Верховной Рады, где некие списки по мобилизации были вложены в отдельном Excel-файле. "Это пример использования социальной инженерии, а не уязвимостей программного обеспечения", - сказано в блоге.
You must be registered for see images
Скриношот компании CyS Centrum
Если жертва поверила письму и запустила документ с макросом, ее компьютер заражен. В случае с украинскими облэнерго, в документах был спрятан "троян" BlackEnergy, который заразил систему другим "трояном" Win32/KillDisk. Кроме того, что эта программа способна "убивать" файлы, необходимые для загрузки операционной системы, ее специально подготовили для атаки на энергокомпании.
Во-первых, в ней была заложена возможность активации с определенной задержкой. А во-вторых, ее настроили на закрытие процесса sec_service.exe, который может относиться к компьютерным программам ELTIMA Serial to Ethernet Connector и ASEM Ubiquity, используемым в автоматизированных системах управления (Industrial control system; ICS).
"Наш анализ разрушительной вредоносной программы KillDisk, обнаруженной в нескольких энергопоставляющих компаниях Украины, показывает, что в теории она способна отключать критически важные системы. Есть и другое возможное объяснение: бэкдор BlackEnergy, а также недавно обнаруженный бэкдор SSH обеспечивают злоумышленникам удаленный доступ к зараженной системе. После успешного заражения критической системы одним из этих троянов, злоумышленник, опять-таки теоретически, может получить возможность ее отключения. В таком случае внедренный троян KillDisk работает на то, чтобы восстановление стало более сложным. Мы со значительной долей уверенности можем предположить, что именно такой набор инструментов был использован, чтобы вызвать
You must be registered for see links
", - говорится в блоге.Такой же набор инструментов использовался недавно во время местных выборов в Украине. Однако тогда жертвами были средства массовой информации. В частности, была совершена атака на интернет-ресурсы группы StarLightMedia, в результате чего был сильно
You must be registered for see links
. По данным
You must be registered for see links
, первичным источником попадания BlackEnergy на сервера компании стала электронное письмо на адрес финансового отдела сайта.ESET отмечает, что жертвой декабрьской атаки стала не только Ивано-Франковская область, где 23 декабря произошел сбой в работе "Прикарпатьеоблэнерго", но и некоторые другие энергокомпании. е энергокомпании. ESET не уточняет, какие именно, но речь может идти также о "Киевоблэнерго" и "Черновцыоблэнерго". Согласно сообщению Минэнергоугля Украины, на уровне ведомства создана комиссия, которая должна установить причины сбоя в работе этих энергопоставляющих организаций.
Издание
You must be registered for see links
утверждает, что сбой в работе "Прикарпатьеоблэнерго" стал первым зафиксированным случаем отключения электроэнергии, который был вызван хакерской атакой."Это поворотный момент, так как мы и прежде видели примеры разрушительных атак на энергетические компании — например, на нефтяные - но никогда раньше они не вызывали массовые отключения электроэнергии. Это сценарий, которого мы боялись уже очень давно", - цитирует издание глава отдела кибершпионажа iSIGHT Partners Джона Халткуиста.
