Кібератака на Укренерго
Кібератака на підстанцію «Північна» компанії «Укренерго» | |
---|---|
Дата | 17-18 грудня 2016 року |
Місце | Україна: Київ та Київська область, |
Результат | Споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму |
Підозрювані | кіберзлочинне угрупування Electrum (за даними Dragos) |
Кібератака на підстанцію «Північна» компанії «Укренерго» сталась вночі з суботи на неділю, 17 грудня на 18 грудня 2016 року. Внаслідок атаки стався збій в автоматиці управління, через що споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму. Несправності були усунуті протягом 1 години 15 хвилин. Основною версією стала кібератака — зовнішнє втручання через мережі передачі даних[1]. Оператор підстанції, компанія «Укренерго» спочатку не стала підтверджувати кібератаку, проте залучені до розслідування фахівці з комп'ютерної безпеки підтвердили, що збій стався внаслідок кібератаки. Проміжні результати розслідування були представлені фахівцями Олексієм Ясінським від компанії Information Systems Security Partners (Україна) та Мариною Кротофіл від Honeywell Industrial Cyber Security Lab 10 січня 2017 року на конференції S4 у Флориді, США. Однак, нападники не стали завдавати істотної шкоди, натомість дана атака мала послужити «демонстрацією сили». Як і у попередніх випадках, дана атака була частиною масштабнішої фішингової операції проти державних установ України[2].
На початку червня 2017 року були оприлюднені доповіді фахівців компаній ESET та Dragos, в яких було наведено результати ретельного аналізу шкідливого ПЗ, використаного в атаці. Дане ПЗ отримало назву Industroyer або Crash Override[3].
Кібератака на автоматизовану систему управління технологічними процесами (АСУ ТП) компанії «Укренерго» стала другим відомим випадком вдалої кібератаки на енергетичну систему з виведенням її з ладу. Перший випадок стався за рік до дого, в грудні 2015 року, коли атаки зазнали системи управління трьох операторів енергетичної мережі України (таким чином атака 2016 року є, якщо рахувати кожну атаку на диспетчерську окремо, четвертою). Станом на 2017 рік обидва випадки були єдиними відомими вдалими кібератаками на енергетичну систему з виведенням її з ладу[3].
Попри схожі наслідки, атака 2016 року має істотні відмінності від атак 2015 року. Так, замість отримання прихованого доступу до корпоративної мережі оператора та відключення підстанцій вручну, нинішня атака була повністю автоматизована. Застосоване шкідливе ПЗ (яке отримало назву англ. Industroyer або англ. Crash Override) мало модулі для безпосереднього з'єднання та управління з мікроконтролерами із використанням промислових протоколів. Таким чином, скоротився час активної фази атаки, спростилась підготовка до неї, зменшилась кількість операторів[3].
За оцінками Роберта Лі, фахівця фірми Dragos, атаки 2015 року потребували близько 20 операторів. Новий підхід дозволяє тим самим 20 операторам водночас здійснити атаку на 10-15 диспетчерських[3].
Подібно до Stuxnet, у Crash Override була закладена можливість роботи навіть у відокремлених та ізольованих від Інтернет корпоративних мережах[3].
Фахівцям ESET та Dragos, які досліджували кібератаку, не вдалось встановити точний шлях потрапляння шкідливого ПЗ до корпоративної мережі Укренерго. Однак, щойно Crash Override розпочало роботу, воно одразу ж стало шукати системи управління та виявляти топологію комп'ютерної мережі. Також Crash Override записував журнал інформації з мережі для подальшої передачі своїм операторам для вивчення[3].
У виявлених зразках Crash Override були присутні чотири модулі для роботи з різними протоколами промислових мереж автоматизованих систем управління технологічними процесами. Крім того, програма мала інструмент для знищення всіх даних на вражених комп'ютерах[3].
- Хакерські атаки на Україну (2017)
- Кібератака на енергетичні компанії України (перша кібератака в грудні попереднього, 2015 року)
- Російсько-українська кібервійна
- Удари по критичній інфраструктурі України під час російсько-української війни
- ↑ Основной версией недавнего отключения электричества в Киеве названа кибератака хакеров. ITC.ua. 19 грудня 2016. Архів оригіналу за 21 липня 2020. Процитовано 14 червня 2017.
- ↑ Kim Zetter (10 січня 2017). The Ukrainian Power Grid Was Hacked Again. Vice Motherboard. Архів оригіналу за 18 січня 2017. Процитовано 14 червня 2017. (англ.)
- ↑ а б в г д е ж Andy Greenberg (12.06.2017). 'Crash Override': The Malware That Took Down a Power Grid. Wired. Архів оригіналу за 13 червня 2017. Процитовано 14 червня 2017. (англ.)
- Виступ Marina Krotofil та Oleksii Yasynskyi на конференції S4 Events, Cyber Attacks on Ukraine Power and Critical Infrastructure на YouTube (15 лютого 2017 року)
- Anton Cherepanov (12 Jun 2017). Industroyer: Biggest threat to industrial control systems since Stuxnet. We Live Security. Архів оригіналу за 14 червня 2017. Процитовано 14 червня 2017.
- Robert M. Lee (12 червня 2017). CRASHOVERRIDE. Dragos. Архів оригіналу за 13 червня 2017. Процитовано 14 червня 2017.
- ICS-CERT, ICS-ALERT-17-206-01: CRASHOVERRIDE Malware [Архівовано 4 серпня 2017 у Wayback Machine.] (25 липня 2017)
- US-CERT, TA17-163A: CrashOverride Malware [Архівовано 27 червня 2017 у Wayback Machine.] (12 червня 2017)