Хакеры опять атаковали украинскую энергетику вирусом BlackEnergy
В этот раз хакеры воспользовались поддельными письмами от имени предприятия «Укрэнерго», которые разослали предприятиям из сферы электроэнергетики. Об этом компания сообщила в пресс-релизе на своем сайте. «Укрэнерго» просит всех быть осторожными и не открывать поддельные письма.
Тема письма: «про зміну дати громадських обговорень Плану розвитку ОЕС України». Внутри содержится файл, якобы с планом развития. Однако, внутри файла содержится вирус BlackEnergy, который проникает внутрь и уничтожает важные системные файлы. О злоумышленниках «Укрэнерго» уже уведомило команду реагирования на чрезвычайные компьютерные ситуации (CERT-UA).
Это уже третья хакерская атака за последнее время, направленная на стратегические объекты в Украине. Первыми от BlackEnergy пострадала «Прикарпаттяобленерго», из-за чего оказалась обесточена значительная часть Ивано-Франковской области.
После этого хакеры попытались вывести из строя систему управления полетами аэропорта «Борисполь». Эта атака провалилась.
По данным американской компании iSight Partners, первая атака была совершена хакерской группировкой Sandworm, базирующейся в Москве. Атака на «Борисполь», по словам украинского Министерства обороны, тоже была запущена из России.
Все три атаки объединяет то, что главным «оружием» был вирус BlackEnergy. Кто стоит за данным происшествием пока неизвестно, а касательно атаки на аэропорт ведется расследование.
Команда AIN.UA спільно з фондом Group 35 збирає 608 800 грн на мобільний діджитал-штаб для підрозділу 148 ОБР ДШВ. Штаб інтегрує системи роботизованої аеророзвідки та передає стріми на відеостіну. Це дозволяє командуванню ефективніше планувати операції, зберігаючи життя захисників та захисниць, і збільшуючи шанси місій на успіх. Більше деталей у Facebook AIN.UA.
Комментарии | 17
Гм, вообще-то подобные системы, вроде энергетических, должны быть автономной компьютерной сетью без доступа извне.
А где в статье указано, что они подключились извне?
Просто сыграли на социальной инженерии.
ага, т.е. они получили вирус ПО ПОЧТЕ, переписали на листик, принесли в тайную комнату и там ввели с клавиатуры.
Речь о том что системы контролирующие такие стратегические места должны быть недостпны для таких банальных атак.
Всё верно: «должны быть» vs «недоступны» в этом и разница. По банальности не соглашусь с вами, посмотрите разбор атаки это не просто кто-то случайно вирус почтой заслал. Вот например официальный материал от SANS ICS: https://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid
Социальной инженерией бьют даже по АНБ и ФБР, а ты тут рассказываешь об «Укрэнерго». 🙂
Не, я не против, но это недоработка админов. У меня каждый юзверь все, что не doc/xls загружает через меня. И без шеколадки оно не грузится никак
Блин, не тебе хотел. 🙂
P.S. Одобряю подход, когда специалист перепроверяет всё подозрительное.
Поддержу. Если вирусняк пришел по почте, надо трогать за интимные места тех, кому на ящик оно пришло. Я не верю, что у нас в ТАКИХ компаниях творится ТАКАЯ анархия в плане почты. Если так, то… Допустить загрузку по почте экзешника и, главное, открыть его…. Это СИЛЬНО…
Станислав, там всё очень не просто, это направленная кибератака которая готовилась задолго до и использовала тоже кибероружие что и при атаке на наши СМИ во время выборов. Вот сравнение обоих атак: https://socprime.com/en/blog/blackenergy-phase-2-from-media-and-electric-companies-to-darknet-and-ttps/
никто там ни во что не вкладывается, придет новая власть, без денег, скажет — неправильно мы продали облэнерго, срочная национализация и т.д.
на фоне этого в инфраструктуру и в вопросы безопасности вложений не будет, да никто и не котролирует взятые на себя обязательства, судя по тому что снег в октябре вырубил всю область
Почему бы не перейти в таком случае на Линукс?
от ДДОСа не спасет
BlackEnergy 2007 — DDoS
BlackEnergy 2014 — APT
BlackEnergy 2015 — APT for ICS
Хотел бы я увидеть, на основании чего был сделан вывод о расейском следе. Я понимаю, надо градус держать, но предоставленные CERT-UA IP были далеко не расейские
А кому ещё выгодно бить по электросетям Украины в разгар войны с Россией, когда Украина — крупнейший покупатель российского газа, напрочь отказалась от него и активно использует собственную электроэнергетику?
а Россия что почувствовала что-то от того что вы перестали покупать газ? Вы же платежи постоянно просрачивали. Да и этот газ который вы закупаете у Европы в кредит, как ты думаешь от куда он в Европу попадает? Вариант только один. Так что вы ни перестали потреблять российский газ, просто маршрут доставки изменился и оплата через посредников. Ну а на счет кто это сделал, кибератаку то есть, кому выгодно, кому нет, это не ответ, нужны конкретные доказательства, чуть убедительней чем просто пальцам показывать
Пару замечаний:
1) Рассылка от псевдо-Украэенерго не использует BlackEnergy! внимательно посмотрите заявление там указано что «ймовірно». Уже есть материалы что это не BlackEnergy.
2) Атака на Борисполь и энергетику в декабре, а также на СМИ в октябре — это BlackEnergy, и это не просто массовый фишинг а довольно сложная и комплексная атака которая готовилась и проводилась месяцами.
3) Во всех упомянутых атаках из статьи использовался Tor и на ранних этапах и во время атаки. В последней «рассылке» один из IP тоже из Tor сети.
И на десерт, уже 1,5 недели как доступны бесплатные и открытые средства защиты, как орг. меры так и технические. Made in Ukraine. All welcome. https://socprime.com/en/blackenergy-disrupt-matrix/