Hackerii au oprit alimentarea cu energie electrică pentru sute de mii de locuitori din Ucraina

Deși în Ucraina Crăciunul nu este în mod tradițional sărbătorit pe 25 decembrie, un grup de atacatori cibernetici a ales aceasta perioadă a anului pentru a oferi cadou un întuneric total pentru sute de mii de oameni.

Pe 23 decembrie 2015, aproximativ jumătate din casele din regiunea Ivano-Frankivsk din Ucraina (cu o populație de aproximativ 1,4 milioane locuitori ) a rămas fără energie electrică timp de câteva ore. Potrivit publicatiei ucraineane TSN, cauza pentru aceasta pana de curent a fost un "atac al hackerilor" folosind un "virus", anunta ESET pe blogul propriu welivesecurity.com.

ESET a precizat ca nu a fost un incident izolat, deoarece si alte companii de energie din Ucraina au fost vizate de hackeri în același timp si că atacatorii au folosit o familie malware deja cunsocuta: BlackEnergy. Mai exact, backdoor-ul BlackEnergy a fost folosit pentru a planta o componentă KillDisk pe computerele vizate, care nu mai putea sa fie pornite.

Troianul BlackEnergy a mai fost folosit în diverse scopuri în ultimii ani, avand numeroase mecanisme de raspandire, inclusiv PowerPoint. Legătura dintre BlackEnergy și KillDisk a fost raportata inca din noiembrie. În acest caz, o serie de companii media au fost atacate la momentul alegerilor locale din Ucraina, in 2015. Raportul susține că un număr mare de materiale video și diverse documente au fost distruse ca urmare a atacului. În timp ce obiectivele principale ale atacurilor din 2014 păreau să fie de spionaj, descoperirea ca troianul BlackEnergy este capabil sa infecteze sisteme de control industrial arata ca scenariile posibile pot sa fie mult mai dramatice.

În recentele atacuri împotriva companiilor de distributie a electricitatii din Ucraina, componenta distructiva KillDisk a fost descărcat și executat pe sisteme infectate anterior cu troianul BlackEnergy.

În prezent, mai multe companii de distribuție a electricității din Ucraina au fost vizate de atacatori cibernetici. Backdoorul BlackEnergy a fost folosit împotriva unora dintre acestea, impreuna cu componenta KillDisk, în timpul săptămânii din Ajunul Crăciunului 2015. În plus, BlackEnergy a fost detectat de companiile de electricitate chiar mai devreme, dar fara sa existe o indicație ca a fost utilizat si KillDisk la acea vreme, desi este posibil ca atacatorii sa fi fost în etapa de pregătire a atacului.

Vectorul de infecție utilizat în aceste atacuri a constat in fișiere Microsoft Office, care conțineau macro-uri rău intenționate. Scenariul de atac este simplu: tinta primeste un e-mail care conține ca atașament un document cu malware. Compania de securitate ucraineana Cis Centrum a publicat două capturi de ecran a unor e-mailuri folosite în atacurile BlackEnergy, care aveau o adresa falsa la expeditor, acesta fiind chiar Parlamentul ucrainean. Documentul în sine conținea text care încearcă să convingă victima sa ruleze macroul din document. Acesta este un exemplu de inginerie socială folosita în loc de a exploata vulnerabilități software. Dupa ce victimele au fost pacalite, acestea sfârșesc prin a avea un sistem infectat cu BlackEnergy Lite.

Troianul BlackEnergy este modular și are diverse componente care pot fi descărcate pentru a efectua sarcini specifice. În cazul celor mai recente atacuri în Ucraina, malwareul Win32 / KillDisk a fost găsit in sistemul infectat. Virusul avea si posibilitatea de a șterge fișierele de sistem pentru a face sistemul sa nu mai aiba caapcitatea de a boota ( porni ), functionalitate tipica pentru astfel de troieni distructivi, dar pare să conțină si unele funcționalități suplimentare destinate în mod specific pentru a sabota sisteme industriale.

În primul rând, a fost posibil să se stabilească un interval de timp specific, după care actiunea distructiva a fost activata. Apoi, în afară de funcționalitatea KillDisk obisnuita, s-a incercat oprirea a două procese non-standard: komut.exe și sec_service.exe. Al doilea proces, sec_service.exe, poate aparține de software-ul denumit ELTIMA Serial la Ethernet Connector sau ASEM Ubiquity, o platformă utilizata în mod obișnuit în sistemele de comandă industrială (ICS). Dacă acest proces se găsește pe sistemul țintă, troianul il va opri si va suprascrie fișier executabil pe hard disk cu date aleatoare, în scopul de a face restaurarea sistemului mai dificila.

Analiza efectuata de ESET asupra malwareului KillDisk, detectată în mai multe companii de distribuție a electricității din Ucraina, indică faptul că este teoretic capabil să închidă sistemele critice. Cu toate acestea, există de asemenea o altă posibilă explicație. Backdoorul BlackEnergy, precum și un backdoor SSH descoperit recent, oferă atacatorilor acces de la distanță la sistemele infectate. După ce s-au infiltrat cu succes intr-un sistem critic, cu oricare dintre acesti troieni, un atacator este capabil sa opreasca acest sistem. În acest caz, troianul KillDisk ar acționa doar ca un mijloc de a face recuperarea mai dificilă. ESET presupune cu un mare grad de certitudine că intreg setul de instrumente descris a fost folosit pentru a cauza pană de curent în regiunea Ivano-Frankivsk.