В Міненерговугіллі оприлюднили звіт про російську кібератаку на обленерго

Розслідування показало, що компрометація інформаційних мереж обленерго відбулася як мінімум за півроку до безпосередньої атаки. Віруси сімейства BlackEnergy були відправлені на електронні адреси компаній, знайдені у відкритому доступі, в доданих файлах до листів.

Після запуску вірусу зловмисники отримали можливість зібрати інформацію про структуру інформаційних мереж, що використовувані програми, облікові записи віддаленого доступу до інфраструктури, паролі і т. ін. Після цього зловмисники отримали можливість здійснити безпосередню атаку. Про це повідомляє офіційний сайт Міненерговугілля.

Загалом вона складалася з таких складових:

- попереднє зараження мереж за допомогою підроблених листів;

- захоплення управління автоматизованою системою диспетчерського управління і відключення підстанцій;

- виведення з ладу елементів ІТ-інфраструктури (джерела безперебійного живлення, модеми, RTU, комутатори);

- знищення інформації на серверах і робочих станціях утилітою KillDisk;

- атака на телефонні номери кол-центрів з метою відмови в обслуговуванні знеструмлених абонентів.

Хакери атакували три обленерго: "Прикарпаттяобленерго", "Чернівціобленерго" і "Київобленерго". Встановлено, що підключення зловмисників відбувалося з підмереж, що належать російським провайдерам. Дзвінки в кол-центри обленерго також здійснювали з російських номерів.

Робоча комісія прийшла до висновку, що основна причина вдалої атаки - це відсутність загальних обов'язкових вимог до енергетичних компаній у гарантуванні ІТ-безпеки систем автоматизації виробництва, недостатня обізнаність та підготовка технічного персоналу з приводу кібербезпеки і відсутність внутрішніх структур контролю кібербезпеки, не залежних від системних адміністраторів .

Міністерство пропонує проінформувати всі підприємства галузі про порядок взаємодії з державним кіберпідрозділом CERT-UA в разі виявлення ознак хакерської атаки. Також слід перевірити антивірусні програми всіх комп'ютерів, а сервери і комп'ютери систем управління взагалі потрібно ізолювати від мережі Інтернет. Обленерго рекомендують змінити всі облікові записи з використанням складних паролів і заборонити віддалений доступ до робочих комп'ютерів.

Нагадаємо, що американські спецслужби розслідували, що відключення електроенергії на заході України в грудні 2015 року було викликане кібератакою зі сторони Росії.

Наприкінці грудня минулого року, СБУ відвернула спробу російських спецслужб вивести з ладу комп'ютерні мережі низки об'єктів енергетичного комплексу України.

Довідка: Українська компанія "Прикарпаттяобленерго" повідомила про вимкнення електроенергії, що вразило Івано-Франківськ і ще частину Прикарпаття, 23 грудня.

Причиною аварії назвали втручання сторонніх осіб у роботу телемеханіки – автоматичної системи контролю та управління енергообладнанням. Крім того, компанія повідомила і про технічні збої в роботі свого кол-центру.

Служба безпеки України 28 грудня звинуватила в цьому Росію. СБУ повідомила, що йшлося про кілька українських енергокомпаній. Незалежних повідомлень про причетність Москви до хакерської атаки немає.

Підтримувану Росією групу Sandworm раніше вже підозрювали у використанні програмного забезпечення BlackEnergy для цілеспрямованих атак.