Российские хакеры из ГРУ попытались оставить без света Винницкую область, как в 2016 году Киев. Почему им не удалось /Shutterstock
Категория
Картина дня
Дата

Российские хакеры из ГРУ попытались оставить без света Винницкую область, как в 2016 году Киев. Почему им не удалось

2 хв читання

Shutterstock

Российские хакеры из группировки Sandworm, состоящей из офицеров ГРУ, проникли в сети «Винницаоблэнерго». Они пытались повторить свою же успешную атаку 2016 года, когда свет исчез на севере Киева. На этот раз украинским специалистам удалось предотвратить отключение электроэнергии

7–8 апреля специалисты CERT-UA, реагирующие на компьютерные чрезвычайные происшествия, получили от партнеров информацию о возможном заражении IТ-систем одной из региональных энергокомпаний. Вредная программа должна была сработать в 19:10 в пятницу, 8 апреля, когда большинство сотрудников ушли домой. Цель – лишить электроэнергии гражданское население, рассказал на брифинге Виктор Жора, заместитель председателя Госспецсвязи.

Жора отказался называть партнера и энергокомпанию. Относительно партнера – в разборе атаки CERT-UA поблагодарил две компании – Microsoft и словацкую ESET. Последняя помогла защитить и очистить сеть, а затем анализировать образцы вируса. О роли Microsoft Жора не рассказал. Forbes направил в компанию запрос, но на момент выхода материала не получил ответа.

От атаки пострадало «Винницаоблэнерго», узнал Forbes от источников на рынке. Предприятие обслуживает 770 000 потребителей, в том числе 750 000 домохозяйств, 1380 промышленных объектов и 1340 сельскохозяйственных предприятий. Без света могли остаться до 2 млн человек, говорит замминистра энергетики Фарид Сафаров.

Когда вмешались специалисты CERT-UA, часть инфраструктуры уже была поражена. Они не позволили вредному ПО распространиться и возобновили работу поврежденной части системы в ручном режиме. «Никаких сигналов о том, что где-то исчезло электроснабжение, не зафиксировали», – говорит Жора.

Знакомые российские хакеры

Российский след нашли специалисты словацкой антивирусной компании ESET, приобщившиеся к анализу уже 8 апреля. «Мы сравнили новый образец с Industroyer 2016 года, нашли ряд совпадений в коде и пришли к выводу, что это тот же малварь», – рассказал Forbes директор по исследованию угроз ESET Жан-Иен Бутен.

С помощью версии вируса в 2016 году хакеры Главного разведуправления РФ по группировке Sandworm сумели отключить электроэнергию на подстанции на севере Киева, оставив часть города без света.

Пока неизвестно, как именно Sandworm проник в сети энергокомпании – расследование продолжается. Сафаров говорит, что атаки именно на «Винницаоблэнерго» начались еще в середине февраля. Их удавалось отбивать.

Атака, достигшая успеха, была более подготовленной. Злоумышленники получили доступ к сети предприятия, изучили ее, определили конкретное оборудование в качестве целей. Его настройки были прописаны в коде Industroyer2.

Вирус оказался в сетях предприятия не позднее 23 марта. В это время скомпилировали его код. Industroyer позволяет отправлять команды на переключатели подстанции, контролирующие подачу электроэнергии. В 2016 году, чтобы возобновить работу сети, операторам пришлось ехать на подстанцию и подключать переключатели вручную.

Удалось бы это в этот раз – покажет только детальное расследование и общение с инженерами «Винницаоблэнерго». То, что Sandworm использовали почти тот же малварь и закодировали в нем особенности сети одного предприятия, может свидетельствовать о том, что атака готовилась довольно быстро, считает Марина Кротофил, старший технический советник по кибербезопасности критической инфраструктуры ISSP.

Кроме ПО для отключения энергоснабжения российские хакеры также загрузили программу-деструктор CADDYWIPER. Она должна была повредить сетевое оборудование, уничтожить данные на ПК и серверах компании на системах Windows и Linux, включая код самого малвара.

Жора не уточнил, какая часть системы «Винницаоблэнерго» пострадала. Попытки взлома активного сетевого оборудования он назвал «отчасти успешными». Серверы под управлением Linux не пострадали. По запросу Forbes IТ-директор «Винницаоблэнерго» Юрий Томашевский отказался отвечать на вопросы, добавив только, что «на сегодняшний день компания работает в штатном режиме, но в период военного времени».

«Большая удача, что удалось своевременно среагировать на эту атаку», – говорит Виктор Жора. Опыт и образцы Industroyer2 и другого вредоносного ПО помогут лучше выявлять такие атаки быстрее. «Не только в Украине, но и по всему миру», – добавляет Бутен из ESET.

Материалы по теме

Вы нашли ошибку или неточность?

Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.

Предыдущий слайд
Следующий слайд