Кібератака на Укренерго
Кібератака на підстанцію «Північна» компанії «Укренерго» сталась вночі з суботи на неділю, 17 грудня на 18 грудня 2016 року. Внаслідок атаки стався збій в автоматиці управління, через що споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму. Несправності були усунуті протягом 1 години 15 хвилин. Основною версією стала кібератака — зовнішнє втручання через мережі передачі даних[1]. Оператор підстанції, компанія «Укренерго» спочатку не стала підтверджувати кібератаку, проте залучені до розслідування фахівці з комп'ютерної безпеки підтвердили, що збій стався внаслідок кібератаки. Проміжні результати розслідування були представлені фахівцями Олексієм Ясінським від компанії Information Systems Security Partners (Україна) та Мариною Кротофіл від Honeywell Industrial Cyber Security Lab 10 січня 2017 року на конференції S4 у Флориді, США. Однак, нападники не стали завдавати істотної шкоди, натомість дана атака мала послужити «демонстрацією сили». Як і у попередніх випадках, дана атака була частиною масштабнішої фішингової операції проти державних установ України[2].
| Кібератака на підстанцію «Північна» компанії «Укренерго» | |
|---|---|
| Дата | 17-18 грудня 2016 року |
| Місце |  Україна: Київ та Київська область, |
| Результат | Споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму |
| Підозрювані | кіберзлочинне угрупування Electrum (за даними Dragos) |
На початку червня 2017 року були оприлюднені доповіді фахівців компаній ESET та Dragos, в яких було наведено результати ретельного аналізу шкідливого ПЗ, використаного в атаці. Дане ПЗ отримало назву Industroyer або Crash Override[3].
Кібератака
ред.Кібератака на автоматизовану систему управління технологічними процесами (АСУ ТП) компанії «Укренерго» стала другим відомим випадком вдалої кібератаки на енергетичну систему з виведенням її з ладу. Перший випадок стався за рік до того, в грудні 2015 року, коли атаки зазнали системи управління трьох операторів енергетичної мережі України (таким чином атака 2016 року є, якщо рахувати кожну атаку на диспетчерську окремо, четвертою). Станом на 2017 рік обидва випадки були єдиними відомими вдалими кібератаками на енергетичну систему з виведенням її з ладу[3].
Dragos Security дійшов висновку, що атака була спрямована не лише на короткочасний збій, а й на довгострокову шкоду, яка може тривати тижнями чи місяцями.[4] Зловмисники намагалися завдати фізичної шкоди підстанції, коли оператори знову ввімкнули мережу.[4] Атака використовувала зловмисне програмне забезпечення Industroyer і мала здатність атакувати апаратне забезпечення, включаючи захисні реле SIPROTEC.[4] Ці захисні реле розмикають автоматичні вимикачі, якщо виявляють небезпечні умови.[4] Помилка безпеки означала, що один пакет міг привести ретранслятори в стан, який не мав сенсу, поки їх не перезавантажити вручну.[4] У 2015 році компанія Siemens випустила патч для програмного забезпечення, щоб вирішити цю проблему, але багато реле не були оновлені.[4] Докази з журналів, отримані Dragos Security, показали, що зловмисники спочатку розімкнули всі автоматичні вимикачі на підстанції, викликавши відключення електроенергії.[4] Потім через годину вони запустили зловмисне програмне забезпечення, щоб вимкнути комп’ютер підстанції, унеможлививши моніторинг підстанції.[4] Нарешті, зловмисники спробували вивести з ладу чотири захисні реле SIPROTEC підстанцій, які не змогли виявити оператори.[4] Dragos Security дійшла висновку, що зловмисники мали намір оператори повторно включити обладнання підстанції, що могло травмувати інженерів і пошкодити обладнання.[4] Пакети даних, призначені для реле захисту, були надіслані на неправильну IP-адресу.[4] Можливо, оператори відновили роботу підстанції швидше, ніж очікували зловмисники.[4]
Попри схожі наслідки, атака 2016 року має істотні відмінності від атак 2015 року. Так, замість отримання прихованого доступу до корпоративної мережі оператора та відключення підстанцій вручну, нинішня атака була повністю автоматизована. Застосоване шкідливе ПЗ (яке отримало назву англ. Industroyer або англ. Crash Override) мало модулі для безпосереднього з'єднання та управління з мікроконтролерами із використанням промислових протоколів. Таким чином, скоротився час активної фази атаки, спростилась підготовка до неї, зменшилась кількість операторів[3].
