Компания ESET — лидер в области проактивного обнаружения — сообщает о совершении ряда кибер-атак, направленных на крупные украинские энергетические компании. Такого же рода атакам с целью кибер-шпионажа ранее подверглись украинские СМИ и государственные структуры. После тщательного изучения угрозы KillDisk исследователями ESET стало известно, что новая модификация данной угрозы обладает дополнительными функциями для повреждения промышленных систем.
23 декабря 2015 года около 700 000 людей в Ивано-Франковской области остались без электричества на несколько часов. Причиной данного события стала атака хакеров на «Прикарпатье облэнерго». Более того, в это же время подобной атаке подверглись и другие украинские энергетические компании. Согласно исследованиям, проведенным специалистами ESET, хакеры использовали бэкдор BlackEnergy для распространения вредоносного компонента KillDisk на определенные компьютеры, после чего системы уже не загружались.
Бэкдор BlackEnergy представляет собой модульный троян, который загружает на компьютер жертвы различные компоненты для выполнения определенных задач. В 2014 году данная вредоносная программа использовалась для проведения серии кибер-атак на государственные органы Украины. Для проведения же недавних атак, направленных на украинские энергетические компании, вначале производилось заражение компьютеров трояном BlackEnergy с помощью широко распространенного способа — жертва получала электронное письмо с инфицированным файлом Microsoft Office во вложении. После запуска данного документа с макросами осуществлялась загрузка и выполнение троянской программы Win32/KillDisk, которая приводила системы в нерабочее состояние.
Такой же способ осуществления атаки с использованием BlackEnergy и KillDisk был отмечен в отчете украинского агенства по кибербезопасности CERT-UA в ноябре 2015 года, когда были произведены атаки на ряд украинских СМИ во время проведения местных выборов. Тогда значительные потери понесли Интернет-ресурсы StarLightMedia, включая телеканал ICTV, большое количество видеоматериалов и различных документов которых были удалены.
Модификация троянской программы KillDisk, используемая для осуществления недавних атак на украинский энергетический сектор, обладает дополнительным функционалом. Наряду с типичной функцией удаления системных файлов для невозможности последующей загрузки системы, данная вариация угрозы включает в себя специальный код для выведения из строя промышленных систем.
Данная модификация обладает возможностью активации вредоносной активности с определенной задержкой, а также завершать такие процессы как komut.exe и sec_service.exe. При это стоит отметить, что процесс sec_service.exe может относиться к программному обеспечению ELTIMA Serial к Ethernet Connector или к ASEM Ubiquity, часто используемых платформ в автоматизированных системах управления (Industrial Control Systems).
«Помимо типичного функционала, KillDisk может также пытаться останавливать процессы, которые обычно используются в промышленных системах управления, — объясняет Антон Черепанов, исследователь вредоносных программ в компании ESET. — Если эти процессы находятся в системе, на которую направлена атака, троянская программа не только остановит их, но также может переписать их соответствующий исполняемый файл на жестком диске, используя произвольные данные, чтобы усложнить процесс восстановления системы».
Таким образом, проведенный анализ угрозы KillDisk показывает, что тот же набор инструментов использовался как для кибер-атак на украинские энергетические компании в Ивано-Франковской области, так и для осуществления атак с целью шпионажа на украинские СМИ в ноябре 2015 года.
В связи с предельно высокой активностью угрозы BlackEnergy специалисты ESET настоятельно рекомендуют пользователям придерживаться правил безопасности при работе на компьютере, а также использовать надежные комплексные антивирусные решения (например, ESET Endpoint Security, ESET Smart Security) и все модули защиты, реализованные в них. Очень часто пользователи подвергают себя дополнительному риску, отключая такие функции как:
- защита документов, обеспечивающая проверку макросов на наличие вредоносного кода;
- обнаружение потенциально опасного/нежелательного ПО;
- облачный репутационный сервис ESET LiveGrid.
Более подробная информация доступна на официальном блоге ESET - www.welivesecurity.com