Кибератака на украинские энергосистемы готовилась не менее полугода, - Минэнергоугля

Минэнергоугля намерено создать группу с участием представителей всех энергетических компаний, входящих в сферу управления Министерства, для изучения возможностей по предотвращению несанкционированного вмешательства в работу энергосетей.

Такое решение принято по результатам анализа информации, полученной в результате расследования обстоятельств несанкционированного вмешательства в систему диспетчерского и технологического управления электрическими сетями трех энергоснабжающих компаний объединенной энергосистемы (ОЭС) Украины, которое привело к потере контроля над системами управления электросетей и сбоев в энергоснабжении, говорится в сообщении Минэнергоугля, передает Цензор.НЕТ.

Рабочая группа работала с 18 января 2016 по 3 февраля 2016 года. По результатам расследования, компрометация информационных сетей облэнерго происходила как минимум за 6 месяцев до основных событий с помощью методов социальной инженерии - рассылкой поддельных писем с телом загрузчика вируса семейства BlackEnergy на электронные адреса сотрудников компаний, которые были в открытом доступе в сети Интернет.

После запуска вируса злоумышленники получили возможность собирать пароли, информацию о структуре информационных сетей, программных средств, пользующихся информацией об учетных записях удаленного доступа к инфраструктуре и т.п.

Читайте также на "Цензор.НЕТ": США обвиняют Россию в декабрьской хакерской атаке на электросеть Украины, - CNN

Также доказано участие в кибератаке более одного человека, поскольку действия злоумышленников были скоординированы и направлены на информационную инфраструктуру одновременно трех энергопоставщиков - "Прикарпатьеоблэнерго", "Черновцыоблэнерго" и "Киевоблэнерго". По информации одного из облэнерго, подключение злоумышленников к его информационным сетям происходило с подсетей глобальной сети Internet, принадлежащих провайдерам в Российской Федерации.

Кибератака имела комплексный характер и состояла как минимум из следующих составляющих:

- Предварительное заражения сетей с помощью поддельных писем электронной почты с использованием методов социальной инженерии;
- Захват управления автоматизированными системами диспетчерского управления (АСДУ) энергообъектами с выполнением операций отключений на подстанциях;
- Выведение из строя элементов ИТ инфраструктуры (источники бесперебойного питания, модемы, RTU, коммутаторы);
- Уничтожение информации на серверах и рабочих станциях (утилитой KillDisk);
- Атака на телефонные номера колл-центров, с целью отказа в обслуживании обесточенных абонентов.

Перерыв в электроснабжении составил от 1 до 3,5 часов. Общий недоотпуск - 73 МВт * ч (0.015% от суточного объема потребления Украины).

Читайте также на "Цензор.НЕТ": На компьютеры электроэнергетических предприятий началась новая хакерская атака, - "Укрэнерго"

Злоумышленники с использованием полученного заранее удаленного доступа к административным компьютерам АСДУ, находящихся внутри корпоративных сетей облэнерго, или непосредственно к серверам АСДУ с использованием клиентского программного обеспечения АСДУ, выполнили операции по управлению выключателями на распределительных подстанциях, что привело к краткосрочному отключению потребителей различных категорий.

Кибератака также сопровождалась массированными звонками на номера колцентр облэнерго, с целью их перегрузки, с номеров в Российской Федерации. Кроме того, в результате заранее выполненных операций по заражению части серверов и рабочих станций, был выведен из строя целый ряд серверов и рабочих мест систем АСДУ облэнерго, а также часть оборудования телекоммуникационной сети.

Дополнительно злоумышленники вынудили технический персонал облэнерго, с целью стабилизации ситуации с неконтролируемыми отключениями и взятия ее под контроль, отключить АСДУ и перевести управление переключениями в распределительных сетях в ручной режим.

По заключению рабочей комиссии, причинами несанкционированного вмешательства стали отсутствие общих обязательных требований к энергетическим компаниям по обеспечению ИТ безопасности систем автоматизации производства, недостаточная осведомленность и подготовка технического персонала в части кибербезопасности, отсутствие внутренних структур контроля по кибербезопасности, независимых от системных администраторов, и тому подобное.

Читайте также на "Цензор.НЕТ": Хакерская атака на электросеть в Украине была первой в истории кибератакой на объекты снабжения, - американские эксперты

Также Рабочая группа предоставила предложения относительно первоочередных действий для предотвращения в дальнейшем постороннего вмешательства в системы управления электросетями снабжающих компаний ОЭС Украины, среди которых информирование предприятий отрасли о порядке взаимодействия с подразделением CERT-UA государственной службы специальной связи и защиты информации Украины в случае выявления попыток вмешательства в работу их информационных систем сторонних лиц, в том числе попыток заражений вредоносным программным обеспечением Black Energy; проверка актуальных и лицензированных антивирусных программных обеспечений всех компьютерных средств; обязательная изоляция от сети Internet серверов и рабочих станций промышленных систем управления, включая станции, с которых выполняются функции по администрированию и поддержке этих систем; замена всех учетных записей пользователей и установка сложных паролей; запрет на удаленный доступ с правом управления комплексом телемеханики и другие.

Автор: Степан Гутник