Російські хакери з угруповання Sandworm, що складається з офіцерів ГРУ, проникли в мережі «Вінницяобленерго». Вони намагалися повторити свою ж успішну атаку 2016 року, коли світло зникло на півночі Києва. Цього разу українським фахівцям вдалося запобігти відключенню електроенергії
Як мотивувати команду не збавляти темп у надскладних умовах? Дізнайтесь 25 квітня на форумі «Надлюди» від Forbes. Купуйте квиток за посиланням!
7–8 квітня фахівці CERT-UA, які реаґують на комп’ютерні надзвичайні події, отримали від партнерів інформацію про можливе зараження ІТ-систем однієї з регіональних енергокомпаній. Шкідлива програма мала спрацювати о 19:10 у п’ятницю, 8 квітня, коли більшість співробітників пішли б додому. Мета – позбавити електроенергії цивільне населення, розповів на брифінгу Віктор Жора, заступник голови Держспецзвʼязку.
Жора відмовився називати партнера та енергокомпанію. Щодо партнера – у розборі атаки CERT-UA подякував двом компаніям – Microsoft та словацькій ESET. Остання допомагала захищати та очищати мережу, а потім аналізувати зразки вірусу. Про роль Microsoft Жора не розповів. Forbes направив до компанії запит, проте на момент виходу матеріалу не отримав відповіді.
Від атаки постраждало «Вінницяобленерго», дізнався Forbes від джерел на ринку. Підприємство обслуговує 770 000 споживачів, зокрема 750 000 домогосподарств, 1380 промислових об’єктів і 1340 сільськогосподарських підприємств. Без світла могли залишитися до 2 млн людей, каже заступник міністра енергетики Фарід Сафаров.
Коли втрутились фахівці CERT-UA, частину інфраструктури вже було уражено. Вони не дозволили шкідливому ПЗ поширитися, і відновили роботу пошкодженої частини системи у ручному режимі. «Жодних сигналів, що десь зникло електропостачання, не зафіксували», – каже Жора.
Знайомі російські хакери
Російський слід знайшли спеціалісти словацької антивірусної компанії ESET, що долучилися до аналізу вже 8 квітня. «Ми порівняли новий зразок з Industroyer 2016 року, знайшли ряд співпадінь у коді і дійшли висновку, що це той самий малвар», – розповів Forbes директор із дослідження загроз ESET Жан-Іен Бутен.
За допомогою версії вірусу у 2016 році хакери Головного розвідуправління РФ з угруповання Sandworm змогли відключити світло на підстанції на півночі Києва, залишивши частину міста без світла.
Поки невідомо, як саме Sandworm проник у мережі енергокомпанії – розслідування триває. Сафаров каже, що атаки саме на «Вінницяобленерго» почалися ще в середині лютого. Їх вдавалося відбивати.
Атака, яка майже досягла успіху, була більш підготовленою. Зловмисники дістали доступ до мережі підприємства, вивчили її, визначили конкретне обладнання як ціль. Його параметри були прописані у коді Industroyer2.
Вірус опинився в мережах підприємства не пізніше 23 березня. Саме тоді скомпілювали його код. Industroyer дозволяє надсилати команди на перемикачі підстанції, що контролюють подачу електроенергії. У 2016 році, щоб відновити роботу мережі, операторам довелось їхати на підстанцію і підключати перемикачі вручну.
Чи вдалося б це цього разу – покаже тільки детальне розслідування і спілкування з інженерами «Вінницяобленерго». Те, що Sandworm використали майже той самий малвар і закодували в ньому особливості мережі одного підприємства, може свідчити про те, що атака готувалася доволі швидко, вважає Марина Кротофіл, старша технічна радниця з кібербезпеки критичної інфраструктури ISSP.
Окрім ПЗ для відключення енергопостачання російські хакери також завантажали програму-деструктор CADDYWIPER. Вона мала пошкодити мережеве обладнання, знищити дані на ПК та серверах компанії на системах Windows та Linux, включно з кодом самого малвара.
Жора не уточнив, яка саме частина системи «Вінницяобленерго» постраждала. Спроби зламу активного мережевого обладнання він назвав «частково успішними». Сервери під управлінням Linux не постраждали. На запит Forbes ІТ-директор «Вінницяобленерго» Юрій Томашевський відмовився відповідати на запитання, додавши лише, що «на сьогодні компанія працює у штатному режимі, але в період воєнного часу».
«Велика удача, що вдалося своєчасно зреаґувати на цю атаку», – каже Віктор Жора. Досвід і зразки Industroyer2 та іншого шкідливого ПЗ допоможуть виявляти такі атаки швидше. «Не тільки в Україні, а й по всьому світу», – додає Бутен із ESET.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.
