BlackEnergy (буквально: укр. чорна енергія) — троян, вперше виявлений в 2007 році на ринку шкідливих програм серед російських хакерів. Перша версія BlackEnergy була порівняно простим набором інструментів для створення мереж ботів для здійснення розподілених атак на відмову обслуговування. За час існування трояну було створено іще дві версії, які набули нових, потужніших можливостей, що дозволяють застосовувати його для атак типу розвиненої сталої загрози. Так, в 2010 році була виявлена друга версія трояну, BlackEnergy 2, яка вже могла підключати модулі з додатковими можливостями: передача вкрадених даних на сервери зловмисників, стеження за мережевим трафіком, тощо. В 2014 році була виявлена третя версія.
Тип | троянська програма |
---|---|
Автор | невідомий, пов'язують з російськими хакерськими угрупуваннями Quedagh або Sandworm |
Перший випуск | 2007 рік |
Операційна система | Microsoft Windows, Microsoft Office |
Мова програмування | Visual Basic, інші, ймовірно |
Зараження системи відбувається із використанням вразливості в механізмі OLE операційної системи Microsoft Windows через документи Microsoft Office, зокрема, вразливості, відомої як CVE-2014-4114.
Саме третя версія трояну, BlackEnergy 3, була використана для здійснення першої у світі підтвердженої атаки на виведення з ладу енергосистеми: російським зловмисникам 23 грудня 2015 року вдалось успішно атакувати комп'ютерні системи управління в диспетчерській «Прикарпаттяобленерго», було вимкнено майже 30 підстанцій, близько 230 тисяч мешканців залишались без світла протягом однієї-шести годин.
Історія
Кожна нова версія є майже повністю переробленою версією попередньої версії.
BlackEnergy 2
В 2010 році була виявлена наступна, друга версія трояну — BlackEnergy 2. Нова версія стала майже повною переробкою попередньою, в реалізації з'явився професійний підхід. Наприклад, у пакету інструментів з'явилась проста програма установки.
Разом зі зростанням популярності BlackEnergy 2 розробники вирішили, що троян треба поліпшити, зробивши його модульним. В 2011 році троян отримав здатність обходити контроль за обліковими записами (англ. User Account Control) при інсталяції. Цей метод допоміг BlackEnergy 2 отримувати додаткові права для виконання свого коду. В 2013 році був виявлений варіант BlackEnergy 2 з підтримкою 64-бітних драйверів.
Дослідники фірми F-Secure пов'язують троян BlackEnergy з угрупуванням кіберзлочинців, яке вони називають англ. Quedagh. Інші дослідники називають це угрупування англ. Sandworm (через досить часті цитати з Дюни).
Дослідники фірми Sentinel One припускають, що одна й та сама група могла застосувати BlackEnergy для кібератаки проти Естонії в 2007 році та для кібератаки на промислові системи керування «Прикарпаттяобленерго».
BlackEnergy 3
У другу чверть 2014 року, дослідники F-Secure вперше повідомили про виявлення нової версії трояну BlackEnergy. BlackEnergy 3 вже не має багатьох особливостей попередньої версії.
Ця версія має іще більше можливостей, та іще якіснішу реалізацію. Новий реліз не має драйвера, ідентифікатор збірки (англ. build ID) має формат часу, та в цілому троян отримав декілька механізмів самозахисту: захист від запуску у віртуальному середовищі, захист від зневаджувачів, розміщені по всьому коду трояна перевірки наявності інших систем комп'ютерної безпеки (антивіруси, тощо) у середовищі виконання. Третя версія також відрізняється наявністю широкого кола модулів:
- fs.dll — операції з файловою системою
- si.dll — збирання інформації про систему, «BlackEnergy Lite»
- jn.dll — встановлення шкідливих програм
- ki.dll — запис натиснених клавіш клавіатури
- ps.dll — викрадення паролів
- ss.dll — зняття знімків екрану
- vs.dll — дослідження комп'ютерної мережі, віддалений запуск програм
- tv.dll — перегляд груп користувачів
- rd.dll — спрощений варіант псевдо «віддаленого керування стільницею» (англ. remote desktop)
- up.dll — оновлення шкідливих програм
- dc.dll — перелік облікових записів операційної системи
- bs.dll — отримання даних про апаратне забезпечення, BIOS, операційну систему Windows
- dstr.dll — знищення системи
- scan.dll — сканування мережі
Такий набір стандартної функціональності істотно відрізняється від Стакснет, для створення якого розробникам знадобились глибокі знання предметної галузі.
