Атака за допомогою вірусу BlackEnergy на українські енергопостачальні компанії готувалася не менше півроку, встановило Міністерство енергетики та вугільної промисловості України за підсумками аналізу події.
"Компрометація інформаційних мереж обленерго відбувалася, як мінімум, за 6 міс. До основних подій за допомогою методів соціальної інженерії - розсилкою підроблених листів з тілом завантажувача вірусу сімейства BlackEnergy на електронні адреси співробітників компаній, які були у відкритому доступі в мережі інтернет", - йдеться в повідомленні Міненерговугілля.
Згідно з підсумками аналізу події, після запуску вірусу зловмисники отримали можливість збирати інформацію про структуру інформаційних систем енергокомпаній, їх програмних засобів, дані облікового запису для віддаленого доступу до інфраструктури.
"Доведено участь в кібератаці більше однієї особи, оскільки дії зловмисників були скоординованими і спрямованими на інформаційну інфраструктуру одночасно трьох енергопостачальників -" Прикарпаттяобленерго "," Чернівціобленерго "і" Київобленерго ". За інформацією одного з обленерго, підключення зловмисників до його інформаційних мереж відбувалося з підмереж глобальної мережі Internet, що належать провайдерам в РФ ", - відзначають в Міненерговугілля.
В цілому кібератака складалася з п'яти елементів: зараження мереж за допомогою підроблених листів; захоплення управління автоматизованою системою диспетчерського управління з виключеннями на підстанціях; виведення з ладу джерел безперебійного живлення, модемів, комутаторів і інший IT-інфраструктури; знищення інформації на серверах і робочих станціях (утилітою KillDisk); атака на телефонні номери колл-центрів (з російських номерів) з метою відмови від обслуговування знеструмлених абонентів.
"За висновками робочої комісії, причинами несанкціонованого втручання стали відсутність загальнообов'язкових вимог до енергетичним компаніям в забезпеченні IT-безпеки систем автоматизації виробництва, недостатня інформованість і підготовка технічного персоналу в частині кібербезпеки, відсутність внутрішніх структур контролю з кібербезпеки, незалежних від системних адміністраторів", - йдеться в повідомленні Міненерговугілля.
Як зазначено у висновках комісії з перевірки події, в подальшому енергокомпаніям необхідно ізолювати промислові системи управління, а також засобів їх підтримки, адміністрування, від мережі Internet. Також необхідно перевірити антивірусне ПЗ, замінити всі облікові записи користувачів, ускладнити паролі, заборонити віддалений доступ з правом керування комплексами телемеханіки.
Міненерговугілля планує створити робочу групу за участю всіх підконтрольних йому енергокомпаній для впровадження заходів щодо захисту від можливих вірусних кібератак.
Читайте також: Нафта Brent впала нижче 40 доларів
Повідомлялося, що США повідомили про наявність доказів російської кібератаки проти України. Так, заступник глави держдепартаменту США з питань енергетики Елізабет Шервуд-Рендал вважає, що за вірусною атакою на українські енергопостачальні компанії стоїть Росія.
Атака вірусу Black Energy в наприкінці 2015 року призвела до відключення подачі електроенергії для ряду споживачів "Прикарпаттяобленерго". Також вірусній атаці піддалися "Чернівціобленерго", "Прикарпаттяобленерго", "Київобленерго".