www.wikidata.uk-ua.nina.az

Кібератака на енергетичні компанії України перша зареєстрована успішна кібератака на енергетичну систему з виведенням її

Кібератака на енергетичні компанії України

Кібератака на енергетичні компанії України — перша зареєстрована успішна кібератака на енергетичну систему з виведенням її із ладу. Сталась 23 грудня 2015 року.

Кібератака на енергетичні компанії України
Знімок екрану відкритого документу, зараженого трояном BlackEnergy. З такого документа і почалось проникнення в комп'ютерну мережу диспетчерської «Прикарпаттяобленерго».
Дата 23 грудня 2015 року
Місце

 Україна:

Результат


  • «Прикарпаттяобленерго»: вимкнено близько 30 підстанцій, близько 230 тисяч мешканців залишались без світла протягом однієї-шести годин.
  • «Київобленерго»: відключено 30 вузлових підстанцій від яких живиться низка стратегічних об'єктів, понад 80 тисяч споживачів були без електрики протягом однієї-трьох годин.
Підозрювані російське кіберзлочинне угрупування Sandworm

Сутність Редагувати

Російським зловмисникам вдалось успішно атакувати комп'ютерні системи управління трьох енергопостачальних компаній України. Наступна, і набагато менш масштабна за наслідками, кібератака сталась вночі з 17 на 18 грудня 2016 року. Протягом трохи більше однієї години була виведена з ладу підстанція «Північна» енергокомпанії «Укренерго», без струму залишились споживачі північної частини правого берегу Києва та прилеглих районів області.

Найбільше від першої кібератаки постраждали споживачі «Прикарпаттяобленерго»: було вимкнено близько 30 підстанцій, близько 230 тисяч мешканців залишались без світла протягом однієї-шести годин. Атака відбувалась із використанням троянської програми BlackEnergy.

Водночас синхронних атак зазнали «Чернівціобленерго» та «Київобленерго», але з меншими наслідками. За інформацією одного з обленерго, підключення зловмисників до його інформаційних мереж відбувалося з підмереж глобальної мережі Internet, що належать провайдерам в Російській Федерації.

Загалом кібератака мала комплексний характер та складалась щонайменше з таких складових:

Перерва в електропостачанні склала від 1 до 3,5 годин. Загальний недовідпуск — 73 МВт·год (0.015 % від добового обсягу споживання України).

Внаслідок другої кібератаки, в грудні 2016 року, струм був відсутній протягом трохи більше однієї години.

Передісторія Редагувати

Приклад візуалізації виробничого процесу в людино-машинному інтерфейсі АСУ ТП

Інформаційні системи, відповідальні за управління роботою об'єктів інфраструктури відносять до класу автоматизованих систем керування технологічним процесом (скорочено АСК ТП; або англ. industrial control systems, ICS). Усі АСК ТП ділять на три класи: системи диспетчерського управління і збирання даних (SCADA), розподілені системи керування (РСК), програмовані логічні контролери (ПЛК).

Або загальних рисах, електрична мережа є об'єктом інфраструктури, який сполучає споживачів електричної енергії з її виробниками. У будь-якому процесі управління існує об'єкт, яким управляють (вимикач, трансформатор, генератор) і орган, який здійснює управління (технічний засіб, людина). У процесі управління цей орган отримує інформацію про стан зовнішнього середовища, де перебуває об'єкт і з яким він пов'язаний. Уся ця інформація сприймається управляючим органом, який виробляє на її основі управляючу інформацію (приймає рішення). На основі прийнятого рішення виконавчий орган здійснює управляючий вплив на об'єкт управління. При цьому оператор засобами людино-машинної взаємодії може впливати на параметри роботи АСУ ТП, керувати об'єктом управління, здійснювати діагностику, переглядати за поточним станом системи та виправляти виявлені несправності.

Складні інформаційні системи управління роблять системи автоматизації електричними мережами вразливими перед кібератаками. В праці дослідники виокремили три категорії можливих кібератак:

  • націлені на компоненти: електронно-обчислювальні прилади, такі як віддалені термінали (RTU) або людино-машинного інтерфейсу (HMI) зазвичай мають інтерфейс для віддаленого налаштування або управління. Через віддалений доступ зловмисник може перехопити управління пристроєм та спричинити несправності, наприклад:
    1. спотворити передані дані оператору;
    2. пошкодити обладнання, якщо оператор здійснює управління на основі спотворених даних;
    3. взагалі повне або часткове виведення пристрою з ладу.
  • націлені на протоколи: майже всі сучасні протоколи передачі даних добре задокументовані та їхнє описання знаходиться у відкритому доступі. Наприклад, стандарт DNP3 поширений в системах управління електричними мережами у Північній Америці. Його специфікація доступна всім охочім за невелику ціну. Документація протоколу полегшує завдання зворотної розробки для здійснення атаки типу «людина посередині». Серед іншого, зловмисник може відправляти спотворені дані, які можуть призвести до:
    1. фінансові втрати через перевиробництво елеткричної енергії;
    2. небезпека для працівників: наприклад, зловмисник може увімкнути живлення ЛЕП коли там працюють інженери;
    3. пошкодження обладнання, якщо внаслідок відправлених команд станеться перенавантаження окремих ланок системи.
  • націлені на топологію: зловмисники можуть скористатись також і вразливостями топології мережі. Наприклад, масована відправка коректних запитів на віддалені термінали може створити затримки у відправленні повідомлень в режимі реального часу. Це призведе до спотвореного представлення стану системи оператору, через що він може ухвалювати помилкові рішення.

Так само, як під час звичайної війни, об'єкти інфраструктури є мішенями атак і під час кібервійни.

Станом на 2016 рік вже були відомі успішні віддалені кібератаки на об'єкти інфраструктури. Наприклад, в 2000 році розлючений інженер Вайтек Боуден вирішив провчити своє керівництво і здійснив успішну кібератаку на очисні споруди в графстві Маручі (Квінсленд, Австралія). Внаслідок атаки до навколишнього середовища потрапило понад 800 тис. літрів неочищених стічних вод, природа та живі істоти зазнали істотної шкоди.

Приклад типової атаки Редагувати

Доступ Редагувати

Для здійснення атаки на системи промислового управління зловмисник спочатку має отримати до них доступ. В праці названо три поширених шляхи отримання несанкційованого доступу:

  • атака на шлюз між корпоративною мережею та мережею SCADA;
  • атака на зовнішні канали доступу до мережі SCADA через VPN;
  • зв'язок зі сторонніми серверами.

Для нормальної роботи систем управління необхідний певний обмін інформацією . Зазвичай, інформація зі SCADA потрапляє до тих чи інших баз даних, і долає деякий мережевий шлюз між комерційною та промисловою підмережами. Шлях для обміну інформацією може бути вразливим до атак.

Також системи SCADA можуть обмінюватись інформацією з терміналами операторів. Злам операторського терміналу також може бути використаний зловмисником для проникнення до мережі SCADA.

Вразливим до атак може бути і віддалений доступ операторів або інших інженерів до систем SCADA через VPN, особливо у випадку невірного налаштування.

Вразливість можуть становити сторонні сервери (архівування даних, розробників, аналітиків, тощо) та їхнє підключення до системи промислового управління.

Розвідка Редагувати

Після здобуття доступу до мережі промислового управління, зловмисник має здійснити розвідку, аби вивчити схему роботи SCADA. Інколи, надзвичайна складність систем SCADA посилює захист від атаки та примушує зловмисника витрачати час та сили на її вивчення.

Одразу після вторгнення зловмисник, швидше за все, матиме дуже обмежений доступ до решти мережі.

Серед доступних йому джерел інформації можуть бути внутрішні вебсервери, робочі станції операторів, мережеві диски, інші інтерфейси до керованих систем. Ці джерела інформації можуть бути доступними всім терміналам у мережі, інколи навіть без автентифікації користувача.

