Deși în Ucraina Crăciunul nu este în mod tradițional sărbătorit pe 25 decembrie, un grup de atacatori cibernetici a ales aceasta perioadă a anului pentru a oferi cadou un întuneric total pentru sute de mii de oameni.
Pe 23 decembrie 2015, aproximativ jumătate din casele din regiunea Ivano-Frankivsk din Ucraina (cu o populație de aproximativ 1,4 milioane locuitori ) a rămas fără energie electrică timp de câteva ore. Potrivit publicatiei ucraineane TSN, cauza pentru aceasta pana de curent a fost un "atac al hackerilor" folosind un "virus", anunta ESET pe blogul propriu welivesecurity.com.
ESET a precizat ca nu a fost un incident izolat, deoarece si alte companii de energie din Ucraina au fost vizate de hackeri în același timp si că atacatorii au folosit o familie malware deja cunsocuta: BlackEnergy. Mai exact, backdoor-ul BlackEnergy a fost folosit pentru a planta o componentă KillDisk pe computerele vizate, care nu mai putea sa fie pornite.
Troianul BlackEnergy a mai fost folosit în diverse scopuri în ultimii ani, avand numeroase mecanisme de raspandire, inclusiv PowerPoint. Legătura dintre BlackEnergy și KillDisk a fost raportata inca din noiembrie. În acest caz, o serie de companii media au fost atacate la momentul alegerilor locale din Ucraina, in 2015. Raportul susține că un număr mare de materiale video și diverse documente au fost distruse ca urmare a atacului. În timp ce obiectivele principale ale atacurilor din 2014 păreau să fie de spionaj, descoperirea ca troianul BlackEnergy este capabil sa infecteze sisteme de control industrial arata ca scenariile posibile pot sa fie mult mai dramatice.
În recentele atacuri împotriva companiilor de distributie a electricitatii din Ucraina, componenta distructiva KillDisk a fost descărcat și executat pe sisteme infectate anterior cu troianul BlackEnergy.
În prezent, mai multe companii de distribuție a electricității din Ucraina au fost vizate de atacatori cibernetici. Backdoorul BlackEnergy a fost folosit împotriva unora dintre acestea, impreuna cu componenta KillDisk, în timpul săptămânii din Ajunul Crăciunului 2015. În plus, BlackEnergy a fost detectat de companiile de electricitate chiar mai devreme, dar fara sa existe o indicație ca a fost utilizat si KillDisk la acea vreme, desi este posibil ca atacatorii sa fi fost în etapa de pregătire a atacului.
Vectorul de infecție utilizat în aceste atacuri a constat in fișiere Microsoft Office, care conțineau macro-uri rău intenționate. Scenariul de atac este simplu: tinta primeste un e-mail care conține ca atașament un document cu malware. Compania de securitate ucraineana Cis Centrum a publicat două capturi de ecran a unor e-mailuri folosite în atacurile BlackEnergy, care aveau o adresa falsa la expeditor, acesta fiind chiar Parlamentul ucrainean. Documentul în sine conținea text care încearcă să convingă victima sa ruleze macroul din document. Acesta este un exemplu de inginerie socială folosita în loc de a exploata vulnerabilități software. Dupa ce victimele au fost pacalite, acestea sfârșesc prin a avea un sistem infectat cu BlackEnergy Lite.
Troianul BlackEnergy este modular și are diverse componente care pot fi descărcate pentru a efectua sarcini specifice. În cazul celor mai recente atacuri în Ucraina, malwareul Win32 / KillDisk a fost găsit in sistemul infectat. Virusul avea si posibilitatea de a șterge fișierele de sistem pentru a face sistemul sa nu mai aiba caapcitatea de a boota ( porni ), functionalitate tipica pentru astfel de troieni distructivi, dar pare să conțină si unele funcționalități suplimentare destinate în mod specific pentru a sabota sisteme industriale.
În primul rând, a fost posibil să se stabilească un interval de timp specific, după care actiunea distructiva a fost activata. Apoi, în afară de funcționalitatea KillDisk obisnuita, s-a incercat oprirea a două procese non-standard: komut.exe și sec_service.exe. Al doilea proces, sec_service.exe, poate aparține de software-ul denumit ELTIMA Serial la Ethernet Connector sau ASEM Ubiquity, o platformă utilizata în mod obișnuit în sistemele de comandă industrială (ICS). Dacă acest proces se găsește pe sistemul țintă, troianul il va opri si va suprascrie fișier executabil pe hard disk cu date aleatoare, în scopul de a face restaurarea sistemului mai dificila.
Analiza efectuata de ESET asupra malwareului KillDisk, detectată în mai multe companii de distribuție a electricității din Ucraina, indică faptul că este teoretic capabil să închidă sistemele critice. Cu toate acestea, există de asemenea o altă posibilă explicație. Backdoorul BlackEnergy, precum și un backdoor SSH descoperit recent, oferă atacatorilor acces de la distanță la sistemele infectate. După ce s-au infiltrat cu succes intr-un sistem critic, cu oricare dintre acesti troieni, un atacator este capabil sa opreasca acest sistem. În acest caz, troianul KillDisk ar acționa doar ca un mijloc de a face recuperarea mai dificilă. ESET presupune cu un mare grad de certitudine că intreg setul de instrumente descris a fost folosit pentru a cauza pană de curent în regiunea Ivano-Frankivsk.
- Acasă
- Stiri
- Hackerii au oprit alimentarea cu energie electrică pentru sute de mii de locuitori din Ucraina
marți, 5 ianuarie 2016
Hackerii au oprit alimentarea cu energie electrică pentru sute de mii de locuitori din Ucraina
Citește și alte articole din categoriile:
Internet,
Securitate cibernetica,
Stiri
Top 10 articole în ultimele 7 zile
-
Realitatea Plus (cunoscută anterior ca Realitatea Tv) este un post de televiziune din România, axat pe știri și analize de actualitate. Lans...
-
România TV este un post de televiziune românesc, înființat în 2011, care difuzează programe de știri și analize de actualitate. În prezent, ...
-
Antena 3 CNN este un canal de televiziune din România, parte a grupului Intact Media Group, cunoscut pentru focusul său pe știri și conținut...
-
O nouă schimbare în grila de programe DIGI TV a adus canalul Film Mania în oferta televiziunii digitale prin cablu. Canalul este acum dispon...
-
Pe platforma de streaming românească Prima Play a apărut un nou canal, Nostalgia TV. Este un post tv cu filme clasice, inclusiv europene.
-
DIGI România a realizat un transfer important de blocuri de adrese IPv4 către subsidiara sa din Spania, DIGI Spania.
-
Orange vine cu o surpriză plăcută pentru iubitorii de filme și seriale: toate canalele de filme HBO și Cinemax pot fi urmărite gratuit prin ...
-
După finalizarea testelor de performanță și validare tehnică, SES a anunțat că satelitul ASTRA 1P (cel mai avansat din portofoliul său, ce v...
-
Industria televizoarelor trece printr-o schimbare de proporții, iar producătorii par să joace un fel de ruletă financiară. Cum altfel să exp...
-
Digi 24 este un post de televiziune românesc axat pe știri, cu acoperire națională și internațională. Lansat în 2012 de compania RCS & R...
Ucrainenii au meritat. Articolul e foarte interesant.
Trimiteți un comentariu
☑ Comentariile conforme cu regulile comunității vor fi aprobate în maxim 10 ore. Dacă ai întrebări ce nu au legătură cu acest subiect, te invităm să le adresezi în Grupul Oficial HD Satelit.