я Головна

Российские военные пытались отключить свет в Винницкой области

Российские хакеры из группировки Sandworm, состоящей из офицеров ГРУ, проникли в сети «Винницаоблэнерго». Они пытались повторить свою же успешную атаку 2016 года, когда свет исчез на севере Киева. На этот раз украинским специалистам удалось предотвратить отключение электроэнергии. Об этом сообщает Forbes.

7–8 апреля специалисты CERT-UA, реагирующие на компьютерные чрезвычайные происшествия, получили от партнеров информацию о возможном заражении IТ-систем одной из региональных энергокомпаний. Вредная программа должна была сработать в 19:10 в пятницу, 8 апреля, когда большинство сотрудников ушли домой. Цель – лишить электроэнергии гражданское население, рассказал на брифинге Виктор Жора, заместитель председателя Госспецсвязи.

Жора отказался называть партнера и энергокомпанию. Относительно партнера – в разборе атаки CERT-UA поблагодарил две компании – Microsoft и словацкую ESET. Последняя помогла защитить и очистить сеть, а затем анализировать образцы вируса. О роли Microsoft Жора не рассказал. Forbes направил в компанию запрос, но на момент выхода материала не получил ответа.

От атаки пострадало «Винницаоблэнерго», узнал Forbes от источников на рынке. Предприятие обслуживает 770 000 потребителей, в том числе 750 000 домохозяйств, 1380 промышленных объектов и 1340 сельскохозяйственных предприятий. Без света могли остаться до 2 млн человек, говорит замминистра энергетики Фарид Сафаров.

Когда вмешались специалисты CERT-UA, часть инфраструктуры уже была поражена. Они не позволили вредному ПО распространиться и возобновили работу поврежденной части системы в ручном режиме. «Никаких сигналов о том, что где-то исчезло электроснабжение, не зафиксировали», – говорит Жора.

Знакомые российские хакеры

Российский след нашли специалисты словацкой антивирусной компании ESET, приобщившиеся к анализу уже 8 апреля. «Мы сравнили новый образец с Industroyer 2016 года, нашли ряд совпадений в коде и пришли к выводу, что это тот же малварь», – рассказал Forbes директор по исследованию угроз ESET Жан-Иен Бутен.

С помощью версии вируса в 2016 году хакеры Главного разведуправления РФ по группировке Sandworm сумели отключить электроэнергию на подстанции на севере Киева, оставив часть города без света.

Пока неизвестно, как именно Sandworm проник в сети энергокомпании – расследование продолжается. Сафаров говорит, что атаки именно на «Винницаоблэнерго» начались еще в середине февраля. Их удавалось отбивать.

Атака, достигшая успеха, была более подготовленной. Злоумышленники получили доступ к сети предприятия, изучили ее, определили конкретное оборудование в качестве целей. Его настройки были прописаны в коде Industroyer2.

Вирус оказался в сетях предприятия не позднее 23 марта. В это время скомпилировали его код. Industroyer позволяет отправлять команды на переключатели подстанции, контролирующие подачу электроэнергии. В 2016 году, чтобы возобновить работу сети, операторам пришлось ехать на подстанцию и подключать переключатели вручную.

Удалось бы это в этот раз – покажет только детальное расследование и общение с инженерами «Винницаоблэнерго». То, что Sandworm использовали почти тот же малварь и закодировали в нем особенности сети одного предприятия, может свидетельствовать о том, что атака готовилась довольно быстро, считает Марина Кротофил, старший технический советник по кибербезопасности критической инфраструктуры ISSP.

Кроме ПО для отключения энергоснабжения российские хакеры также загрузили программу-деструктор CADDYWIPER. Она должна была повредить сетевое оборудование, уничтожить данные на ПК и серверах компании на системах Windows и Linux, включая код самого малвара.

Жора не уточнил, какая часть системы «Винницаоблэнерго» пострадала. Попытки взлома активного сетевого оборудования он назвал «отчасти успешными». Серверы под управлением Linux не пострадали. По запросу Forbes IТ-директор «Винницаоблэнерго» Юрий Томашевский отказался отвечать на вопросы, добавив только, что «на сегодняшний день компания работает в штатном режиме, но в период военного времени».

«Большая удача, что удалось своевременно среагировать на эту атаку», – говорит Виктор Жора. Опыт и образцы Industroyer2 и другого вредоносного ПО помогут лучше выявлять такие атаки быстрее. «Не только в Украине, но и по всему миру», – добавляет Бутен из ESET.

Share
Опубликовано
"РЕАЛ"

Recent Posts

  • я Головна

ЗСУ відкинули окупантів на Запоріжжі

На західному фасі Оріхівського напрямку військовослужбовці Збройних сил України прорвалися в нещодавно повністю окуповане село… Read More

45 минут назад
  • я Головна

Під Гуляйполем окупанти втратили «Торнадо» й живу силу

На Гуляйпільському напрямку (східна частина лінії фронту в Запорізькій області) військовослужбовці прикордонного підрозділу ударних безпілотних… Read More

3 часа назад
  • я Головна

Ворог захопив Безсалівку на Сумщині

На Північно-Слобожанському напрямку російські загарбники повністю захопили маленьке прикордонне село Безсалівка Білопільської міської громади Сумського… Read More

4 часа назад
  • я Головна

Окупанти втратили гелікоптер «Ка-52» разом з екіпажем

Російські окупанти втратили сучасний розвідувально-ударний вертоліт «Ка-52» («Алігатор) разом з екіпажем (два пілоти: командир і… Read More

5 часов назад
  • я Головна

Зеленський пообіцяв Росії відповідь за удар по Києву

Фашистська Росія отримає відповідь за масований удар по Києву в ніч на четвер, 2 липня.… Read More

5 часов назад
  • я Головна

Ворог захопив прикордонний Гранів, – DeepState

На Південно-Слобожанському напрямку російські загарбники остаточно захопили прикордонне село Гранів Дергачівської міської громади Харківського району… Read More

6 часов назад