Вірусну атаку на українські обленерго готували не менше півроку – Міненерговугілля

Атака з допомогою вірусу BlackEnergy на українські енергопостачальні компанії готувалася не менше півроку, встановило Міністерство енергетики та вугільної промисловості України за підсумками аналізу події.

"Компрометація інформаційних мереж обленерго відбувалася, як мінімум, за 6 міс. до основних подій за допомогою методів соціальної інженерії – розсилкою підроблених листів ыз тілом завантажувача вірусу сімейства BlackEnergy на електронні адреси співробітників компаній, які були у відкритому доступі в мережі інтернет", - йдеться в повідомленні Міненерговугілля.

Як свідчать результати аналізу події, після запуску вірусу зловмисники отримали можливість збирати інформацію про структуру інформаційних систем енергокомпаній, їхных програмних засобів, інформацію про облікові записи для віддаленого доступу до інфраструктури.

"Доведено участь у кібератаці більше однієї особи, оскільки дії зловмисників були скоординованими і спрямованими на інформаційну інфраструктуру одночасно трьох енергопостачальників – "Прикарпаттяобленерго", "Чернівціобленерго" і "Київобленерго". За інформацією одного з обленерго, підключення зловмисників до інформаційних мереж відбувалося з підмереж глобальної мережі Internet, що належать провайдерам у РФ", - зазначають у Міненерговугілля.

Як повідомляють у відомстві, загалом кібератака складалася з п'яти елементів: зараження мереж з допомогою підроблених листів; захоплення управління автоматизованою системою диспетчерського управління з вімкнення на підстанціях; виведення з ладу джерел безперебійного живлення, модемів, комутаторів та іншої IT-інфраструктури; знищення інформації на серверах та робочих станціях (утилітою KillDisk); атака на телефонні номери call-центрів (з російських номерів) з метою відмови від обслуговування знеструмлених абонентів.

"За висновками робочої комісії, причинами несанкціонованого втручання були відсутність загальнообов'язкових вимог до енергетичних компаній у забезпеченні IT-безпеки систем автоматизації виробництва, недостатня інформованість і підготовка технічного персоналу щодо кібербезпеки, відсутність внутрішніх структур контролю з кібербезпеки, незалежних від системних адміністраторів", - йдеться в повідомленні Міненерговугілля.

Як зазначено у висновках комісії з перевірки події, надалі енергокомпаніям необхідно ізолювати промислові системи управління, а також засобів їхньої підтримки, адміністрування, від мережі Internet. Також необхідно перевірити антивірусне ПЗ, замінити всі облікові записи користувачів, ускладнити паролі, заборонити віддалений доступ із правом керування комплексами телемеханіки.

Міненерговугілля планує створити робочу групу за участю всіх підконтрольних йому енергокомпаній для впровадження заходів із захисту від можливих вірусних кібератак.

Як повідомлялося, заступник глави держдепартаменту США з питань енергетики Елізабет Шервуд-Рендалл (Elizabeth Sherwood-Randall) вважає, що за вірусної атакою на українські енергопостачальні компанії стоїть Росія.

Атака вірусу Black Energy наприкінці 2015 року призвела до відключення подачі електроенергії низці споживачів "Прикарпаттяобленерго". Також вірусної атаки зазнали "Чернівціобленерго", "Прикарпаттяобленерго", "Київобленерго".