Электроэнергетическая сеть Украины вновь подверглась кибератаке спустя всего месяц после того, как в результате атаки, инициированной россиянами, часть системы вышла из строя, оставив миллионы жителей без света.
Как сообщает Голос Америки [2], ситуация усугубляется тем, что, по словам специалистов, исследующих вредоносную программу, предположительно послужившую причиной сбоя, – новую версию так называемого трояна BlackEnergy – она могла распространиться на многочисленные электросети Европы и грозит поразить многие другие.
Сооснователь и директор по безопасности компании SentinelOne Уди Шамир, считает, что подобные атаки - это кибервойна.
В ходе исследования, проведенного аналитиками компании выяснили, что есть несколько возможных объяснений происходящему. Во-первых, это могут быть просто старые системы, которые никогда не обновлялись. Во-вторых, кто-то может намеренно распространять вредоносное ПО изнутри. В-третьих, есть вероятность, что трояны находились в системах в спящем режиме на протяжении нескольких месяцев, и только сейчас пришли в действие.
Определить происхождение вредоносного ПО всегда крайне сложно, в связи с чем сложно наверняка установить, кто стоит за атаками. Однако специалисты из компании iSight ранее обнаружили сходства между более ранними версиями BlackEnergy и хакерской программой Sandworm предположительно российского происхождения, которая использовалась для атак на инфраструктуру НАТО в 2014 году.
Шамир выявил аналогичные сходства с BlackEnergy3, что позволило его команде предположить причастность российских хакеров. «Стиль кода, кластеры напоминают российское ПО, – отмечает Шамир. – Я практически уверен, что программа была разработана в России, но у меня нет неопровержимых доказательств».
Большее беспокойство, по словам Шамира, вызывает тот факт, что последняя версия BlackEnergy имеет модульную структуру, в связи с чем хакерам гораздо проще быстро вносить изменения в работу ПО, а аналитикам гораздо сложнее найти и искоренить его.
«Это ПО можно обновлять, заменять, изменять, даже менять весь его функционал, – поясняет Шамир. – Так что если в одной промышленной сети есть спящий троян, он может получить совершенно новый командный модуль и заразить другие системы».
Именно из-за изменчивой структуры ПО так сложно определить, как именно оно работает, и какие системы поражены.
Самое страшное, по словам Шамира, состоит в том, что большая часть кода BlackEnergy3 не касается заражения промышленных командных систем, управляющих работой электросетей и других объектов тяжелой промышленности, а также вмешательства в их работу. Судя по всему, код создан для проведения тщательного мониторинга и сбора данных, так называемого «сниффинга».
«Это ПО способно выявлять сетевой трафик и делать записи о нем, похищать учетные данные пользователей и документы, если они работают в незашифрованном режиме, а также просачиваться в эти данные, – поясняет Шамир. – Это может позволить хакерам вносить поправки в BlackEnergy3 на ходу. Очевидно, программа нацелена скорее на шпионаж, и это нас беспокоит, поскольку мы не знаем, где она сейчас».
Обычно коммунальные предприятия и государства избегают публично признавать, что из ключевая инфраструктура подвержена кибератакам, из-за чего исследователям сложнее отслеживать распространение и работу BlackEnergy3.
Впрочем, Шамир, как и многие эксперты в сфере кибербезопасности, не сомневается в том, что троян будет распространяться и дальше, приводя к дальнейшим перебоям с электроэнергией и «загадочным» сбоям в работе электроэнергетических систем, транспорта и другой промышленной инфраструктуры.
«Аргумент» [3]
В тему:
Ссылки:
[1] https://argumentua.com/novosti/kriminal
[2] http://www.golos-ameriki.ru/content/cn-ukraine-power-cyber-attack/3171788.html
[3] http://argumentua.com
[4] http://argumentua.com/novosti/tsru-izuchaet-prichastnost-rossii-k-khakerskim-atakam-na-ukrainskie-oblenergo