Атака с помощью вируса BlackEnergy на украинские энергоснабжающие компании готовилась не менее 6 месяцев.

Об этом проинформировало Министерство энергетики и угольной промышленности Украины по итогам анализа происшествия.

“Компрометация информационных сетей облэнерго происходила, как минимум, за 6 месяцев до основных событий с помощью методов социальной инженерии – рассылкой поддельных писем с телом загрузчика вируса семейства BlackEnergy на электронные адреса сотрудников компаний, которые были в открытом доступе в сети Интернет”, – отмечается в сообщении.

Согласно анализу инцидента, после запуска вируса злоумышленники имели возможность собирать данные о структуре информационных систем энергокомпаний, их программных средств, а также информацию об учетных записях для отдаленного доступа к инфраструктуре.

“Доказано участие в кибератаке более одного лица, поскольку действия злоумышленников были скоординированными и направленными на информационную инфраструктуру одновременно трех энергопоставщиков – “Прикарпатьеоблэнерго”, “Черновцыоблэнерго” и “Киевоблэнерго”. По информации одного из облэнерго, подключение злоумышленников к его информационным сетям происходило с подсетей глобальной сети Internet, принадлежащих провайдерам в РФ”, – подчеркивают в Минэнергоугля.

ЧИТАЙТЕ ТАКЖЕ: США обвинили Россию в кибератаках против Украины

По данным ведомства, кибератака состояла из пяти элементов: сперва сети заражали с помощью поддельных писем, потом происходил захват управления автоматизированной системой диспетчерского управления с выключениями на подстанциях.

В дальнейшем выводились из строя источники бесперебойного питания, модемы, коммутаторы и другая IT-инфраструктура; уничтожалась информация на серверах и рабочих станциях (утилитой KillDisk). Впоследствии производилась атака на телефонные номера колл-центров (с российских номеров) с целью отказа от обслуживания обесточенных абонентов.

“По выводам рабочей комиссии, причинами несанкционированного вмешательства стали отсутствие общеобязательных требований к энергетическим компаниям в обеспечении IT-безопасности систем автоматизации производства, недостаточная информированность и подготовка технического персонала в части кибербезопасности, отсутствие внутренних структур контроля по кибербезопасности, независимых от системных администраторов”, – сказано в сообщении Минэнергоугля.

В выводах комиссии отмечается, что в дальнейшем энергокомпаниям необходимо изолировать промышленные системы управления, а также средств их поддержки, администрирования, от сети Internet. Помимо этого, следует проверить антивирусное ПО, усложнить пароли, заменить все учетные записи пользователей, запретить удаленный доступ с правом управления комплексами телемеханики.

Для указанных целей Минэнергоугля планирует создать рабочую группу при участии всех подконтрольных ему энергокомпаний, которая будет заниматься внедрением мер по защите от возможных вирусных кибератак.

ЧИТАЙТЕ ТАКЖЕ: Хакеры снова атаковали украинскую энергосистему, – “Укрэнерго”

Напомним, ранее Центрально-европейская компания, занимающаяся программным обеспечением систем безопасности, заявила, что в декабре 2015 года были совершены кибератаки на украинские энергосистемы.

В частности, “Прикарпатьеоблэнерго” 23 декабря сообщило о сбое в системе, вследствие чего проблемы с поставкой электроэнергии наблюдались на территории всей Ивано-Франковской области, включая областной центр.

В свою очередь Служба безопасности Украины заявила, что предотвратила попытку российских спецслужб повредить компьютерные сети объектов энергетического комплекса Украины.

Помимо этого, специалисты Государственной службы специальной связи и защиты информации Украины выявили в аэропорту “Борисполь” рабочую станцию компьютерной сети, которая была инфицирована вирусом Black Energy, что может указывать на диверсию со стороны Российской Федерации.