Кібератака на Укренерго

Кібератака на підстанцію «Північна» компанії «Укренерго» сталась вночі з суботи на неділю, 17 грудня на 18 грудня 2016 року. Внаслідок атаки стався збій в автоматиці управління, через що споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму. Несправності були усунуті протягом 1 години 15 хвилин. Основною версією стала кібератака — зовнішнє втручання через мережі передачі даних[1]. Оператор підстанції, компанія «Укренерго» спочатку не стала підтверджувати кібератаку, проте залучені до розслідування фахівці з комп'ютерної безпеки підтвердили, що збій стався внаслідок кібератаки. Проміжні результати розслідування були представлені фахівцями Олексієм Ясінським від компанії Information Systems Security Partners (Україна) та Мариною Кротофіл від Honeywell Industrial Cyber Security Lab 10 січня 2017 року на конференції S4 у Флориді, США. Однак, нападники не стали завдавати істотної шкоди, натомість дана атака мала послужити «демонстрацією сили». Як і у попередніх випадках, дана атака була частиною масштабнішої фішингової операції проти державних установ України[2].

Кібератака на підстанцію «Північна» компанії «Укренерго»
Дата 17-18 грудня 2016 року
Місце  Україна: Київ та Київська область,
Результат Споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму
Підозрювані кіберзлочинне угрупування Electrum (за даними Dragos)

На початку червня 2017 року були оприлюднені доповіді фахівців компаній ESET та Dragos, в яких було наведено результати ретельного аналізу шкідливого ПЗ, використаного в атаці. Дане ПЗ отримало назву Industroyer або Crash Override[3].

Кібератака

Кібератака на автоматизовану систему управління технологічними процесами (АСУ ТП) компанії «Укренерго» стала другим відомим випадком вдалої кібератаки на енергетичну систему з виведенням її з ладу. Перший випадок стався за рік до дого, в грудні 2015 року, коли атаки зазнали системи управління трьох операторів енергетичної мережі України (таким чином атака 2016 року є, якщо рахувати кожну атаку на диспетчерську окремо, четвертою). Станом на 2017 рік обидва випадки були єдиними відомими вдалими кібератаками на енергетичну систему з виведенням її з ладу[3].

Попри схожі наслідки, атака 2016 року має істотні відмінності від атак 2015 року. Так, замість отримання прихованого доступу до корпоративної мережі оператора та відключення підстанцій вручну, нинішня атака була повністю автоматизована. Застосоване шкідливе ПЗ (яке отримало назву англ. Industroyer або англ. Crash Override) мало модулі для безпосереднього з'єднання та управління з мікроконтролерами із використанням промислових протоколів. Таким чином, скоротився час активної фази атаки, спростилась підготовка до неї, зменшилась кількість операторів[3].

За оцінками Роберта Лі, фахівця фірми Dragos, атаки 2015 року потребували близько 20 операторів. Новий підхід дозволяє тим самим 20 операторам водночас здійснити атаку на 10-15 диспетчерських[3].

Подібно до Stuxnet, у Crash Override була закладена можливість роботи навіть у відокремлених та ізольованих від Інтернет корпоративних мережах[3].

Фахівцям ESET та Dragos, які досліджували кібератаку, не вдалось встановити точний шлях потрапляння шкідливого ПЗ до корпоративної мережі Укренерго. Однак, щойно Crash Override розпочало роботу, воно одразу ж стало шукати системи управління та виявляти топологію комп'ютерної мережі. Також Crash Override записував журнал інформації з мережі для подальшої передачі своїм операторам для вивчення[3].

У виявлених зразках Crash Override були присутні чотири модулі для роботи з різними протоколами промислових мереж автоматизованих систем управління технологічними процесами. Крім того, програма мала інструмент для знищення всіх даних на вражених комп'ютерах[3].

Див. також

Примітки

Посилання

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.