Іншим джерелом інформації може стати пасивна розвідка комп'ютерної мережі. Успіх цього методи істотно залежить від знаходження зкомпрометованої системи в мережі та вимагає від операторів виконувати якісь дії (аби генерувати потоки даних). На відміну від попереднього підходу, може надати інформацію про облікові дані користувачів, використані ними протоколи, налаштування, тощо. Також пасивна розвідка мережі не потребує відправки пакетів даних і тому непомітна системам виявлення вторгнень. Якщо зкомпрометована система знаходиться в одній мережі з основними складовими SCADA, зловмисник матиме можливість розвідки використаних протоколів та команд.

Зловмисник може вдатись і до активної розвідки мережі. Для цього йому знадобиться доступ до зкомпрометованої системи з правами адміністратора, оскільки цей метод передбачає можливість відправляти мережею спеціально сформовані пакети даних. Однак, ці пакети можуть бути помічені системою виявлення вторгнень, внаслідок чого системні адміністратори дізнаються про існування в мережі зкомпрометованої системи. На противагу попереднім методам, цей метод дозволяє зловмисникові дізнатись про доступні зі зкомпрометованої системи пристрої та інші термінали в мережі.

Нарешті, для розуміння та відтворення промислового процесу зловмисникові доведеться ретельно вивчити отриману ним інформацію. Наприклад, із перехоплених повідомлень він може дізнатись про існування терміналу «Вимикач-4А», але йому доведеться докласти додаткових зусиль аби збагнути, що це за вимикач, та як він впливає на систему в цілому.

Перехоплення управління Редагувати

Після вивчення промислового процесу, зловмисник може перейти до перехоплення управління ним. Різні методи можуть надавати різний рівень контролю, а відповідно, і результати атаки.

Серед найважливіших об'єктів для атаки є головний диспетчерський блок (англ. front-end processor, FEP), який відповідає за взаємодію між програмованими логічними контролерами та іншими компонентами системи SCADA, зокрема, з людино-машинним інтерфейсом з оператором.

Іще однією важливою мішенню для зловмисника може бути людино-машинний інтерфейс (HMI), оскільки він доступно представляє стан всієї системи та надає можливість оператору керувати нею. Однак, можливості для атаки будуть обмежені можливостями людино-машинного інтерфейсу і тому зловмисникові може не вдатись вивести систему з ладу або завдати якоїсь істотнішої шкоди.

Атака на людино-машинний інтерфейс є атакою націленою на компоненту. З її переваг можна назвати те, що вона може бути здійснена із використанням звичайних підходів та інструментів, не пов'язаних з промисловими системами управління. Також атака на людино-машинний інтерфейс дозволить зловмисникові приховати свою діяльність під виглядом звичайної роботи оператора.

Схожою на атаку на людино-машинний інтерфейс може бути атака на робочі станції інженерів (англ. engineering workstation, EWS), залучених в розробці програмного забезпечення для людино-машинного інтерфейсу та іншого системного ПЗ. Перевага атаки на робочі станції полягає в тому, що вони можуть не мати обмежень, які накладає людино-машинний інтерфейс.

Зловмисник, після вивчення протоколу між людино-машинним інтерфейсом і контролерами, може здійснити спуфінгову атаку — відправляти підроблені команди контролерам або спотворювати дані, передані оператору.

Програмовані логічні контролери, особливо під'єднані до мережі, можуть бути іще одним об'єктом атаки. Інколи програмовані контролери доступні через вебслужби, модеми, протокол Telnet. Погано захищений контролер може видати зловмиснику не лише інформацію про свій стан, а й навіть про запрограмовану логіку та вбудовану програму.

Перша хвиля Редагувати

«Прикарпаттяобленерго» Редагувати

Нападники змогли отримати доступ до корпоративної мережі компанії завдяки вдалому зараженню комп'ютера одного із співробітників трояном BlackEnergy третьої версії. Проте, мережі цифрових контролерів, які власне і керують обладнанням, знаходились за мережевими екранами.

Протягом багатьох місяців вони проводили масштабну розвідку, досліджували та описували мережі і здобували доступ до служби Windows Domain Controllers, яка керує обліковими записами користувачів мереж. Тут вони зібрали реквізити співробітників, у тому числі паролі від захищеної мережі VPN, яку працівники енергокомпаній використовували для віддаленого підключення до мережі SCADA.

Здобувши доступ до внутрішньої мережі нападники переконфігурували пристрої безперебійного живлення (UPS), відповідальні за енергопостачання двох диспетчерських центрів.

Кожне обленерго використовувало власну систему управління розподілом енергії у своїх мережах, і під час фази розвідки нападники ретельно вивчили кожну з них. Тоді вони написали шкідливий мікрокод, яким замінили справжній вбудований мікрокод на конвертерах із серійного інтерфейсу на інтерфейс Ethernet у понад десяти підстанціях (ці конвертери застосовуються для обробки команд, які надходять від мережі SCADA до систем управління підстанцією).

Виведення з ладу конвертерів не давало операторам змогу посилати віддалені команди для повторного включення запобіжників після того, як енергію було вимкнено.

Приблизно о 3:30 по обіді 23 грудня вони зайшли в мережі SCADA через вкрадені облікові записи і віддали команди на вимкнення систем безперебійного живлення, які вони вже переконфігурували раніше. Після цього вони почали вимикати запобіжні системи, які переривали живлення.

Але перед цим вони запустили атаку за методикою «відмова від обслуговування» на кол-центри обленерго, аби користувачі не могли повідомити про аварію. Фіктивні дзвінки, судячи з усього, надходили з Москви.

Після того, як нападники вимкнули запобіжники і відключили низку підстанцій від мережі, вони також переписали програмний мікрокод на конвертерах із серійного інтерфейсу на інтерфейс Ethernet, замінивши «справжнє» програмне забезпечення шкідливим, і тим самим вивівши з ладу конвертери, які перестали виконувати команди.

Завершивши всі ці дії, зловмисники застосували програму під назвою KillDisk для знищення файлів з комп'ютерів операторів підстанцій, тим самим вивівши і їх з ладу. KillDisk стирає чи перезаписує дані в критично важливих системних файлах, викликаючи їхнє «зависання».

Деякі з компонентів KillDisk потрібно запускати вручну, але нападники у двох випадках застосували так звану «логічну бомбу», яка запустила KillDisk автоматично через 90 хвилин після початку атаки.

Через півгодини, коли KillDisk мав зробити свою справу і в операторів не залишилось сумнівів щодо причини масштабного зникнення світла, компанія розмістила друге повідомлення — про те, що до цього причетні хакери.

«Київобленерго» Редагувати

Одночасно з атаками на західноукраїнські обленерго, хакери завдали потужного удару по комп'ютерних мережах «Київобленерго»: 23 грудня 2015 року сторонніми особами було здійснено несанкційоване втручання в інформаційно-технологічну систему віддаленого доступу до телеуправління обладнанням підстанцій 35-110 кВ ПАТ «Київобленерго»

В результаті втручання виникли збої в роботі телемеханіки та було відключено 30 вузлових підстанцій (7 — ПС-110 кВ та 23 — ПС-35 кВ) від яких живиться низка стратегічних об'єктів області: підприємства, державні установи, заклади та населення. З 15:31 хв. до 16:30 хв. було повністю або частково відключено близько п'ятдесяти населених пунктів у Білоцерківському, Кагарлицькому, Миронівському, Фастівському, Сквирському, Макарівському, Рокитнянському, Іванківському та Яготинському адміністративних районах, без електричної енергії були понад 80 378 споживачів. Електропостачання було відновлено всім споживачам о 18:56 того ж дня.