Модуль збирання інформації (si.dll)
Модуль збирання інформації про систему (si.dll
) збирає та відправляє на сервер зловмисникам, зокрема, такі дані:
- налаштування системи (отримані від
systeminfo.exe
) - версія операційної системи
- права облікових записів
- поточний час
- час безперервної роботи
- час перебування в режимі простою
- налаштування доступу до проксі-сервера
- встановлене програмне забезпечення (отримується із реєстру системи деінсталяції)
- перелік запущених процесів (отримані від
tasklist.exe
) - налаштування IP (отримані від
ipconfig.exe
) - відкриті підключення через мережу (отримані від
netstat.exe
) - таблиці маршрутизації (отримані від
route.exe
) - traceroute та ping запитів до серверів Google (отримані від
tracert.exe
таping.exe
) - встановлені поштові клієнти, веббраузери, програми обміну повідомленнями
- інформація про облікові записи та паролі поштових клієнтів The Bat!
- збережені облікові записи та паролі до них в менеджері паролів Mozilla для таких програм:
- збережені облікові записи та паролі до них в менеджері паролів Google Chrome для таких програм:
- збережені облікові записи та паролі до них в Microsoft Outlook та Outlook Express
- версія встановленого веббраузера Internet Explorer та збережені дані про облікові записи
- збережені облікові записи та паролі до них в :
- Live
- інші облікові записи (Microsoft_, WinInet_, тощо)
Принцип дії
Троян BlackEnergy може бути поширений декількома шляхами (), зокрема:
- запуск програми установки трояна в результаті введення користувача в оману або іншою програмою. Поширена назва інсталятора трояна BlackEnergy —
msiexec.exe
, що має іще більше заплутати недосвідченого користувача. - установка трояна може бути запущена інфікованими документами.
Дослідники фірми F-Secure змогли виявити дві «нормальні», «корисні» програми, які, тим не менш, встановлюють троян BlackEnergy. Такий спосіб досить ефективний, оскільки звичайний користувач не завжди здатен помітити, що разом із встановленням корисної програми він інфікує свій комп'ютер комп’ютерним вірусом чи трояном.
Деякі старіші версії трояну мали програму установки з назвою regedt32.exe
(назва стандартного редактора реєстру Windows), яку запускали інфіковані документи. При цьому, інфіковані документи покладались на вразливості програмного забезпечення, зокрема, CVE-2010-3333.
Програма установки трояна BlackEnergy 3 може мати назву msiexec.exe
. Аби приховати свою роботу від користувача, інсталятор може відкривати на весь екран якийсь документ.
Також були виявлені програми установки трояну, які вдають із себе програми установки Adobe Flash Player.
Поширення трояну через інфіковані документи покладається на вразливості механізму OLE. Механізм OLE глибоко інтегрований в комплект програм Microsoft Office. Через свою гнучкість та складність реалізації OLE мають деякі вразливості.
Так, наприклад, завдяки OLE редактори отримали можливість вбудовувати скрипти Visual Basic в документи, які запускаються при відкритті документів. Ця можливість стала одразу поширеною серед зловмисників. Microsoft, натомість, запровадила певні механізми захисту від несанкціанованого запуску шкідливого коду: наприклад, користувачі отримали можливість відключати автоматичний запуск скриптів. При цьому, користувач має явно схвалити запуск скрипту при відкритті документа.
Інший спосіб зараження комп'ютера покладається на вразливості синтаксичних аналізаторів та внутрішніх механізмів OLE, завдяки чому скрипт може працювати приховано і без дозволу користувача.
Відомі випадки застосування
Атака на «Прикарпаттяобленерго»
Саме третя версія трояну, BlackEnergy 3, була використана для здійснення першої у світі підтвердженої атаки на виведення з ладу енергосистеми: російським зловмисникам 23 грудня 2015 року вдалось успішно атакувати комп'ютерні системи управління в диспетчерській «Прикарпаттяобленерго», було вимкнено близько 30 підстанцій, близько 230 тисяч мешканців залишались без світла протягом однієї-шести годин.
Нападники змогли отримати доступ до корпоративної мережі компанії завдяки вдалому зараженню комп'ютера одного із співробітників. Проте, мережі цифрових контролерів, які власне і керують обладнанням, знаходились за мережевими екранами.
Протягом багатьох місяців вони проводили масштабну розвідку, досліджували та описували мережі і здобували доступ до служби Windows Domain Controllers, яка керує обліковими записами користувачів мереж. Тут вони зібрали реквізити співробітників, у тому числі паролі від захищеної мережі VPN, яку працівники енергокомпаній використовували для віддаленого підключення до мережі SCADA.
