Хакеры запустили вирус в украинские облэнерго с помощью документов MS Office
Беспрецедентная Атака на "Прикарпатьеоблэнерго".
В конце 2015 года произошла Хакерская атака на украинские облэнерго, которая была осуществлена с помощью вредоносного компьютерного обеспечения, спрятанного в документах Microsoft Office. Об этом сообщается в блоге антивирусной компании ESET, выпускающей известный антивирус NOD32.
Сценарий атаки очень прост: жертва получает электронное письмо, которое содержит вложение с документом, содержащим вирус. Например, с почтового сервера Верховной Рады, в начале 2015 года, рассылалось сообщение, где вирус был спрятан во вложенном Excel-файле якобы со списками по мобилизации.
"Это пример использования социальной инженерии, а не уязвимостей программного обеспечения", - говорится в блоге.
Если запустить документ с макросом, то компьютер заражен. В случае с украинскими облэнерго, в документах был спрятан вирус "троян" BlackEnergy, который заразил систему другим "трояном" Win32/KillDisk. Кроме того, что эта программа способна "убивать" файлы, необходимые для загрузки операционной системы. Ее специально подготовили для атаки на энергокомпании.
"Наш анализ разрушительной вредоносной программы KillDisk, обнаруженной в нескольких энергопоставляющих компаниях Украины, показывает, что в теории она способна отключать критически важные системы. Есть и другое возможное объяснение: бэкдор BlackEnergy, а также недавно обнаруженный бэкдор SSH обеспечивают злоумышленникам удаленный доступ к зараженной системе. После успешного заражения критической системы одним из этих троянов, злоумышленник, опять-таки теоретически, может получить возможность ее отключения. В таком случае внедренный троян KillDisk работает на то, чтобы восстановление стало более сложным. Мы со значительной долей уверенности можем предположить, что именно такой набор инструментов был использован, чтобы вызвать отключение света в Ивано-Франковской области", - говорится в блоге.
Такой же набор инструментов использовался недавно во время местных выборов в Украине, а также другие энергокомпании.
По сообщению Минэнергоугля Украины, на уровне ведомства создана комиссия, которая должна установить причины сбоя в работе этих организаций.
Издание Ars Technica утверждает, что сбой в работе "Прикарпатьеоблэнерго" стал первым зафиксированным случаем отключения электроэнергии, который был вызван хакерской атакой.
"Это поворотный момент, так как мы и прежде видели примеры разрушительных атак на энергетические компании - например, на нефтяные - но никогда раньше они не вызывали массовые отключения электроэнергии. Это сценарий, которого мы боялись уже очень давно", - прокомментировал происходящее глава отдела кибершпионажа iSIGHT Partners Джон Халткуист.
