2015-ųjų metų gruodžio mėnesį vykusios kibernetinės atakos prieš elektros energiją tiekiančias įmones Ukrainoje yra susijusios su kibernetiniais išpuoliais prieš Ukrainos žiniasklaidos organizacijas ir yra nukreiptos prieš Ukrainos valstybines institucijas. Analizuojant atakų metu naudotą „KillDisk“ kenkėją išaiškinta, jog jis turi papildomų funkcijų – siekia gadinti pramoninius įrenginius ir sistemas. Tokias išvadas pateikė saugumo kompanijos ESET specialistai po specialaus tyrimo.
2015 metų gruodžio 23 d. maždaug pusė namų, apie 700 tūkstančių žmonių Ivano-Frankivsk Ukrainos regione keletą valandų liko be elektros. ESET tyrėjai nustatė, kad šis elektros energijos dingimas, apie kurį pirmiausia pranešė Ukrainos žiniasklaidos priemonė TSN, nebuvo vienetinis atvejis. Pranešama, kad tuo pat metu kibernetiniai sukčiai buvo nusitaikę ir į kitas elektros energijos gamybos ir perdavimo įmones Ukrainoje.
Pasak ESET tyrėjų, kibernetiniai užpuolikai pasinaudojo „BlackEnergy“ pažeidžiamumu, kuris „KillDisk“ virusui leido pakliūti į atakuojamus kompiuterius. Šie po atakos buvo sugadinti taip, kad daugiau nebeįkrovė operacinės sistemos.
„BlackEnergy“ užpakalinių durų (angl. backdoor) trojanas yra modulinė kenkėjiška programa, kuri gali atsisiųsti įvairius komponentus, reikalingus atlikti tam tikroms užduotims. 2014 metais šis kenkėjas šnipinėjimo tikslais buvo naudojamas daugkartinėms atakoms prieš svarbias verslo ir valstybines įmones Ukrainoje. Neseniai vykusiose atakose prieš elektros energiją tiekiančias įmones, destruktyvus „KillDisk“ trojanas buvo atsisiųstas ir paleistas sistemose, kurios anksčiau buvo apkrėstos „BlackEnergy“ trojanu.
Pirmą kartą ryšį tarp „BlackEnergy“ trojano ir „KillDisk“ viruso 2015 metų lapkričio mėnesį įvardino Ukrainos kibernetinio saugumo agentūra CERT-UA. Pranešime buvo teigiama, jog kai kurios Ukrainos žiniasklaidos priemonės buvo atakuojamos 2015-ųjų metų Ukrainos rinkimų metu. Ataskaitoje minima, kad atakų metu virusas sunaikino daugybę įvairių dokumentų bei vaizdo medžiagos.
Tyrėjai praneša, kad „KillDisk“ kenkėjas, neseniai atakavęs Ukrainoje elektros energiją tiekiančias įmones, turėjo ir papildomą funkcionalumą. Be to, kad galėjo ištrinti sisteminius failus, būtinus operacinės sistemos įkrovai – toks funkcionalumas yra tipinis panašiems destruktyviems trojanams – šis kenkėjas turėjo kodą, skirtą gadinti būtent pramoninius įrenginius bei sistemas.
„Įskaitant įprastą „KillDisk“ funkcionalumą, jis taip pat bandytų nutraukti procesus, kurie dažniausiai naudojami industrinių kontrolės sistemų platformose“, – aiškina ESET kenkėjiškų programų tyrėjas Anton Cherepanov.
Jei šie procesai randami atakuojamoje sistemoje, trojanas juos ne tik sustabdo, tačiau ir kietajame diske perrašo atitinkamą sistemos vykdomąjį failą su pašaliniais duomenimis tam, kad sistemą būtų žymiai sunkiau atstatyti.
„Mūsų atliktas tyrimas apie „KillDisk“ kenkėją, kuris aptiktas keliose elektros tiekimą vykdančiose įmonėse Ukrainoje, rodo, jog tuo pačiu įrankių komplektu buvo pasinaudota ir atakuojant žiniasklaidos organizacijas praėjusiųjų 2015-ųjų metų lapkritį“, – apibendrina A. Cherepanov.
Paieška archyve
