Минэнергоугля отчиталось о проведенной работе по расследованию кибератаки на украинские облэнерго, которая произошла в конце прошлого года.
Расследование показало, что компрометация информационных сетей облэнерго произошла как минимум за полгода до непосредственной атаки. Вирусы семейства BlackEnergy были отправлены на электронные адреса компаний, найденные в открытом доступе, в приложенных файлах к письмам.
После запуска вируса злоумышленники получили возможность собрать информацию о структуре информационных сетей, используемых программах, учетных записях удаленного доступа к инфраструктуре, паролях и т.п. После этого злоумышленники получили возможность совершить непосредственную атаку.
В целом она состояла из следующих составляющих:
- предварительное заражение сетей при помощи поддельных писем
- захват управления автоматизированной системой диспетчерского управления и отключение подстанций
- вывод из строя элементов ИТ-инфраструктуры (источники бесперебойного питания, модемы, RTU, коммутаторы)
- уничтожение информации на серверах и рабочих станциях утилитой KillDisk
- атака на телефонные номера колл-центров с целью отказа в обслуживании обесточенных абонентов
Хакеры атаковали три облэнерго: "Прикарпатьеоблэнерго", "Черновцыоблэнерго" и "Киевоблэнерго". Установлено, что подключение злоумышленников происходило из подсетей, принадлежащих российским провайдерам. Звонки в колл-центры облэнерго также совершались с российских номеров.
Рабочая комиссия пришла к выводу, что основная причина удавшейся атаки - это отсутствие общих обязательных требований к энергетическим компаниям по обеспечению ИТ-безопасности систем автоматизации производства, недостаточная осведомленность и подготовка технического персонала в части кибербезопасности и отсутствие внутренних структур контроля по кибербезопасности, независимых от системных администраторов.
Министерство предлагает проинформировать все предприятия отрасли о порядке взаимодействия с государственным кибреподразделением CERT-UA в случае выявления признаков хакерской атаки. Также должны быть проверены антивирусные программы всех компьютеров, а сервера и компьютеры систем управления вообще нужно изолировать от сети Интернет. Облэнерго рекомендуют сменить все учетные записи с использованием сложных паролей и запретить удаленный доступ к рабочим компьютерам.