BlackEnergy – вирусът, който остави на тъмно цяла Украйна

Next story
Зависимостта от електроенергията е ахилесовата пета на всяка компания, а и държава. Украйна стана поредният пример, демонстриращ уязвимостта на енергийния сектор. Как? Като хиляди украинци останаха без ток след поредната атака на иначе добре познатия вирус BlackEnergy.Анализаторите ни са на мнение, че опасните функционалности на зловредния код са причината за спирането на електричеството в Украйна. „След анализ на зловредния код, успяхме да хвърлим светлина върху операцията, която остави страната без ток. Уви, това, което знаем, е малко парченце от целия пъзел на атаката,“ обяснява Робърт Липовски, старши изследовател в борбата със зловредни кодове от екипа на ESET. „Много въпроси остават без отговор,“ допълва специалистът.Комбинацията от атаката на троянеца BlackEnergy, комбинрана с SSH backdoor вирус и унищожителният KillDisk компонент са допринесли за срива на ИТ системите на няколко енергийни компании в Украйна. Чрез тези инструменти кибер-престъпниците са добили отдалечен достъп до мрежата на засегнатите бизнеси. И са успели да спрат жизнено важни системи и да изтрият данни, с което допълнително са затруднили бързото възстановяване на работата на електрическата мрежа.Това повдига въпросът защо изобщо системите на енергийните компании са свързани с Интернет. Причините обикновено са чисто практични, включително и за намаляване на разходите.Проблемът на свързването на една такава система с интернет е прост. Той се свежда до това, че веднъж онлайн, контролната мрежа става точно толкова уязвима на атака от вирус, колкото всеки един компютър. С една разлика: индустриалната система има много по-малко възможности за защита. Да вземем за пример пачването на стандартен софтуер. То е много по-трудно от това на индустриален софтуер. Индустриалните системи обикновено са модифицирани и в повечето случаи са работят непрестанно. Що се касае до заразените украински системи, вирусът BlackEnergy служи като задна врата. Дейността му е била подпомогната от допълнителен SSH сървър.Въпреки че е доста трудно такива кибер атаки да бъдат доказани, миналото познава няколко особено тревожни случая, дело на кибер престъпници. За два от тях има недвусмислени доказателства. Единият е свързан с разрушаване на газови центрофуги за производство на обогатен уран в иранско ядрено съоръжение. Втората сериозна атака е срещу стоманодобивен завод в Германия, в който са повредени доменни пещи. Смята се, че зловреден код причинява и отварянето на вратите в сектор с максимално ниво на сигурност в щатски затвор.За да се предотвратят подобни пробиви, индустриалните системи трябва да не са част от IT инфраструктури. Често обаче тези системи са свързани с Интернет, дори посредством Google. В такива случаи е важно да се следват стриктни отбранителни стратегии, предложени от институции като  US CERT или SANS Institute.По този начин обикновените компютри в промишлените обекти, дори и свързани с Мрежата, няма да представляват толкова лесна хапка за кибер престъпниците. Сред подходящите стъпки, които могат да се предприемат за сигурността са:
  • инсталиране на възможно най-нова версия антивирусни решения със защита на няколко нива
  • правилен пач мениджмънт
  • чести обучения на персонала и др.