Друга хвиля Редагувати

Невстановлені зловмисники здійснили наприкінці лютого 2016 року другу хвилю кібератак на компанії енергетичного сектора України: 19 та 20 лютого ними було розіслано близько 100 отримувачам «вірусні» листи електронною поштою.

Перший етап «вірусної розсилки» розпочався надвечір 19 лютого 2016, другий етап розпочався зранку, до початку робочого дня 20 лютого (вівторок та середа відповідно). Тоді НЕК «Укренерго», довідавшись про масову розсилку листів начебто від її імені виступила із заявою на офіційному вебсайті.

Як і в попередній хвилі (грудень 2015 року), зловмисники скористались поширеним прийомом соціальної інженерії: електронний лист мав вкладений документ-приманку, при перегляді якого жертві пропнується активувати макрос для коректнішого зображення вмісту.

Після відкриття документа на комп'ютері жертви створюється і запускається завантажувач, завданням якого є завантаження, декодування, та запуск шкідливої програми (файл: «root.cert»). У випадку цієї атаки шкідлива програма — бекдор був завантажений із зламаного іще в середині серпня 2015 року сервера, який фізично знаходився в Україні:

На цьому етапі можна виокремити дві риси подібні до попередньої хвилі атак із застосуванням BlackEnergy:

  1. Для відправлення електронного листа зі шкідливим вкладенням «Ocenka.xls» був використаний відомий сервер:
  2. Електронний лист, як і в першій хвилі, містив в тілі рядок (гіперпосилання на файл), назва якого містила закодовану в base64 адресу електронної пошти жертви:

На відміну від попередньої хвилі, цього разу як бекдор була використана програма з відкритими кодами Gcat, а не потужніший та гнучкіший BlackEnergy. Програма Gcat написана мовою програмування Python та перетворена на .EXE файл програмою PyInstaller, як канал керування використана служба електронної пошти Gmail. Попри простоту цієї програми (в порівнянні з BlackEnergy версій 2 та 3), вона має низку переваг, одна з яких — ускладнення її виявлення методом глибокого інспектування пакетів (DPI) каналу керування бекдором в інформаційних потоках (оскільки він нічим не відрізняється від звичайного використання поштової служби Gmail).

Оскільки зловмисники залишили в обфускованому коді бекдору дані облікового запису каналу керування, стало можливим дослідити управління інфікованою системою з точки зору зловмисника. З проведеного дослідження випливало, що зловмисник здійснював атаку цілєспрямовано, скеровано на конкретну, вибрану ним жертву.

Завдяки вчасній реакції служб захисту інформаційних систем CyS-CERT та втручання CERT-UA була встановлена адреса сервера керування, задіяного в атаці, 20 лютого о 10:51 інтернет-провайдер Dream Line закрив до нього доступ. Цим були припинені подальші спроби завантаження бекдору. До роботи із збереження електронних доказів, збирання даних для ідентифікації причетних до атаки осіб, були залучені співробітники СБУ.

В результаті додаткового розслідування було встановлено, що після першої розсилки надвечір 19 лютого щонайменше два співробітника із двох компаній відкрили документ-приманку, запустили макрос, в результаті чого був успішно завантажений бекдор, але завантажені бекдори встановитись не змогли.

20 лютого 2016 року, вже після першої та другої розсилок, був для зловмисників успішнішим днем. В проміжок між 08:42 та 10:39 бекдор був завантажений 9 співробітниками із 4 компаній. Однак, успішне встановлення бекдору з відкриттям каналу керування сталась лише на одному комп'ютері однієї компанії. При цьому зловмисники почали скеровану розвідку комп'ютерної мережі жертви, що може свідчити про те, що зловмисники були обізнані про сткрутуру інформаційної системи компанії та були причетні до атак в грудні 2015 року.

Кібератака 17-18 грудня 2016 року Редагувати

У вечорі та вночі з суботи на неділю, 17 на 18 грудня 2016 року на підстанції «Північна» стався збій в автоматиці управління, через що споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму. Несправності були усунуті протягом 1 години 15 хвилин. Основною версією стала кібератака — зовнішнє втручання через мережі передачі даних. Оператор підстанції, компанія «Укренерго» спочатку не стала підтверджувати кібератаку, проте залучені до розслідування фахівці з комп'ютерної безпеки підтвердили, що збій стався внаслідок кібератаки. Проміжні результати розслідування були представлені фахівцями Олексієм Ясінським від компанії Information Systems Security Partners (Україна) та Мариною Кротофіл від Honeywell Industrial Cyber Security Lab 10 січня 2017 року на конференції S4 у Флориді, США. Однак, нападники не стали завдавати істотної шкоди, натомість дана атака мала послужити «демонстрацією сили». Як і у попередніх випадках, дана атака була частиною масштабнішої фішингової операції проти державних установ України.

На початку червня 2017 року були оприлюднені доповіді фахівців компаній ESET та Dragos, в яких було наведено результати ретельного аналізу шкідливого ПЗ, використаного в атаці. Дане ПЗ отримало назву Industroyer або Crash Override.

Інші кібератаки на енергетичні системи Редагувати

Кібератаки на електростанції, диспетчерські, та енергетичну інфраструктуру траплялись як до, так і після кібератаки на «Прикарпаттяобленерго», зокрема:

  • Восени 2012 року три зразки шкідливого ПЗ були виявлені на комп'ютерах енергетичної компанії в США. Шкідливе ПЗ потрапило до інформаційної системи на USB-носії, який один з інженерів використовував для архівування налаштувань системи управління. Слід зазначити, що вражені системи не мали резервних механізмів, тому видалення вірусів потребувало надзвичайної уваги.
  • Навесні 2016 року комп'ютерні віруси «W32.Ramnit» та «Conficker» були виявлені в інформаційній системі, яка виконує візуалізацію пересування стрижнів із ядерним паливом, а також в офісній мережі атомної електростанції Gundremmingen, що знаходиться за 120 км на північний захід від Мюнхена. За твердженнями оператора, цей інцидент не становив загрози для безпеки станції.

Примітки Редагувати

  1. Kim Zetter (10 січня 2017). . Vice Motherboard. Архів оригіналу за 18 січня 2017. Процитовано 12 січня 2017. 
  2. Кім Зеттер, Wired (17 березня 2016). . ТЕКСТИ. Архів оригіналу за 25 лютого 2022. Процитовано 18 березня 2016. 
  3. . Міністерство енергетики та вугільної промисловості України. 12 лютого 2016. Архів оригіналу за 22 липня 2020. Процитовано 24 червня 2016. 
  4. Shakarian, Paulo; Shakarian, Jana; Ruef, Andrew (2013). 11. Cyber Warfare Against Industry. Introduction to cyber-warfare: a multidisciplinary approach. Amsterdam ; Boston: Syngress. ISBN 978-0-12-407814-7. 
  5. Shakarian, Paulo; Shakarian, Jana; Ruef, Andrew (2013). 12. Can Cyber Warfare Leave a Nation in the Dark? Cyber Attacks Against Electrical Infrastructure. Introduction to cyber-warfare: a multidisciplinary approach. Amsterdam ; Boston: Syngress. ISBN 978-0-12-407814-7. 
  6. http://www.d-learn.pu.if.ua/data/users/9645/Lecture1_ISU.pdf [ 16 серпня 2016 у Wayback Machine.] Лекція 1. Загальна характеристика автоматизованих систем управління
  7. Wei D, Yan L, Jafari M, Skare PM, Rohde K. (2011). Protecting smart grid automation systems against cyberattacks. IEEE Trans Smart Grid 4 (2): 782–795. doi:10.1109/TSG.2011.2159999. 
  8. Наталка Прудка (8 Квітня 2016). . Главком. Архів оригіналу за 14 червня 2016. Процитовано 24 червня 2016. 
  9. . CyS-CENTRUM. 29 лютого 2016. Архів оригіналу за 14 серпня 2016. Процитовано 24 червня 2016. 
  10. Robert Lipovsky (20 лютого 2016). . We Live Security. Архів оригіналу за 9 липня 2016. Процитовано 24 червня 2016. 
  11. . ITC.ua. 19 грудня 2016. Архів оригіналу за 21 липня 2020. Процитовано 19 грудня 2016. 
  12. Andy Greenberg (12.06.2017). . Wired. Архів оригіналу за 13 червня 2017. Процитовано 13 червня 2017. 
  13. . Економічна правда. Архів оригіналу за 17 червня 2017. Процитовано 17 червня 2017. 
  14. ICS-CERT. 2 січня 2013. Архів оригіналу за 13 червня 2016. Процитовано 31 травня 2016. 
  15. Jeff Goldman (16 січня 2013). . eSecurityPlanet. Архів оригіналу за 11 червня 2016. Процитовано 31 травня 2016. 
  16. Christoph Steitz and Eric Auchard (27 квітня 2016). . Reuters. https://www.facebook.com/Reuters. Архів оригіналу за 4 червня 2016. Процитовано 31 травня 2016. 

