Эксперты ряда компаний, специализирующихся на информационной безопасности, сообщают, что в конце декабря 2015 года, в ходе атак на украинские СМИ и энергосети, была использована малварь, известная как BlackEnergy. Авторство данного вредоноса приписывают российской хакерской группе Sandworm, которая ранее осуществляла атаки на SCADA-системы в США и Европе. Однако декабрьский инцидент с украинскими энергосетями впервые повлек за собой массовое отключение электроэнергии.
23 декабря 2015 года украинская компания «Прикарпатьеоблэнерго» сообщила, что в работу ее систем было произведено некое «вмешательство». В результате без электричества осталась немалая часть западной Украины, а именно Ивано-Франковская область, включая столицу Прикарпатья — Ивано-Франковск. Служба безопасности Украины немедленно инициировала расследование происшедшего, не преминув обвинить в случившемся российских хакеров.
Расследованием инцидента также занялись и ведущие компании: ESET, iSight, Trend Micro и другие. В начале недели они представили первые отчеты о проделанной работе.
Вредонос BlackEnergy известен с 2007 года. За прошедшее время он неоднократно использовался для проведения атак на правительственные организации и инфраструктуру различных компаний по всему миру. Как выяснилось, в декабре минувшего года целью малвари действительно стали украинские СМИ и электроэнергетические компании.
Аналитик ESET Антон Черепанов пишет в официальном блоге, что компания «Прикарпатьеоблэнерго» была не единственной жертвой этой атаки. Очевидно, другие пострадавшие пока не хотят предавать случившееся огласке.
Еще в 2014 году специалисты «Лаборатории Касперского» изучили несколько десятков плагинов для Windows и Linux, которые BlackEnergy использует в работе. Тогда был обнаружен Windows-модуль, названный «dstr». По данным экспертов, он предназначался для уничтожения и перезаписи определенных данных, хранящихся на жестком диске зараженной машины.
Специалисты ESET тоже обнаружили похожий плагин — KillDisk (Win32/KillDisk), который злоумышленники начали применять в 2015 году. Компонент предназначен для уничтожения и перезаписи более 4000 типов файлов и призван повредить операционную систему до такой степени, чтобы она перестала загружаться.
В ходе атаки на украинские компании, была выявлена новая версия KillDisk, с которой эксперты ранее не встречались. Она позволяет атакующим точно назначить время, в которое вредоносный пейлоуд будет активирован. Также этот KillDisk умеет подчищать за собой журналы событий Windows. В декабре вредоносный модуль был призван повредить 35 типов файлов, включая документы, изображения, файлы баз данных и конфигурации.
Кроме того, эта версия малвари содержит функции, позволяющие саботировать работу промышленных систем. В частности, после заражения малварь отключает ряд процессов и повреждает ответственные за их запуск файлы. Один из этих процессов — sec_service.exe, он как раз относится к работе автоматизированной системы управления ASEM Ubiquity.
Помимо вредоноса BlackEnergy специалисты ESET выявили на одной из пострадавших машин SSH бэкдор (Win32/SSHBearDoor.A trojan), позволяющий злоумышленникам получить доступ к зараженной системе. Бэкдор заметили, когда на одном из серверов обнаружили якобы легитимную версию SSH-приложения Dropbear. На деле оказалось, что атакующие использовали VBS файлы и заставляли Dropbear сервер их обработать, что приводило к изменению его настроек. После этого сервер принимал соединения на порт 6789. Более того, сервер давал атакующим точку входа в сеть компании, позволяя использовать для входа жестко закодированный пароль или приватный ключ.
Специалисты iSight и Trend Micro согласны с заключением своих коллег: они тоже убеждены, что декабрьский блэкаут был спровоцирован хакерской атакой на «Прикарпатьеоблэнерго».
Однако эксперты ESET весьма осторожны в своих выводах. В блоге Антон Черепанов и Роберт Липовски (Robert Lypovsky) пишут, что обнаруженный в пострадавших системах троян BlackEnergy, теоретически, мог спровоцировать выход украинских энергосистем из строя, он обладает нужными для этого функциями. Однако специалисты видят и другое возможное объяснение. Сам по себе BlackEnergy, равно как и найденный SSH бэкдор, могли предоставить злоумышленникам доступ к зараженным сетям. А имея прямой доступ, атакующие могли попросту отключить критические узлы энергосистем вручную, а затем уже активировать модуль KillDisk для затруднения восстановления работы промышленного комплекса.
Также ни одна компания не спешит обвинять в случившемся российских правительственных хакеров. Лишь специалисты iSIGHT Partners, еще в 2014 году, усмотрели связь BlackEnergy с вышеупомянутой группой Sandworm, которую ранее уже связывали с российскими спецслужбами.
Фото: Chris Hunkeler