Атака с помощью вируса BlackEnergy на украинские энергоснабжающие компании готовилась не менее полугода, установило Министерство энергетики и угольной промышленности Украины по итогам анализа происшествия.
"Компрометация информационных сетей облэнерго происходила, как минимум, за 6 мес. до основных событий с помощью методов социальной инженерии – рассылкой поддельных писем с телом загрузчика вируса семейства BlackEnergy на электронные адреса сотрудников компаний, которые были в открытом доступе в сети интернет", - говорится в сообщении Минэнергоугля.
Согласно итогам анализа происшествия, после запуска вируса злоумышленники получили возможность собирать информацию о структуре информационных систем энергокомпаний, их программных средств, информацию об учетных записях для отдаленного доступа к инфраструктуре.
"Доказано участие в кибератаке более одного лица, поскольку действия злоумышленников были скоординированными и направленными на информационную инфраструктуру одновременно трех энергопоставщиков – "Прикарпаттяоблэнерго", "Черновцыоблэнерго" и "Киевоблэнерго". По информации одного из облэнерго, подключение злоумышленников к его информационным сетям происходило с подсетей глобальной сети Internet, принадлежащих провайдерам в РФ", - отмечают в Минэнергоугля.
В целом кибератака состояла из пяти элементов: заражение сетей с помощью поддельных писем; захват управления автоматизированной системой диспетчерского управления с выключениями на подстанциях; вывод из строя источников бесперебойного питания, модемов, коммутаторов и другой IT-инфраструктуры; уничтожение информации на серверах и рабочих станциях (утилитой KillDisk); атака на телефонные номера колл-центров (с российских номеров) с целью отказа от обслуживания обесточенных абонентов.
"По выводам рабочей комиссии, причинами несанкционированного вмешательства стали отсутствие общеобязательных требований к энергетическим компаниям в обеспечении IT-безопасности систем автоматизации производства, недостаточная информированность и подготовка технического персонала в части кибербезопасности, отсутствие внутренних структур контроля по кибербезопасности, независимых от системных администраторов", - говорится в сообщении Минэнергоугля.
Как отмечено в выводах комиссии по проверке происшествия, в дальнейшем энергокомпаниям необходимо изолировать промышленные системы управления, а также средств их поддержки, администрирования, от сети Internet. Также необходимо проверить антивирусное ПО, заменить все учетные записи пользователей, усложнить пароли, запретить удаленный доступ с правом управления комплексами телемеханики.
Минэнергоугля планирует создать рабочую группу при участии всех подконтрольных ему энергокомпаний для внедрения мер по защите от возможных вирусных кибератак.
Сообщалось, что США сообщили о наличии доказательств российской кибератаки против Украины. Так, заместитель главы госдепартамента США по энергетике Элизабет Шервуд-Рэндалл считает, что за вирусной атакой на украинские энергоснабжающие компании стоит Россия.
Атака вируса Black Energy в конце 2015 года привела к отключению подачи электроэнергии для ряда потребителей "Прикарпаттяоблэнерго". Также вирусной атаке подверглись "Черновцыоблэнерго", "Прикарпаттяоблэнерго", "Киевоблэнерго".