უკრაინულ ელექტროსადგურებზე განხორციელებული კიბერშეტევა

Posted on by

ივანო-ფრანკივსკის დასახლების დიდი ნაწილი, 2015 წლის 23 დეკემბერს, ელექტროენერგიის გარეშე დარჩა. უკრაინის ამ რეგიონში მილიონზე მეტი ადამიანი ცხოვრობს. ადგილობრივი მედიის განცხადებით უშუქობის მიზეზი ჰაკერების იერიში გახდა. უკრაინის მთავრობამ მომხდარში რუსეთი დაადანაშაულა, მაგრამ მამხილებელი კომპრომატების საზოგადოებისთვის წარმოდგენა ვერ შესძლო. control panel in factory

კიბერშეტევების ვერსიაზე შემდგომში დამატებითი ფაქტები გამოვლინდა. გავრცელებული ინფორმაციით, შეტევის ორგანიზატორებმა გამოიყენეს ე.წ. BlackEnergy მალვეარი (მავნე პროგრამა) და მწყობრიდან ერთდროულად რამდენიმე ელექტრომიმწოდებელი კომპანიის სისტემა გამოიყვანეს. უფრო კონკრეტულად, ჰაკერებმა გამოიყენეს მავნე პროგრამის კომპონენტი (ე.წ. KillDisk), რომელიც ისე აზიანებს სამიზნე სისტემის ოპერაციულ სისტემას, რომ კომპიუტერი მთლიანად წყვეტს ფუნქციონირებას.

როგორ შეაღწიეს ჰაკერებმა ელექტროკომპანიების კომპიუტერებში? შეტევა შემდეგი სცენარით განხორციელდა: მსხვერპლმა მიიღო ელექტრონული მეილი, რომელსაც მოყვებოდა დავირუსებული თანდართული ფაილი, ჩვეულებრივ MS Word-ის ან MS Excel-ის დოკუმენტი. უსაფრთხოების სფეროში მოღვაწე უკრაინულმა კომპანია CyS Centrum-მა ამ მეილების სკრინშოტები გამოაქვეყნა, სადაც ჩანს, რომ მეილის ავტორი თითქოს უკრაინის პარლამენტი „რადაა“. წერილი არწმუნებს მსხვერპლს, რომ ჩამოტვირთოს  ფაილი თავის კომპიუტერში. ფაილის გახსნისას, მოთხოვნილია macro-ს გაშვების დაშვება, რომელიც რეალურად BlackEnergy-ს აინსტალირებს კომპიუტერზე. აღსანიშნავია, რომ ეს არის ინფორმაციული უსაფრთხოების სპეციალისტებისათვის ერთი შეხედვით ბანალური, თუმცა ფართოდ გავრცელებული დაინფიცირების საშუალება.

წყარო: welivesecurity.com
წყარო: welivesecurity.com

BlackEnergy ტროიანი ბოლო წლების განმავლობაში სხვადასხვა მიზნით გამოიყენებოდა.  2014 წელს ამ მავნე პროგრამას უკრაინის წინააღმდეგ მიმართულ კიბერშპიონაჟის ფარგლებში იყენებდნენ. მაშინაც BlackEnergy მაიკროსოფტის საოფისე პროგრამების მეშვეობით ვრცელდებოდა და იყენებდა MS PowerPoint-ის ე.წ. 0-day სისუსტეს (CVE-2014-4114). როგორც ჩანს, ავტორებმა მავნე პროგრამა განაახლეს და ახლა მას SCADA სისტემების წინააღმდეგაც შეუძლია მოქმედება.

რაც შეეხება KillDisk კომპონენტს, CERT-UA-ს (უკრაინის კომპიუტერულ ინციდენტებზე რეაგირების სამთავრობო ჯგუფი) ცნობით, ის BlackEnergy-სთან ერთად 2015 წლის ნოემბერში, ადგილობრივი არჩევნების დროსაც გამოიყენეს. მაშინ სხვადასხვა უკრაინული მედია საშუალებების კომპიუტერებიდან ვიდეო მასალასთან ერთად, დოკუმენტების დიდი ნაწილიც წაიშალა.

კიბერ შეტევების ანალიზისას ყოველთვის არის შეტევის ავტორის გამოაშკარავების (attribution) პრობლემა. ამ შემთხვევაშიც, შეუძლებელია სრულყოფილად დადგენა იდგა თუ არა რომელიმე სახელმწიფო შეტევის უკან. სხვადასხვა უსაფრთხოების კომპანიები კი BlackEnergy-ს შექმნასა და გამოყენებას რუსულ კრიმინალურ დაჯგუფებებს უკავშირებენ.