Cyberatak wstrzymał dostawy prądu na Ukrainie

Pod koniec grudnia ukraińskie przedsiębiorstwa energetyczne padły ofiarą ataku cybernetycznego, którego efektem była kilkugodzinna przerwa w dostawach prądu do niemal miliona mieszkańców Ukrainy. Pracownicy firmy antywirusowej Eset są niemal pewni, że wspomniana przerwa była skutkiem działania zagrożeń BlackEnergy i KillDisk, jakie atakujący zainstalowali na komputerach pracowników jednego z lokalnych dostawców energii. Drugie z wymienionych zagrożeń, wykryte we wspomnianej firmie oraz kilku innych ukraińskich przedsiębiorstwach energetycznych, dodatkowo zmodyfikowano tak, by umożliwiało sabotowanie specjalistycznych systemów przemysłowych.
Załącznik wysyłany w fałszywej wiadomości do ukraińskich firm energetycznych

Załącznik wysyłany w fałszywej wiadomości do ukraińskich firm energetycznych

Jak podkreślają pracownicy firmy Eset, szczegółowa analiza wykazała, że złośliwe oprogramowanie BlackEnergy zostało wykryte na komputerach pracowników kilku ukraińskich elektrowni już wcześniej w 2015 roku. Wtedy jednak infekcja ta nie skutkowała pobieraniem komponentu KillDisk, co może sugerować, że było to jedynie przygotowanie do ataku, który nastąpił w ostatnich dniach grudnia. Obecnie trwa śledztwo władz ukraińskich, mające na celu wyjaśnienie, kto stał za atakiem, którego skutkiem była grudniowa przerwa w dostawie prądu do mieszkańców Ukrainy.

Atak polegający na sekwencji infekcji BlackEnergy, a następnie KillDisk, został po raz pierwszy opisany przez ukraiński zespół CERT w listopadzie 2015 roku. W tym czasie odbywały się lokalne wybory na Ukrainie i kilka redakcji medialnych zostało zaatakowanych w ten sposób wspomnianymi zagrożeniami. CERT wykazał, że w wyniku tego ataku duża ilość materiałów wideo i dokumentów nt. wyborów została zniszczona. Wcześniej, we wrześniu 2014 roku, eksperci z firmy Eset informowali o zagrożeniu BlackEnergy, które zaatakowało wiele firm i instytucji zlokalizowanych w Polsce i na Ukrainie. Wtedy zagrożenie pozwalało atakującemu m.in. na kradzież plików z zainfekowanego komputera czy zdalne uruchomienie dowolnego złośliwego kodu.