Российские хакеры с группировки Sandworm, состоящей из офицеров ГРУ, проникли в сети "Винницаоблэнерго". Они пытались повторить свою же успешную атаку 2016 года, когда свет исчез на севере Киева. На этот раз украинским специалистам удалось предотвратить отключение электроэнергии.
О хакерской атаке это стало известно во время совместной пресс-конференции заместителя главы Госспецсвязи Виктора Жоры и заместителя Министра энергетики Фарида Сафарова, информирует служба ведомства.
На ней говорилось, что 7–8 апреля специалисты CERT-UA, реагирующие на компьютерные чрезвычайные события, получили от партнеров информацию о возможном заражении ИТ-систем одной из региональных энергокомпаний. Вредная программа должна была сработать в 19:10 в пятницу, 8 апреля, когда большинство сотрудников ушли домой. Цель – лишить электроэнергии гражданское население.
Жора отказался называть партнера и энергокомпанию. В разборе атаки CERT-UA поблагодарил двух компаний-партнеров – Microsoft и словацкую ESET. Последняя помогала защищать и очищать сеть, а затем анализировать образцы вируса. О роли Microsoft Жора не поведал.
По данным Forbes, от атаки пострадало "Винницаоблэнерго". Предприятие обслуживает 770 тыс. потребителей, в том числе 750 тыс. домохозяйств, 1380 промышленных объектов и 1340 сельскохозяйственных предприятий. По словам замминистра энергетики Фарида Сафарова, без света могли остаться до 2 млн человек.
Когда вмешались специалисты CERT-UA, часть инфраструктуры уже была поражена. Они не позволили вредоносному ПО распространиться и возобновили работу поврежденной части системы в ручном режиме. "Никаких сигналов, где-то пропавшего электроснабжения, не зафиксировали", - отметил Виктор Жора.
Российский след нашли специалисты словацкой антивирусной компании ESET, приобщившиеся к анализу уже 8 апреля. "Мы сравнили новый образец с Industroyer 2016 года, нашли ряд совпадений в коде и пришли к выводу, что это тот же малвар", – рассказал изданию директор по исследованию угроз ESET Жан-Иен Бутен.
С помощью версии вируса в 2016 году хакеры Главного разведуправления РФ по группировке Sandworm смогли отключить свет на подстанции на севере Киева, оставив часть города без света.
Пока неизвестно, как именно Sandworm проник в сети энергокомпании – расследование продолжается. Сафаров говорит, что атаки именно на "Винницаоблэнерго" начались еще в середине февраля. Их удавалось отбивать.
Атака, которая почти добилась успеха, была более подготовленной. Злоумышленники получили доступ к сети предприятия, изучили ее, определили конкретное оборудование как цель. Его настройки были прописаны в коде Industroyer2.
Вирус оказался в сетях предприятия не позднее 23 марта. В это время скомпилировали его код. Industroyer позволяет отправлять команды на переключатели подстанции, контролирующие подачу электроэнергии. В 2016 году, чтобы возобновить работу сети, операторам пришлось ехать на подстанцию и подключать вручную переключатели.
Удалось бы это в этот раз – покажет только детальное расследование и общение с инженерами "Винницаоблэнерго".