Хакеры из России как минимум за 6 месяцев готовились к атаке на украинские облэнерго. Об этом свидетельствуют результаты расследования обстоятельств несанкционированного вмешательства в систему диспетчерского и технологического управления электрическими сетями трех энергоснабжающих компаний ОЭС Украины, которое привело к потере контроля над системами управления электросетей и сбоям в энергоснабжении, сообщает пресс-служба Министерства энергетики и угольной промышленности.

В министерстве отметили, что рабочая группа работала с 18 января по 3 февраля.

По результатам расследования, компрометация информационных сетей облэнерго происходила как минимум за 6 месяцев до основных событий с помощью методов социальной инженерии - рассылкой поддельных писем с телом загрузчика вируса семейства BlackEnergy на электронные адреса сотрудников компаний, которые были в открытом доступе в сети Интернет.

После запуска вируса злоумышленники получили возможность собирать информацию о структуре информационных сетей, используемых программных средствах, информацию об учетных записях удаленного доступа к инфраструктуре, пароли и т.д.

Также доказано участие в кибератаке более одного человека, поскольку действия злоумышленников были скоординированы и направлены на информационную инфраструктуру одновременно трех энергопоставщиков - «Прикарпатьеоблэнерго», «Черновцыоблэнерго» и «Киевоблэнерго». По информации одного из облэнерго, подключение злоумышленников к его информационным сетям происходило из подсетей глобальной сети Internet, которые принадлежат провайдерам в Российской Федерации.

Злоумышленники с использованием полученного заранее удаленного доступа к административным компьютерам АСДУ, находящимся внутри корпоративных сетей облэнерго, или непосредственно к серверам АСДУ с использованием клиентского программного обеспечения АСДУ, выполнили операции по управлению выключателями на распределительных подстанциях, что привело к краткосрочному отключению потребителей различных категорий.

Кибератака также сопровождалась массированными звонками на номера колл-центров облэнерго, с целью их перегрузки, с номеров в Российской Федерации. Кроме того, в результате заранее выполненных операций по заражению части серверов и рабочих станций, был выведен из строя целый ряд серверов и рабочих мест систем АСДУ облэнерго, а также часть оборудования телекоммуникационной сети.

Дополнительно злоумышленники вынудили технический персонал облэнерго, с целью стабилизации ситуации с неконтролируемыми отключениями и взятия ее под контроль, отключить АСДУ и перевести управление переключениями в распределительных сетях в ручной режим.

Перерыв в электроснабжении составил от 1 до 3,5 часов. Общий недоотпуск - 73 МВт * ч (0.015% от суточного объема потребления Украины).

По заключению рабочей комиссии, причинами несанкционированного вмешательства стали отсутствие общих обязательных требований к энергетическим компаниям по обеспечению ИТ безопасности систем автоматизации производства, недостаточная осведомленность и подготовка технического персонала в части кибербезопасности, отсутствие внутренних структур контроля по кибербезопасности, независимых от системных администраторов, и тому подобное.

Также рабочая группа предоставила предложения относительно первоочередных действий для предотвращения в дальнейшем постороннего вмешательства в системы управления электросетями энергоснабжающих компаний ОЭС Украины, среди которых информирование предприятий отрасли о порядке взаимодействия с подразделением CERT-UA Государственной службы специальной связи и защиты информации Украины в случае выявления попыток вмешательства в работу их информационных систем сторонних лиц, в том числе попыток заражений вредоносным программным обеспечением Black Energy; проверка актуальных и лицензированных антивирусных программных обеспечений всех компьютерных средств; обязательная изоляция от сети Internet серверов и рабочих станций промышленных систем управления, включая станции, с которых выполняются функции по администрированию и поддержке этих систем; замена всех учетных записей пользователей и установка сложных паролей; запрет на удаленный доступ с правом управления комплексом телемеханики и другие.

Напомним, компания «Прикарпатьеоблэнерго» сообщила об отключении электроэнергии, которое затронуло Ивано-Франковск и еще часть Прикарпатья, 23 декабря. Причиной аварии назвали вмешательство посторонних лиц в работу телемеханики - автоматической системы контроля и управления энергетическим оборудованием. Кроме того, компания сообщила и о технических сбоях в работе своего колл-центра.

28 декабря 2015 года Служба безопасности Украины пресекла попытку российских спецслужб поразить компьютерные сети объектов энергетического комплекса Украины.

Заместитель министра энергетики США Элизабет Шервуд-Рэндалл в своей презентации на встрече с представителями энергетической отрасли заявила, что за кибернападениями на объекты украинской энергетики стоят российские хакеры.

ForUm

Спасибо за Вашу активность, Ваш вопрос будет рассмотрен модераторами в ближайшее время