Анализ потвърди масирана атака над украинската електропреносна мрежа

	Анализ потвърди масирана атака над украинската електропреносна мрежа
	В навечерието на Коледа масивен срив в части от електропреносната мрежа на Украйна стана причина половината от домовете в Ивано-Франковския регион в Западна Украйна да останат без електричество. Специалистите от iSIGHT Partners и други компании потвърдиха, че са се натъкнали на зловреден код в системите на няколко центъра на преносната мрежа, като става дума за Black Energy, сложна APT (advanced persistent threat) заплаха, използвана в кибершпионски операции, свързани с рускоговоряща хакерска групировка (Sandworm Team). Зловредната модулна програма е известно, че съществува поне от 2007г., като провеждащите атаките си с нея се свързват с Кремъл от някои медии. Заплахатa често бива обновявана, като последната добавка в нея е възможност за заличаване на данните, разположени на твърди дискове, наречена KillDisk. Специалистите не могат със сигурност да заявят, дали присъствието на Black Energy е свързано със срива в електропреносната система.Според специалисти по информационна сигурност, споменатата заплаха е използвана за достъп до системите, след което атакуващата страна се е възползвала от този си достъп, за да достигнат механизмите, контролиращи прекъсвачите на напрежението. Веднъж получили достъп до прекъсващите вериги, те използвали KillDisk функционалността, за да направят възстановяването на щетите невъзможно, а впоследствие стартират и мащабна атака към сайта и колцентровете на компанията, обслужваща нейните клиенти, за да не могат хората от поддръжката да получат доклади за сривовете, съобщават специалисти. В доклад на ICS центъра към SANS Institute се обяснява и протичането на самата атака."Атакуващата страна демонстрира планиране, координация и възможност да използване зловредна програма, за осъществи отдалечен достъп, за да заблуди грижещите се за системите, причинят нежелани последици към инфраструктурата, доставяща електричество и опит да забави възстановяването на услугата посредством изтриването на данните от SCADA сървърите след причиняването на срива на системите", пишат специалистите. Те обясняват, че самата атака включва поне три компонента: доставянето на зловредната програма, осъществяване на атака, причиняваща отказ за предоставяне на достъп до услуга до телефонните системи и липсващ компонент, виновен за финалната част на атаката. Самата атака, разбираме от съобщение на "Киевобленерго", украинската компания, управляваща засегнатите ресурси, трае около три часа и засяга 80 000 частни и юридически клиенти на компанията. От компанията са реагирали своевременно, като са превключили системите от автоматичен на ръчен режим, а възстановяването на захранването е отнело от 3 до 6 часа, пишат от SANS. Те обаче споделят, че KillDisk едва ли е използван при атаката, а по-скоро е нямал връзка с атаката - нещо, което противоречи на наблюденията на ESET. Самият Майкъл Асанте, шеф на ICS (Industrial Control Systems), предaващ за инцидента е доста по-предпазлив в заключенията си. За разлика от iSight, които не пестят бомбастични изказвания."Това представлява превратен момент, тъй като определено сме виждали разрушителни събития срещу енергийни системи преди - към петролни компании, например, но никога събитие, което да причинява срив. Това е онзи значим сценарий, за който всички се притеснявахме от толкова дълго", споделя за Ars Technica Джон Хулткист от компанията. Самата медия излиза със заглавието "Първото известно спиране на тока от хакери е сигнал за тревожна ескалация (на напрежението)". Макар и да не е доказан, първият случай на информационна атака към енергийни ресурси да датира от 80-те години на миналия век, когато предполагаемо заложена "логическа бомба" е виновна за огромен взрив по пътя на Транс-Сибирския тръбопровод, при който е отнет човешки живот. Отделно от това PC World цитира представители на ЦРУ, които заявяват, че хакери са прониквали в електрическата мрежа на държави извън САЩ и са прекъсвали електричеството в няколко града, без да ги назовават кои са те, като при това са искали откуп за възстановяване на нормалната работа на системите.

	Коментари
	Все още няма коментари