Література Редагувати

  • Robert M. Lee, Michael J. Assante, Tim Conway (18 березня 2016). . E-ISAC. Архів оригіналу за 1 квітня 2018. Процитовано 8 червня 2016. 
  • Nate Beach-Westmoreland, Jake Styczynski, Scott Stables (November 2016). . Booz Allen Hamilton. Архів оригіналу за 11 листопада 2016. Процитовано 11 листопада 2016. 
  • Wei D, Yan L, Jafari M, Skare PM, Rohde K. (2011). Protecting smart grid automation systems against cyberattacks. IEEE Trans Smart Grid 4 (2): 782–795. doi:10.1109/TSG.2011.2159999. 
  • книжка окрім описання Stuxnet та подій навколо його застосування, виявлення, дослідження, містить широкий огляд відомих кібератак на промислові АСУ ТП та об'єкти критичної інфраструктури

Див. також Редагувати

Посилання Редагувати

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри
Дата публікації:
Kiberataka na energetichni kompaniyi Ukrayini persha zareyestrovana uspishna kiberataka na energetichnu sistemu z vivedennyam yiyi iz ladu Stalas 23 grudnya 2015 roku Kiberataka na energetichni kompaniyi UkrayiniZnimok ekranu vidkritogo dokumentu zarazhenogo troyanom BlackEnergy Z takogo dokumenta i pochalos proniknennya v komp yuternu merezhu dispetcherskoyi Prikarpattyaoblenergo Data 23 grudnya 2015 rokuMisce Ukrayina Ivano Frankivska oblast Kiyivska oblast Chernivecka oblastRezultat Prikarpattyaoblenergo vimkneno blizko 30 pidstancij blizko 230 tisyach meshkanciv zalishalis bez svitla protyagom odniyeyi shesti godin Kiyivoblenergo vidklyucheno 30 vuzlovih pidstancij vid yakih zhivitsya nizka strategichnih ob yektiv ponad 80 tisyach spozhivachiv buli bez elektriki protyagom odniyeyi troh godin Pidozryuvani rosijske kiberzlochinne ugrupuvannya Sandworm Zmist 1 Sutnist 2 Peredistoriya 3 Priklad tipovoyi ataki 3 1 Dostup 3 2 Rozvidka 3 3 Perehoplennya upravlinnya 4 Persha hvilya 4 1 Prikarpattyaoblenergo 4 2 Kiyivoblenergo 5 Druga hvilya 6 Kiberataka 17 18 grudnya 2016 roku 7 Inshi kiberataki na energetichni sistemi 8 Primitki 9 Literatura 10 Div takozh 11 PosilannyaSutnist RedaguvatiRosijskim zlovmisnikam vdalos uspishno atakuvati komp yuterni sistemi upravlinnya troh energopostachalnih kompanij Ukrayini Nastupna i nabagato mensh masshtabna za naslidkami kiberataka stalas vnochi z 17 na 18 grudnya 2016 roku Protyagom trohi bilshe odniyeyi godini bula vivedena z ladu pidstanciya Pivnichna energokompaniyi Ukrenergo bez strumu zalishilis spozhivachi pivnichnoyi chastini pravogo beregu Kiyeva ta prileglih rajoniv oblasti 1 Najbilshe vid pershoyi kiberataki postrazhdali spozhivachi Prikarpattyaoblenergo bulo vimkneno blizko 30 pidstancij blizko 230 tisyach meshkanciv zalishalis bez svitla protyagom odniyeyi shesti godin Ataka vidbuvalas iz vikoristannyam troyanskoyi programi BlackEnergy 2 Vodnochas sinhronnih atak zaznali Chernivcioblenergo ta Kiyivoblenergo ale z menshimi naslidkami Za informaciyeyu odnogo z oblenergo pidklyuchennya zlovmisnikiv do jogo informacijnih merezh vidbuvalosya z pidmerezh globalnoyi merezhi Internet sho nalezhat provajderam v Rosijskij Federaciyi 3 Zagalom kiberataka mala kompleksnij harakter ta skladalas shonajmenshe z takih skladovih 3 poperednye zarazhennya merezh za dopomogoyu pidroblenih listiv elektronnoyi poshti z vikoristannyam metodiv socialnoyi inzheneriyi zahoplennya upravlinnya ASDU z vikonannyam operacij vimikan na pidstanciyah vivedennya z ladu elementiv IT infrastrukturi dzherela bezperebijnogo zhivlennya modemi RTU komutatori znishennya informaciyi na serverah ta robochih stanciyah utilitoyu KillDisk ataka na telefonni nomeri kol centriv z metoyu vidmovi v obslugovuvanni znestrumlenih abonentiv Pererva v elektropostachanni sklala vid 1 do 3 5 godin Zagalnij nedovidpusk 73 MVt god 0 015 vid dobovogo obsyagu spozhivannya Ukrayini 3 Vnaslidok drugoyi kiberataki v grudni 2016 roku strum buv vidsutnij protyagom trohi bilshe odniyeyi godini 1 Peredistoriya Redaguvati nbsp Priklad vizualizaciyi virobnichogo procesu v lyudino mashinnomu interfejsi ASU TPInformacijni sistemi vidpovidalni za upravlinnya robotoyu ob yektiv infrastrukturi vidnosyat do klasu avtomatizovanih sistem keruvannya tehnologichnim procesom skorocheno ASK TP abo angl industrial control systems ICS Usi ASK TP dilyat na tri klasi sistemi dispetcherskogo upravlinnya i zbirannya danih SCADA rozpodileni sistemi keruvannya RSK programovani logichni kontroleri PLK 4 Abo zagalnih risah elektrichna merezha ye ob yektom infrastrukturi yakij spoluchaye spozhivachiv elektrichnoyi energiyi z yiyi virobnikami 5 U bud yakomu procesi upravlinnya isnuye ob yekt yakim upravlyayut vimikach transformator generator i organ yakij zdijsnyuye upravlinnya tehnichnij zasib lyudina U procesi upravlinnya cej organ otrimuye informaciyu pro stan zovnishnogo seredovisha de perebuvaye ob yekt i z yakim vin pov yazanij Usya cya informaciya sprijmayetsya upravlyayuchim organom yakij viroblyaye na yiyi osnovi upravlyayuchu informaciyu prijmaye rishennya Na osnovi prijnyatogo rishennya vikonavchij organ zdijsnyuye upravlyayuchij vpliv na ob yekt upravlinnya 6 Pri comu operator zasobami lyudino mashinnoyi vzayemodiyi mozhe vplivati na parametri roboti ASU TP keruvati ob yektom upravlinnya zdijsnyuvati diagnostiku pereglyadati za potochnim stanom sistemi ta vipravlyati viyavleni nespravnosti 4 Skladni informacijni sistemi upravlinnya roblyat sistemi avtomatizaciyi elektrichnimi merezhami vrazlivimi pered kiberatakami V praci 7 doslidniki viokremili tri kategoriyi mozhlivih kiberatak nacileni na komponenti elektronno obchislyuvalni priladi taki yak viddaleni terminali RTU abo lyudino mashinnogo interfejsu HMI zazvichaj mayut interfejs dlya viddalenogo nalashtuvannya abo upravlinnya Cherez viddalenij dostup zlovmisnik mozhe perehopiti upravlinnya pristroyem ta sprichiniti nespravnosti napriklad spotvoriti peredani dani operatoru poshkoditi obladnannya yaksho operator zdijsnyuye upravlinnya na osnovi spotvorenih