В ходе атаки злоумышленники использовали вредоносное ПО BlackEnergy.
Вредоносное ПО, использовавшееся в ходе кибератаки на украинскую энергетическую компанию «Прикарпатьеоблэнерго» в декабре 2015 года, применялось для получения доступа к внутренним сетям предприятия и для препятствования работам по восстановлению энергоснабжения после атаки. Об этом в субботу, 9 января, сообщили эксперты SANS ICS по итогам исследования инцидента.
Применявшееся злоумышленниками вредоносное ПО BlackEnergy позволило получить доступ к внутренней сети «Прикарпатьеоблэнерго». Используя вредонос, злоумышленники атаковали систему управления телемеханикой и смогли прекратить подачу электроэнергии. В дальнейшем хакеры предположительно использовали утилиту KillDisk для предотвращения восстановления работоспособности системы и осуществили DoS-атаку на серверы компании. Личности злоумышленников остаются неизвестными.
По словам директора SANS ICS Майкла Ассанта (Michael Assante), злоумышленники продемонстрировали отличный уровень планирования и координации операции. Хакерам удалось удаленно получить доступ к критической инфраструктуре предприятия, прекратить подачу электроэнергии и удалить данные со SCADA-серверов после осуществления взлома.
Как сообщается в отчете SANS ICS, вредоносное ПО BlackEnergy или утилита KillDisk не стали прямой причиной прекращения подачи электроэнергии примерно 80 тысячам потребителей. Инцидент стал результатом скоординированной хакерской атаки, где BlackEnergy был одним из ключевых компонентов. Ранее вредоносное ПО распространялось с помощью вредоносных документов Microsoft Office, но в случае с «Прикарпатьеоблэнерго» злоумышленники могли прибегнуть к другим векторам атаки. В настоящее время SANS ICS не располагает доказательствами использования хакерами вредоносных документов в ходе инцидента.
Спойлер: мы раскрываем их любимые трюки