Malware odciął setki tysięcy ukraińskich gospodarstw od elektryczności

To pierwszy udokumentowany tego typu przypadek w historii. Infekcja w wyniku ataku wymierzonego w systemy należące do ukraińskich przedsiębiorstw energetycznych spowodowała pod koniec grudnia na Ukrainie rozległą awarię zasilania.

23 grudnia 2015 roku, niemal połowa domów i mieszkań w ukraińskim obwodzie iwanofrankiwskim zostało pozbawionych energii elektrycznej na kilka godzin. Powodem rozległej awarii była infekcja systemów należących do jednego z lokalnych dostawców elektryczności — firmy Prykarpattyaoblenergo.

Burshtyn — ukraińska elektrownia w obwodzie iwanofrankiwskim (Raimond Spekking — Wikimedia Commons)

Analiza specjalistów z firmy ESET wykazała, że do ataku wykorzystano malware BlackEnergy z dodatkowym modułem KillDisk. Oprogramowanie zawierało specyficzne funkcje wymierzone w instalacje przemysłowe — zdolne do zatrzymywania określonych procesów oraz unieruchomienia całych systemów. Oferowało również możliwości typowe dla trojana z backdoorem — uzyskanie zdalnego dostępu do zainfekowanych systemów.

Do infekcji doszło najprawdopodobniej w typowy sposób — poprzez wiarygodnie brzmiące i odpowiednio adresowane wiadomości e-mail z załączonymi dokumentami MS Office. Złośliwe makro dokonywało właściwej infekcji. Odpowiednio dobrana socjotechnika i tym razem więc nie zawiodła…

Złośliwy dokument przekonuje swą ofiarę do otwarcia makra… (źródło: welivesecurity.com)

Nie jest żadną tajemnicą, że bezpieczeństwo znacznej części systemów przemysłowych stoi pod wielkim znakiem zapytania. Jak widać na powyższym przykładzie również świadomość pracującego w takich ośrodkach personelu jest znikoma. Tego typu ataki na infrastrukturę krytyczną będą więc z pewnością coraz bardziej powszechne.

— Wojciech Smol