Здобувши доступ до внутрішньої мережі, нападники переконфігурували пристрої безперебійного живлення (UPS), відповідальні за енергопостачання двох диспетчерських центрів.
Кожне обленерго використовувало власну систему управління розподілом енергії у своїх мережах, і під час фази розвідки нападники ретельно вивчили кожну з них. Тоді вони написали шкідливий мікрокод, яким замінили справжній вбудований мікрокод на конвертерах із серійного інтерфейсу на інтерфейс Ethernet у понад десяти підстанціях (ці конвертери застосовуються для обробки команд, які надходять від мережі SCADA до систем управління підстанцією).
Виведення з ладу конвертерів не давало операторам змогу посилати віддалені команди для повторного включення запобіжників після того, як енергію було вимкнуто.
Приблизно о 3:30 по обіді 23 грудня вони зайшли в мережі SCADA через вкрадені облікові записи і віддали команди на вимкнення систем безперебійного живлення, які вони вже переконфігурували раніше. Після цього вони почали вимикати запобіжні системи, які переривали живлення.
Але перед цим вони запустили атаку за методикою «відмова від обслуговування» на кол-центри обленерго, аби користувачі не могли повідомити про аварію. Фіктивні дзвінки, судячи з усього, надходили з Москви.
Після того, як нападники вимкнули запобіжники і відключили низку підстанцій від мережі, вони також переписали програмний мікрокод на конвертерах із серійного інтерфейсу на інтерфейс Ethernet, замінивши «справжнє» програмне забезпечення шкідливим, і тим самим вивівши з ладу конвертери, які перестали виконувати команди.
Завершивши всі ці дії, зловмисники застосували програму під назвою для знищення файлів з комп'ютерів операторів підстанцій, тим самим вивівши і їх з ладу. KillDisk стирає чи перезаписує дані в критично важливих системних файлах, викликаючи їхнє «зависання».
Деякі з компонентів KillDisk потрібно запускати вручну, але нападники у двох випадках застосували так звану «логічну бомбу», яка запустила KillDisk автоматично через 90 хвилин після початку атаки.
Через півгодини, коли KillDisk мав зробити свою справу і в операторів не залишилось сумнівів щодо причини масштабного зникнення світла, компанія розмістила друге повідомлення — про те, що до цього причетні хакери.
Держказначейство України
6 грудня 2016 року хакерська атака на урядові сайти (Держказначейства України, Мінфіну, Пенсійного фонду та інших) і на внутрішні мережі держорганів призвела до масштабних затримок бюджетних виплат. Вже 7 грудня (досить оперативно, як для державних органів) Кабмін виділив 80 млн гривень для захисту від хакерів.
Інші випадки застосування
Естонія
На тлі погіршення відносин між РФ та Естонією навесні 2007 року стались масовані кібератаки на відмову обслуговування проти інтернет-ресурсів (вебсайтів) в Естонії. В основному, були використані ресурси мережі інфікованих комп'ютерів Storm. Однак згодом, коли розпочались судові процеси над учасниками заколотів квітня 2007 року, вражені трояном BlackEnergy комп'ютери були використані для атаки на видання delfi.ee.
Сполучені Штати Америки
У 2009 році троян BlackEnergy був використаний групою кіберзлочинців з Росії для атаки на інформаційну систему американського банку Citigroup Inc., внаслідок чого було вкрадено грошей на суму десятки мільйонів доларів.
Україна
Під час протестів проти вступу України в НАТО, що відбувались в 2007—2008 роках, атак зазнали деякі інформаційні видання.
Серед інших, 2008 року атаки у відмові на обслуговування зазнав сайт п'ятого каналу 5.ua. В тілі HTTP запиту знаходився рядок «NATO go home». Система спостереження ATLAS змогла встановити центр управління атаки — ними виявились зареєстровані в Китаї сайти my-loads.info та ultra-shop.biz. Керований ними ботнет був створений на основі інфікованих трояном BlackEnergy комп'ютерів.
На початку лютого 2016 року троян BlackEnergy був виявлений в комп'ютерах в мережі системи управління польотами міжнародного аеропорту «Бориспіль». Тоді минулось без істотніших наслідків.
Див. також
Примітки
- (PDF). Malware Analysis Whitepaper. F-Secure labs Security Response. Архів оригіналу (PDF) за 9 жовтня 2016. Процитовано 23 березня 2016.