danih vzagali povne abo chastkove vivedennya pristroyu z ladu nacileni na protokoli majzhe vsi suchasni protokoli peredachi danih dobre zadokumentovani ta yihnye opisannya znahoditsya u vidkritomu dostupi Napriklad standart DNP3 poshirenij v sistemah upravlinnya elektrichnimi merezhami u Pivnichnij Americi Jogo specifikaciya dostupna vsim ohochim za neveliku cinu Dokumentaciya protokolu polegshuye zavdannya zvorotnoyi rozrobki dlya zdijsnennya ataki tipu lyudina poseredini Sered inshogo zlovmisnik mozhe vidpravlyati spotvoreni dani yaki mozhut prizvesti do finansovi vtrati cherez perevirobnictvo eletkrichnoyi energiyi nebezpeka dlya pracivnikiv napriklad zlovmisnik mozhe uvimknuti zhivlennya LEP koli tam pracyuyut inzheneri poshkodzhennya obladnannya yaksho vnaslidok vidpravlenih komand stanetsya perenavantazhennya okremih lanok sistemi nacileni na topologiyu zlovmisniki mozhut skoristatis takozh i vrazlivostyami topologiyi merezhi Napriklad masovana vidpravka korektnih zapitiv na viddaleni terminali mozhe stvoriti zatrimki u vidpravlenni povidomlen v rezhimi realnogo chasu Ce prizvede do spotvorenogo predstavlennya stanu sistemi operatoru cherez sho vin mozhe uhvalyuvati pomilkovi rishennya 7 Tak samo yak pid chas zvichajnoyi vijni ob yekti infrastrukturi ye mishenyami atak i pid chas kibervijni 4 Stanom na 2016 rik vzhe buli vidomi uspishni viddaleni kiberataki na ob yekti infrastrukturi Napriklad v 2000 roci rozlyuchenij inzhener Vajtek Bouden virishiv provchiti svoye kerivnictvo i zdijsniv uspishnu kiberataku na ochisni sporudi v grafstvi Maruchi Kvinslend Avstraliya Vnaslidok ataki do navkolishnogo seredovisha potrapilo ponad 800 tis litriv neochishenih stichnih vod priroda ta zhivi istoti zaznali istotnoyi shkodi 4 Priklad tipovoyi ataki RedaguvatiDostup Redaguvati Dlya zdijsnennya ataki na sistemi promislovogo upravlinnya zlovmisnik spochatku maye otrimati do nih dostup V praci 7 nazvano tri poshirenih shlyahi otrimannya nesankcijovanogo dostupu 5 ataka na shlyuz mizh korporativnoyu merezheyu ta merezheyu SCADA ataka na zovnishni kanali dostupu do merezhi SCADA cherez VPN zv yazok zi storonnimi serverami Dlya normalnoyi roboti sistem upravlinnya neobhidnij pevnij obmin informaciyeyu Zazvichaj informaciya zi SCADA potraplyaye do tih chi inshih baz danih i dolaye deyakij merezhevij shlyuz mizh komercijnoyu ta promislovoyu pidmerezhami Shlyah dlya obminu informaciyeyu mozhe buti vrazlivim do atak 7 Takozh sistemi SCADA mozhut obminyuvatis informaciyeyu z terminalami operatoriv Zlam operatorskogo terminalu takozh mozhe buti vikoristanij zlovmisnikom dlya proniknennya do merezhi SCADA 7 Vrazlivim do atak mozhe buti i viddalenij dostup operatoriv abo inshih inzheneriv do sistem SCADA cherez VPN osoblivo u vipadku nevirnogo nalashtuvannya 7 Vrazlivist mozhut stanoviti storonni serveri arhivuvannya danih rozrobnikiv analitikiv tosho ta yihnye pidklyuchennya do sistemi promislovogo upravlinnya 7 Rozvidka Redaguvati Pislya zdobuttya dostupu do merezhi promislovogo upravlinnya zlovmisnik maye zdijsniti rozvidku abi vivchiti shemu roboti SCADA Inkoli nadzvichajna skladnist sistem SCADA posilyuye zahist vid ataki ta primushuye zlovmisnika vitrachati chas ta sili na yiyi vivchennya 7 Odrazu pislya vtorgnennya zlovmisnik shvidshe za vse matime duzhe obmezhenij dostup do reshti merezhi Sered dostupnih jomu dzherel informaciyi mozhut buti vnutrishni vebserveri robochi stanciyi operatoriv merezhevi diski inshi interfejsi do kerovanih sistem Ci dzherela informaciyi mozhut buti dostupnimi vsim terminalam u merezhi inkoli navit bez avtentifikaciyi koristuvacha 7 Inshim dzherelom informaciyi mozhe stati pasivna rozvidka komp yuternoyi merezhi Uspih cogo metodi istotno zalezhit vid znahodzhennya zkomprometovanoyi sistemi v merezhi ta vimagaye vid operatoriv vikonuvati yakis diyi abi generuvati potoki danih Na vidminu vid poperednogo pidhodu mozhe nadati informaciyu pro oblikovi dani koristuvachiv vikoristani nimi protokoli nalashtuvannya tosho Takozh pasivna rozvidka merezhi ne potrebuye vidpravki paketiv danih i tomu nepomitna sistemam viyavlennya vtorgnen Yaksho zkomprometovana sistema znahoditsya v odnij merezhi z osnovnimi skladovimi SCADA zlovmisnik matime mozhlivist rozvidki vikoristanih protokoliv ta komand 7 Zlovmisnik mozhe vdatis i do aktivnoyi rozvidki merezhi Dlya cogo jomu znadobitsya dostup do zkomprometovanoyi sistemi z pravami administratora oskilki cej metod peredbachaye mozhlivist vidpravlyati merezheyu specialno sformovani paketi danih Odnak ci paketi mozhut buti pomicheni sistemoyu viyavlennya vtorgnen vnaslidok chogo sistemni administratori diznayutsya pro isnuvannya v merezhi zkomprometovanoyi sistemi Na protivagu poperednim metodam cej metod dozvolyaye zlovmisnikovi diznatis pro dostupni zi zkomprometovanoyi sistemi pristroyi ta inshi terminali v merezhi 7 Nareshti dlya rozuminnya ta vidtvorennya promislovogo procesu zlovmisnikovi dovedetsya retelno vivchiti otrimanu nim informaciyu Napriklad iz perehoplenih povidomlen vin mozhe diznatis pro isnuvannya terminalu Vimikach 4A ale jomu dovedetsya doklasti dodatkovih zusil abi zbagnuti sho ce za vimikach ta yak vin vplivaye na sistemu v cilomu 7 Perehoplennya upravlinnya Redaguvati Pislya vivchennya promislovogo procesu zlovmisnik mozhe perejti do perehoplennya upravlinnya nim Rizni metodi mozhut nadavati riznij riven kontrolyu a vidpovidno i rezultati ataki 7 Sered najvazhlivishih ob yektiv dlya ataki ye golovnij dispetcherskij blok angl front end processor FEP yakij vidpovidaye za vzayemodiyu mizh programovanimi logichnimi kontrolerami ta inshimi komponentami sistemi SCADA zokrema z lyudino mashinnim interfejsom z operatorom 7 Ishe odniyeyu vazhlivoyu mishennyu dlya zlovmisnika mozhe buti lyudino mashinnij interfejs HMI oskilki vin dostupno predstavlyaye stan vsiyeyi sistemi ta nadaye mozhlivist operatoru keruvati neyu Odnak