Компанія ESET — лідер у галузі проактивного виявлення — повідомляє про здійснення ряду кібер-атак, спрямованих на великі українські енергетичні компанії. Жертвами такого ж роду атак з метою кібер-шпигунства раніше стали українські ЗМІ та державні структури. Після ретельного вивчення загрози KillDisk дослідниками ESET стало відомо, що нова модифікація даної загрози володіє додатковими функціями для пошкодження промислових систем.
23 грудня 2015 близько 700 000 людей в Івано-Франківській області залишилися без електрики на кілька годин. Причиною даної події стала атака хакерів на «Прикарпаття обленерго». Більш того, в цей же час жертвами подібної атаки стали й інші українські енергетичні компанії. Згідно з дослідженням, проведеним спеціалістами ESET, хакери використовували бекдор BlackEnergy для поширення шкідливого компонента KillDisk на певні комп'ютери, після чого системи вже не завантажувалися.
Бекдор BlackEnergy представляє собою модульний троян, який завантажує на комп'ютер жертви різні компоненти для виконання певних завдань. У 2014 році дана шкідлива програма використовувалася для проведення серії кібер-атак на державні органи України. Для проведення ж нещодавніх атак, спрямованих на українські енергетичні компанії, спочатку здійснювалося інфікування комп'ютерів трояном BlackEnergy за допомогою широко поширеного способу — жертва отримувала електронного листа з інфікованим файлом Microsoft Office у вкладенні. Після запуску даного документа з макросами здійснювалося завантаження та виконання троянської програми Win32/KillDisk, яка приводила системи в неробочий стан.
Такий же спосіб здійснення атаки з використанням BlackEnergy та KillDisk був відзначений у звіті українського агенства з кібербезпеки CERT-UA у листопаді 2015 року, коли були здійснені атаки на ряд українських ЗМІ під час проведення місцевих виборів. Тоді значних втрат зазнали Інтернет-ресурси StarLightMedia, включаючи телеканал ICTV, велика кількість відеоматеріалів та різних документів яких були видалені.
Модифікація троянської програми KillDisk, яка використовувалась для здійснення недавніх атак на український енергетичний сектор, володіє додатковим функціоналом. Поряд з типовою функцією видалення системних файлів для неможливості подальшого завантаження системи, ця варіація загрози включає в себе спеціальний код для виведення з ладу промислових систем.
Дана модифікація володіє можливістю активації шкідливої активності з певною затримкою, а також завершувати такі процеси як komut.exe та sec_service.exe. При цьому варто відзначити, що процес sec_service.exe може відноситися до програмного забезпечення ELTIMA Serial до Ethernet Connector або до ASEM Ubiquity, платформ. Які часто використовуються в автоматизованих системах управління (Industrial Control Systems).
«Окрім типового функціоналу, KillDisk може також намагатися зупиняти процеси, які зазвичай використовуються у промислових системах управління, — пояснює Антон Черепанов, дослідник шкідливих програм в компанії ESET. — Якщо ці процеси перебувають у системі, на яку спрямована атака, троянська програма не тільки зупинить їх, але також може переписати їх відповідний файл, що виконується, на жорсткому диску, використовуючи довільні дані, щоб ускладнити процес відновлення системи».
Таким чином, проведений аналіз загрози KillDisk показує, що цей самий набір інструментів використовувався як для кібер-атак на українські енергетичні компанії в Івано-Франківській області, так і для здійснення атак з метою шпигунства на українські ЗМІ в листопаді 2015 року.
У зв'язку з гранично високою активністю загрози BlackEnergy спеціалісти ESET настійно рекомендують користувачам дотримуватись основних, а також використовувати надійні комплексні антивірусні рішення (наприклад, ESET Endpoint Security, ESET Smart Security) та всі модулі захисту, реалізовані в них. Дуже часто користувачі піддають себе додатковому ризику, відключаючи такі функції як:
- захист документів, який забезпечує перевірку макросів на наявність шкідливого коду;
- виявлення потенційно небезпечного/небажаного програмного забезпечення;
- хмарний репутаційний сервіс ESET LiveGrid.
Більш детальна інформація доступна на сторінці офіційного блогу ESET - www.welivesecurity.com