За оцінками Роберта Лі, фахівця фірми Dragos, атаки 2015 року потребували близько 20 операторів. Новий підхід дозволяє тим самим 20 операторам водночас здійснити атаку на 10-15 диспетчерських[3].
Подібно до Stuxnet, у Crash Override була закладена можливість роботи навіть у відокремлених та ізольованих від Інтернет корпоративних мережах[3].
Фахівцям ESET та Dragos, які досліджували кібератаку, не вдалось встановити точний шлях потрапляння шкідливого ПЗ до корпоративної мережі Укренерго. Однак, щойно Crash Override розпочало роботу, воно одразу ж стало шукати системи управління та виявляти топологію комп'ютерної мережі. Також Crash Override записував журнал інформації з мережі для подальшої передачі своїм операторам для вивчення[3].
У виявлених зразках Crash Override були присутні чотири модулі для роботи з різними протоколами промислових мереж автоматизованих систем управління технологічними процесами. Крім того, програма мала інструмент для знищення всіх даних на вражених комп'ютерах[3].
Наступна атака
ред.У квітні 2022 року українська влада заявила, що запобігла кібератаці з використанням шкідливого програмного забезпечення, схожого на Industroyer.[5]
Див. також
ред.- Хакерські атаки на Україну (2017)
- Кібератака на енергетичні компанії України (перша кібератака в грудні попереднього, 2015 року)
- Російсько-українська кібервійна
- Удари по критичній інфраструктурі України під час російсько-української війни
Примітки
ред.- ↑ Основной версией недавнего отключения электричества в Киеве названа кибератака хакеров. ITC.ua. 19 грудня 2016. Архів оригіналу за 21 липня 2020. Процитовано 14 червня 2017.
- ↑ Kim Zetter (10 січня 2017). The Ukrainian Power Grid Was Hacked Again. Vice Motherboard. Архів оригіналу за 18 січня 2017. Процитовано 14 червня 2017. (англ.)
- ↑ а б в г д е ж Andy Greenberg (12.06.2017). 'Crash Override': The Malware That Took Down a Power Grid. Wired. Архів оригіналу за 13 червня 2017. Процитовано 14 червня 2017. (англ.)
- ↑ а б в г д е ж и к л м н Greenberg, Andy (12 вересня 2019). New Clues Show How Russia’s Grid Hackers Aimed for Physical Destruction. Wired. Архів оригіналу за 13 вересня 2019. Процитовано 7 липня 2022.
- ↑ Rundle, James; Stupp, Catherine (12 квітня 2022). Ukraine Thwarts Cyberattack on Electric Grid, Officials Say. The Wall Street Journal. Процитовано 23 травня 2024.
Посилання
ред.- Виступ Marina Krotofil та Oleksii Yasynskyi на конференції S4 Events, Cyber Attacks on Ukraine Power and Critical Infrastructure на YouTube (15 лютого 2017 року)
- Anton Cherepanov (12 Jun 2017). Industroyer: Biggest threat to industrial control systems since Stuxnet. We Live Security. Архів оригіналу за 14 червня 2017. Процитовано 14 червня 2017.
- Robert M. Lee (12 червня 2017). CRASHOVERRIDE. Dragos. Архів оригіналу за 13 червня 2017. Процитовано 14 червня 2017.
- ICS-CERT, ICS-ALERT-17-206-01: CRASHOVERRIDE Malware [Архівовано 4 серпня 2017 у Wayback Machine.] (25 липня 2017)
- US-CERT, TA17-163A: CrashOverride Malware [Архівовано 27 червня 2017 у Wayback Machine.] (12 червня 2017)