В Минэнергоугля обнародовали отчет о российской кибератаке на облэнерго

Расследование показало, что компрометация информационных сетей облэнерго состоялась как минимум за полгода до непосредственной атаки. Вирусы семейства BlackEnergy были отправлены на электронные адреса компаний, найденные в открытом доступе, в прилагаемых файлах к письмам.

После запуска вируса злоумышленники получили возможность собрать информацию о структуре информационных сетей, используемых программах, учетных записях удаленного доступа к инфраструктуре, паролях и т. Д. После этого злоумышленники получили возможность осуществить непосредственную атаку. Об этом сообщает официальный сайт Минэнергоугля.

В целом она состояла из следующих составляющих:

- Предварительное заражение сетей с помощью поддельных писем;

- Захват управления автоматизированной системой диспетчерского управления и отключение подстанций;

- Выведение из строя элементов ИТ-инфраструктуры (источники бесперебойного питания, модемы, RTU, коммутаторы)

- Уничтожение информации на серверах и рабочих станциях утилитой KillDisk;

- Атака на телефонные номера колл-центров с целью отказа в обслуживании обесточенных абонентов.

Хакеры атаковали три облэнерго: "Прикарпатьеоблэнерго", "Черновцыоблэнерго" и "Киевоблэнерго". Установлено, что подключение злоумышленников происходило из подсетей, принадлежащих российским провайдерам. Звонки в колл-центры облэнерго также осуществляли с российских номеров.

Рабочая комиссия пришла к выводу, что основная причина удачной атаки - это отсутствие общих обязательных требований к энергетическим компаниям в обеспечении ИТ-безопасности систем автоматизации производства, недостаточная осведомленность и подготовка технического персонала по поводу кибербезопасности и отсутствие внутренних структур контроля кибербезопасности, не зависящих от системных администраторов.

Министерство предлагает проинформировать все предприятия отрасли о порядке взаимодействия с государственным киберподразделением CERT-UA в случае обнаружения признаков хакерской атаки. Также следует проверить антивирусные программы всех компьютеров, а серверы и компьютеры систем управления вообще нужно изолировать от сети Интернет. Облэнерго рекомендуют изменить все учетные записи с использованием сложных паролей и запретить удаленный доступ к рабочим компьютерам.

Напомним, что американские спецслужбы расследовали, что отключение электроэнергии на западе Украины в декабре 2015 года было вызвано кибератакой со стороны России.

В конце декабря прошлого года, СБУ предотвратила попытку российских спецслужб вывести из строя компьютерные сети ряда объектов энергетического комплекса Украины.

Справка: Украинская компания "Прикарпатьеоблэнерго" сообщила об отключении электроэнергии, что поразило Ивано-Франковск и еще часть Прикарпатья, 23 декабря.

Причиной аварии назвали вмешательство посторонних лиц в работу телемеханики - автоматической системы контроля и управления энергооборудованием. Кроме того, компания сообщила и о технических сбоях в работе своего колл-центра.

Служба безопасности Украины 28 грудня обвинила в этом Россию. СБУ сообщила, что речь шла о нескольких украинских энергокомпаниях. Независимых сообщений о причастности Москвы к хакерской атаке нет.

Поддерживаемую Россией группу Sandworm ранее уже подозревали в использовании программного обеспечения BlackEnergy для целенаправленных атак.