mozhlivosti dlya ataki budut obmezheni mozhlivostyami lyudino mashinnogo interfejsu i tomu zlovmisnikovi mozhe ne vdatis vivesti sistemu z ladu abo zavdati yakoyis istotnishoyi shkodi 7 Ataka na lyudino mashinnij interfejs ye atakoyu nacilenoyu na komponentu Z yiyi perevag mozhna nazvati te sho vona mozhe buti zdijsnena iz vikoristannyam zvichajnih pidhodiv ta instrumentiv ne pov yazanih z promislovimi sistemami upravlinnya Takozh ataka na lyudino mashinnij interfejs dozvolit zlovmisnikovi prihovati svoyu diyalnist pid viglyadom zvichajnoyi roboti operatora 7 Shozhoyu na ataku na lyudino mashinnij interfejs mozhe buti ataka na robochi stanciyi inzheneriv angl engineering workstation EWS zaluchenih v rozrobci programnogo zabezpechennya dlya lyudino mashinnogo interfejsu ta inshogo sistemnogo PZ Perevaga ataki na robochi stanciyi polyagaye v tomu sho voni mozhut ne mati obmezhen yaki nakladaye lyudino mashinnij interfejs 7 Zlovmisnik pislya vivchennya protokolu mizh lyudino mashinnim interfejsom i kontrolerami mozhe zdijsniti spufingovu ataku vidpravlyati pidrobleni komandi kontroleram abo spotvoryuvati dani peredani operatoru 7 Programovani logichni kontroleri osoblivo pid yednani do merezhi mozhut buti ishe odnim ob yektom ataki Inkoli programovani kontroleri dostupni cherez vebsluzhbi modemi protokol Telnet Pogano zahishenij kontroler mozhe vidati zlovmisniku ne lishe informaciyu pro svij stan a j navit pro zaprogramovanu logiku ta vbudovanu programu 7 Persha hvilya Redaguvati Prikarpattyaoblenergo Redaguvati Napadniki zmogli otrimati dostup do korporativnoyi merezhi kompaniyi zavdyaki vdalomu zarazhennyu komp yutera odnogo iz spivrobitnikiv troyanom BlackEnergy tretoyi versiyi Prote merezhi cifrovih kontroleriv yaki vlasne i keruyut obladnannyam znahodilis za merezhevimi ekranami Protyagom bagatoh misyaciv voni provodili masshtabnu rozvidku doslidzhuvali ta opisuvali merezhi i zdobuvali dostup do sluzhbi Windows Domain Controllers yaka keruye oblikovimi zapisami koristuvachiv merezh Tut voni zibrali rekviziti spivrobitnikiv u tomu chisli paroli vid zahishenoyi merezhi VPN yaku pracivniki energokompanij vikoristovuvali dlya viddalenogo pidklyuchennya do merezhi SCADA Zdobuvshi dostup do vnutrishnoyi merezhi napadniki perekonfiguruvali pristroyi bezperebijnogo zhivlennya UPS vidpovidalni za energopostachannya dvoh dispetcherskih centriv Kozhne oblenergo vikoristovuvalo vlasnu sistemu upravlinnya rozpodilom energiyi u svoyih merezhah i pid chas fazi rozvidki napadniki retelno vivchili kozhnu z nih Todi voni napisali shkidlivij mikrokod yakim zaminili spravzhnij vbudovanij mikrokod na konverterah iz serijnogo interfejsu na interfejs Ethernet u ponad desyati pidstanciyah ci konverteri zastosovuyutsya dlya obrobki komand yaki nadhodyat vid merezhi SCADA do sistem upravlinnya pidstanciyeyu Vivedennya z ladu konverteriv ne davalo operatoram zmogu posilati viddaleni komandi dlya povtornogo vklyuchennya zapobizhnikiv pislya togo yak energiyu bulo vimkneno Priblizno o 3 30 po obidi 23 grudnya voni zajshli v merezhi SCADA cherez vkradeni oblikovi zapisi i viddali komandi na vimknennya sistem bezperebijnogo zhivlennya yaki voni vzhe perekonfiguruvali ranishe Pislya cogo voni pochali vimikati zapobizhni sistemi yaki pererivali zhivlennya Ale pered cim voni zapustili ataku za metodikoyu vidmova vid obslugovuvannya na kol centri oblenergo abi koristuvachi ne mogli povidomiti pro avariyu Fiktivni dzvinki sudyachi z usogo nadhodili z Moskvi Pislya togo yak napadniki vimknuli zapobizhniki i vidklyuchili nizku pidstancij vid merezhi voni takozh perepisali programnij mikrokod na konverterah iz serijnogo interfejsu na interfejs Ethernet zaminivshi spravzhnye programne zabezpechennya shkidlivim i tim samim vivivshi z ladu konverteri yaki perestali vikonuvati komandi Zavershivshi vsi ci diyi zlovmisniki zastosuvali programu pid nazvoyu KillDisk dlya znishennya fajliv z komp yuteriv operatoriv pidstancij tim samim vivivshi i yih z ladu KillDisk stiraye chi perezapisuye dani v kritichno vazhlivih sistemnih fajlah viklikayuchi yihnye zavisannya Deyaki z komponentiv KillDisk potribno zapuskati vruchnu ale napadniki u dvoh vipadkah zastosuvali tak zvanu logichnu bombu yaka zapustila KillDisk avtomatichno cherez 90 hvilin pislya pochatku ataki Cherez pivgodini koli KillDisk mav zrobiti svoyu spravu i v operatoriv ne zalishilos sumniviv shodo prichini masshtabnogo zniknennya svitla kompaniya rozmistila druge povidomlennya pro te sho do cogo prichetni hakeri Kiyivoblenergo Redaguvati Odnochasno z atakami na zahidnoukrayinski oblenergo hakeri zavdali potuzhnogo udaru po komp yuternih merezhah Kiyivoblenergo 23 grudnya 2015 roku storonnimi osobami bulo zdijsneno nesankcijovane vtruchannya v informacijno tehnologichnu sistemu viddalenogo dostupu do teleupravlinnya obladnannyam pidstancij 35 110 kV PAT Kiyivoblenergo 8 V rezultati vtruchannya vinikli zboyi v roboti telemehaniki ta bulo vidklyucheno 30 vuzlovih pidstancij 7 PS 110 kV ta 23 PS 35 kV vid yakih zhivitsya nizka strategichnih ob yektiv oblasti pidpriyemstva derzhavni ustanovi zakladi ta naselennya Z 15 31 hv do 16 30 hv bulo povnistyu abo chastkovo vidklyucheno blizko p yatdesyati naselenih punktiv u Bilocerkivskomu Kagarlickomu Mironivskomu Fastivskomu Skvirskomu Makarivskomu Rokitnyanskomu Ivankivskomu ta Yagotinskomu administrativnih rajonah bez elektrichnoyi energiyi buli ponad 80 378 spozhivachiv Elektropostachannya bulo vidnovleno vsim spozhivacham o 18 56 togo zh dnya 8 Druga hvilya RedaguvatiNevstanovleni zlovmisniki zdijsnili naprikinci lyutogo 2016 roku drugu hvilyu kiberatak na kompaniyi energetichnogo sektora Ukrayini 19 ta 20 lyutogo nimi bulo rozislano blizko 100 otrimuvacham virusni listi elektronnoyu poshtoyu 9 Pershij etap virusnoyi rozsilki rozpochavsya nadvechir 19 lyutogo 2016 drugij etap rozpochavsya zranku do pochatku robochogo dnya 20 lyutogo vivtorok ta sereda vidpovidno Todi NEK Ukrenergo dovidavshis pro masovu rozsilku listiv nachebto vid yiyi imeni vistupila iz zayavoyu na oficijnomu vebsajti 9 Yak i v poperednij hvili gruden 2015 roku zlovmisniki skoristalis poshirenim prijomom socialnoyi inzheneriyi elektronnij list mav vkladenij dokument primanku pri pereglyadi yakogo zhertvi propnuyetsya aktivuvati makros dlya korektnishogo zobrazhennya vmistu 9 Pislya vidkrittya dokumenta na komp yuteri zhertvi stvoryuyetsya i zapuskayetsya zavantazhuvach zavdannyam yakogo ye zavantazhennya dekoduvannya ta zapusk shkidlivoyi programi fajl root cert U vipadku ciyeyi ataki shkidliva programa bekdor buv zavantazhenij iz zlamanogo ishe v seredini serpnya 2015 roku servera yakij fizichno znahodivsya v Ukrayini 9 http 193 239 152 131 8080 templates compiled synio root cert nedostupne posilannya z lipnya 2019 Na comu etapi mozhna viokremiti dvi risi podibni do poperednoyi hvili atak iz zastosuvannyam BlackEnergy 9 Dlya vidpravlennya elektronnogo lista zi shkidlivim vkladennyam Ocenka xls buv vikoristanij vidomij server Received from mx2 mail com mx1 mail com 5 149 248 67 Elektronnij list yak i v pershij hvili mistiv v tili ryadok giperposilannya na fajl nazva yakogo mistila zakodovanu v base64 adresu elektronnoyi poshti zhertvi lt DIV gt lt IMG border 3D0 hspace 3D0 alt 3D 20 src 3D http 62 210 83 213 bWFpbF92aWN0aW1Ac29tZS5nb3YudWE 3D png gt lt DIV gt Napriklad v ryadku bWFpbF92aWN0aW1Ac29tZS5nb3YudWE zakodovana adresa lt mail victim some gov ua gt Na vidminu vid poperednoyi hvili cogo razu yak bekdor bula vikoristana programa z vidkritimi kodami Gcat a ne potuzhnishij ta gnuchkishij BlackEnergy Programa Gcat napisana movoyu programuvannya Python ta peretvorena na EXE fajl programoyu PyInstaller 10 yak kanal keruvannya vikoristana sluzhba elektronnoyi poshti Gmail Popri prostotu ciyeyi programi v porivnyanni z BlackEnergy versij 2 ta 3 vona maye nizku perevag odna z yakih uskladnennya yiyi viyavlennya metodom glibokogo inspektuvannya paketiv DPI kanalu keruvannya bekdorom v informacijnih potokah oskilki vin nichim ne vidriznyayetsya vid zvichajnogo vikoristannya poshtovoyi sluzhbi Gmail 9 Oskilki zlovmisniki zalishili v obfuskovanomu kodi bekdoru dani oblikovogo zapisu kanalu keruvannya stalo mozhlivim dosliditi upravlinnya infikovanoyu sistemoyu z tochki zoru zlovmisnika Z provedenogo doslidzhennya viplivalo sho zlovmisnik zdijsnyuvav ataku cilyespryamovano skerovano na konkretnu vibranu nim zhertvu 9 Zavdyaki vchasnij reakciyi sluzhb zahistu informacijnih sistem CyS CERT ta vtruchannya CERT UA bula vstanovlena adresa servera keruvannya zadiyanogo v ataci 20 lyutogo o 10 51 internet provajder Dream Line zakriv do nogo dostup 10 Cim buli pripineni podalshi sprobi zavantazhennya bekdoru Do roboti iz zberezhennya elektronnih dokaziv zbirannya danih dlya identifikaciyi prichetnih do ataki osib buli zalucheni spivrobitniki SBU 9 V rezultati dodatkovogo rozsliduvannya bulo vstanovleno sho pislya pershoyi rozsilki nadvechir 19 lyutogo shonajmenshe dva spivrobitnika iz dvoh kompanij vidkrili dokument primanku zapustili makros v rezultati chogo buv uspishno zavantazhenij bekdor ale zavantazheni bekdori vstanovitis ne zmogli 9 20 lyutogo 2016 roku vzhe pislya pershoyi ta drugoyi rozsilok buv dlya zlovmisnikiv uspishnishim dnem V promizhok mizh 08 42 ta 10 39 bekdor buv zavantazhenij 9 spivrobitnikami iz 4 kompanij Odnak uspishne vstanovlennya bekdoru z vidkrittyam kanalu keruvannya stalas lishe na odnomu komp yuteri odniyeyi kompaniyi Pri comu zlovmisniki pochali skerovanu rozvidku komp yuternoyi merezhi zhertvi sho mozhe svidchiti pro te sho zlovmisniki buli obiznani pro stkruturu informacijnoyi sistemi kompaniyi ta buli prichetni do atak v grudni 2015 roku 9 Kiberataka 17 18 grudnya 2016 roku RedaguvatiDokladnishe Kiberataka na UkrenergoU vechori ta vnochi z suboti na nedilyu 17 na 18 grudnya 2016 roku na pidstanciyi Pivnichna stavsya zbij v avtomatici upravlinnya cherez sho spozhivachi pivnichnoyi chastini pravogo beregu Kiyeva ta prileglih rajoniv oblasti zalishilis bez strumu Nespravnosti buli usunuti protyagom 1 godini 15 hvilin Osnovnoyu versiyeyu stala kiberataka zovnishnye vtruchannya cherez merezhi peredachi danih 11 Operator pidstanciyi kompaniya Ukrenergo spochatku ne stala pidtverdzhuvati kiberataku prote zalucheni do rozsliduvannya fahivci z komp yuternoyi bezpeki pidtverdili sho zbij stavsya vnaslidok kiberataki Promizhni rezultati rozsliduvannya buli predstavleni fahivcyami Oleksiyem Yasinskim vid kompaniyi Information Systems Security Partners Ukrayina ta Marinoyu Krotofil vid Honeywell Industrial Cyber Security Lab 10 sichnya 2017 roku na konferenciyi S4 u Floridi SShA Odnak napadniki ne stali zavdavati istotnoyi shkodi natomist dana ataka mala posluzhiti demonstraciyeyu sili Yak i u poperednih vipadkah dana ataka bula chastinoyu masshtabnishoyi fishingovoyi operaciyi proti derzhavnih ustanov Ukrayini 1 Na pochatku chervnya 2017 roku buli oprilyudneni dopovidi fahivciv kompanij ESET ta Dragos v yakih bulo navedeno rezultati retelnogo analizu shkidlivogo PZ vikoristanogo v ataci Dane PZ otrimalo nazvu Industroyer abo Crash Override 12 13 Inshi kiberataki na energetichni sistemi RedaguvatiDokladnishe Perelik kiberatakKiberataki na elektrostanciyi dispetcherski ta energetichnu infrastrukturu traplyalis yak do tak i pislya kiberataki na Prikarpattyaoblenergo zokrema Voseni 2012 roku tri zrazki shkidlivogo PZ buli viyavleni na komp yuterah energetichnoyi kompaniyi v SShA Shkidlive PZ potrapilo do informacijnoyi sistemi na USB nosiyi yakij odin z inzheneriv vikoristovuvav dlya arhivuvannya nalashtuvan sistemi upravlinnya Slid zaznachiti sho vrazheni sistemi ne mali rezervnih mehanizmiv tomu vidalennya virusiv potrebuvalo nadzvichajnoyi uvagi 14 15 Navesni 2016 roku komp yuterni virusi W32 Ramnit ta Conficker buli viyavleni v informacijnij sistemi yaka vikonuye vizualizaciyu peresuvannya strizhniv iz yadernim palivom a takozh v ofisnij merezhi atomnoyi elektrostanciyi Gundremmingen sho znahoditsya za 120 km na pivnichnij zahid vid Myunhena Za tverdzhennyami operatora cej incident ne stanoviv zagrozi dlya bezpeki stanciyi 16 Primitki Redaguvati a b v Kim Zetter 10 sichnya 2017 The Ukrainian Power Grid Was Hacked Again Vice Motherboard Arhiv originalu za 18 sichnya 2017 Procitovano 12 sichnya 2017 Kim Zetter Wired 17 bereznya 2016 Hakerska ataka Rosiyi na ukrayinsku energosistemu yak ce bulo TEKSTI Arhiv originalu za 25 lyutogo 2022 Procitovano 18 bereznya 2016 a b v Minenergovugillya maye namir utvoriti grupu za uchastyu predstavnikiv usih energetichnih kompanij sho vhodyat do sferi upravlinnya Ministerstva dlya vivchennya mozhlivostej shodo zapobigannya nesankcionovanomu vtruchannyu v robotu energomerezh Ministerstvo energetiki ta vugilnoyi promislovosti Ukrayini 12 lyutogo 2016 Arhiv originalu za 22 lipnya 2020 Procitovano 24 chervnya 2016 a b v g Shakarian Paulo Shakarian Jana Ruef Andrew 2013 11 Cyber Warfare Against Industry Introduction to cyber warfare a multidisciplinary approach Amsterdam Boston Syngress ISBN 978 0 12 407814 7 a b Shakarian Paulo Shakarian Jana Ruef Andrew 2013 12 Can Cyber Warfare Leave a Nation in the Dark Cyber Attacks Against Electrical Infrastructure Introduction to cyber warfare a multidisciplinary approach Amsterdam Boston Syngress ISBN 978 0 12 407814 7 http www d learn pu if ua data users 9645 Lecture1 ISU pdf Arhivovano 16 serpnya 2016 u Wayback Machine Lekciya 1 Zagalna harakteristika avtomatizovanih sistem upravlinnya a b v g d e zh i k l m n p r s t u f h Wei D Yan L Jafari M Skare PM Rohde K 2011 Protecting smart grid automation systems against cyberattacks IEEE Trans Smart Grid 4 2 782 795 doi 10 1109 TSG 2011 2159999 a b Natalka Prudka 8 Kvitnya 2016 Kibervijna proti Ukrayini Pershi zhertvi i visnovki Glavkom Arhiv originalu za 14 chervnya 2016 Procitovano 24 chervnya 2016 a b v g d e zh i k l Ataka na energeticheskie obekty 19 20 yanvarya 2016 goda Postfaktum CyS CENTRUM 29 lyutogo 2016 Arhiv originalu za 14 serpnya 2016 Procitovano 24 chervnya 2016 a b Robert Lipovsky 20 lyutogo 2016 New wave of cyberattacks against Ukrainian power industry We Live Security Arhiv originalu za 9 lipnya 2016 Procitovano 24 chervnya 2016 Osnovnoj versiej nedavnego otklyucheniya elektrichestva v Kieve nazvana kiberataka hakerov ITC ua 19 grudnya 2016 Arhiv originalu za 21 lipnya 2020 Procitovano 19 grudnya 2016 Andy Greenberg 12 06 2017 Crash Override The Malware That Took Down a Power Grid Wired Arhiv originalu za 13 chervnya 2017 Procitovano 13 chervnya 2017 Blekaut po kiyivski chim zagrozhuye kiberataka na energomerezhu Kiyeva i hto za neyu stoyit Ekonomichna pravda Arhiv originalu za 17 chervnya 2017 Procitovano 17 chervnya 2017 Monitor ICS MM201212 October December 2012 ICS CERT 2 sichnya 2013 Arhiv originalu za 13 chervnya 2016 Procitovano 31 travnya 2016 Jeff Goldman 16 sichnya 2013 ICS CERT Two U S Power Plants Infected With Malware eSecurityPlanet Arhiv originalu za 11 chervnya 2016 Procitovano 31 travnya 2016 Christoph Steitz and Eric Auchard 27 kvitnya 2016 German nuclear plant infected with computer viruses operator says Reuters https www facebook com Reuters Arhiv originalu za 4 chervnya 2016 Procitovano 31 travnya 2016 Literatura RedaguvatiRobert M Lee Michael J Assante Tim Conway 18 bereznya 2016 Analysis of the Cyber Attack on the Ukrainian Power Grid Defense Use Case E ISAC Arhiv originalu za 1 kvitnya 2018 Procitovano 8 chervnya 2016 Nate Beach Westmoreland Jake Styczynski Scott Stables November 2016 When The Lights Went Out Booz Allen Hamilton Arhiv originalu za 11 listopada 2016 Procitovano 11 listopada 2016 ZagalnaWei D Yan L Jafari M Skare PM Rohde K 2011 Protecting smart grid automation systems against cyberattacks IEEE Trans Smart Grid 4 2 782 795 doi 10 1109 TSG 2011 2159999 knizhka okrim opisannya Stuxnet ta podij navkolo jogo zastosuvannya viyavlennya doslidzhennya mistit shirokij oglyad vidomih kiberatak na promislovi ASU TP ta ob yekti kritichnoyi infrastrukturi Zetter Kim 2014 Countdown to Zero Day Stuxnet and the launch of the world s first digital weapon New York Crown Publishers ISBN 978 0 7704 3617 9 Div takozh RedaguvatiKiberataka na Ukrenergo gruden 2016 roku Rosijsko ukrayinska kibervijna Rozvinena stala zagroza Elektroenergetika Ukrayini Duqu Udari po kritichnij infrastrukturi Ukrayini pid chas rosijsko ukrayinskoyi vijniPosilannya RedaguvatiKim Zetter Hakerska ataka Rosiyi na ukrayinsku energosistemu yak ce bulo Arhivovano 25 lyutogo 2022 u Wayback Machine Teksti Kim Zetter 20 sichnya 2016 Everything We Know About Ukraine s Power Plant Hack Wired Arhiv originalu za 15 serpnya 2016 Procitovano 21 lipnya 2016 Kim Zetter 3 bereznya 2016 Inside the Cunning Unprecedented Hack of Ukraine s Power Grid Wired Arhiv originalu za 8 lyutogo 2021 Procitovano 21 lipnya 2016 ICS CERT Cyber Attack Against Ukrainian Critical Infrastructure IR ALERT H 16 056 01 Arhivovano 17 chervnya 2016 u Wayback Machine Prikarpattyaoblenergo Prikarpatski energetiki ogovtuyutsya pislya kiberataki Nimecka Hvilya Amerikanski eksperti Prikarpattyaoblenergo atakuvali rosijski hakeri Kiberataka 17 18 grudnya 2016 roku Vistup Marina Krotofil ta Oleksii Yasynskyi na konferenciyi S4 Events Cyber Attacks on Ukraine Power and Critical Infrastructure na YouTube 15 lyutogo 2017 roku Anton Cherepanov 12 Jun 2017 Industroyer Biggest threat to industrial control systems since Stuxnet We Live Security Arhiv originalu za 14 chervnya 2017 Procitovano 13 chervnya 2017 Robert M Lee 12 chervnya 2017 CRASHOVERRIDE Dragos Arhiv originalu za 13 chervnya 2017 Procitovano 13 chervnya 2017 Otrimano z https uk wikipedia org w index php title Kiberataka na energetichni kompaniyi Ukrayini amp oldid 40563977