- Raj Samani, Christiaan Beek (16 березня 2016). . McAfee. Архів оригіналу за 6 квітня 2016. Процитовано 23 березня 2016.
- Udi Shamir (2016). (PDF). Sentinel One. Архів оригіналу (PDF) за 23 березня 2016. Процитовано 23 березня 2016.
- . CVE.MITRE.ORG. The MITRE Corporation. Архів оригіналу за 25 березня 2016. Процитовано 23 березня 2016.
- Кім Зеттер, Wired (17 березня 2016). . ТЕКСТИ. Архів оригіналу за 25 лютого 2022. Процитовано 18 березня 2016.
- . Estonian World Review. 16 жовтня 2014. Архів оригіналу за 6 квітня 2016. Процитовано 25 березня 2016.
- . CVE.MITRE.ORG. The MITRE Corporation. Архів оригіналу за 20 березня 2016. Процитовано 25 березня 2016.
переповнення буфера в деяких версіях Microsoft Office, спричинена документами формату RTF, так звана "RTF Stack Buffer Overflow Vulnerability"
- . Урядовий портал. 6 грудня 2016. Архів оригіналу за 10 грудня 2016. Процитовано 11 грудня 2016.
- . Економічна правда. 9 грудня 2016. Архів оригіналу за 10 грудня 2016. Процитовано 11 грудня 2016.
- Минфин и Госказначейство получат 80 миллионов на защиту от хакеров [ 9 грудня 2016 у Wayback Machine.], 7 грудня 2016
- Ken Dunham, Jim Melnick (2008). 6.2.6.11.1 Storm Botnet Possibly Used in 2007 Estonia DDoS Attacks. Malicious Bots: An Inside Look into the Cyber-Criminal Underground of the Internet. CRC Press. с. 168. ISBN .
- Siobhan Gorman, Evan Perez (22 грудня 2009). . WSJ. Dow Jones & Company. Архів оригіналу за 24 березня 2016. Процитовано 25 березня 2016.
- Jose NAZARIO. Politically Motivated Denial of Service Attacks. — DOI: . з джерела 19 березня 2016. Процитовано 30 березня 2016.
- Pavel Polityuk, Alessandra Prentice (18 лютого 2016). . Reuters. https://www.facebook.com/Reuters. Архів оригіналу за 4 квітня 2016. Процитовано 23 березня 2016.
- Алексей Бондаренко (18 лютого 2016). . AIN.UA. Архів оригіналу за 3 квітня 2016. Процитовано 23 березня 2016.
Література
- (PDF). Malware Analysis Whitepaper. F-Secure labs Security Response. 2014. Архів оригіналу (PDF) за 9 жовтня 2016. Процитовано 23 березня 2016.
- Kurt Baumgartner, Maria Garnaeva (3 листопада 2014). . Secure List (Kaspersky). Архів оригіналу за 18 червня 2016. Процитовано 15 серпня 2016.
- Udi Shamir (2016). (PDF). Sentinel One. Архів оригіналу (PDF) за 23 березня 2016. Процитовано 23 березня 2016.
- Anton Cherepanov (3 Jan 2016). . We Live Security (ESET). Архів оригіналу за 12 серпня 2016. Процитовано 15 серпня 2016.
- GReAT (28 січня 2016). . Secure List (Kaspersky). Архів оригіналу за 12 квітня 2016. Процитовано 15 серпня 2016.
Посилання
- Хакерська атака Росії на українську енергосистему: як це було [ 25 лютого 2022 у Wayback Machine.], Texty та Wired
- Updated BlackEnergy Trojan Grows More Powerful [ 6 квітня 2016 у Wayback Machine.]
- KillDisk and BlackEnergy Are Not Just Energy Sector Threats [ 24 березня 2016 у Wayback Machine.]
- Back in BlackEnergy: 2014 targeted attacks in the Ukraine and Poland на YouTube: доповідь Роберт Ліповський та Антон Черепанов (ESET) на конференції VB2014
- ICS-ALERT-14-281-01B [ 8 серпня 2016 у Wayback Machine.]: Ongoing Sophisticated Malware Campaign Compromising ICS (Update E)
Це незавершена стаття про програмне забезпечення. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
BlackEnergy bukvalno ukr chorna energiya troyan vpershe viyavlenij v 2007 roci na rinku shkidlivih program sered rosijskih hakeriv Persha versiya BlackEnergy bula porivnyano prostim naborom instrumentiv dlya stvorennya merezh botiv dlya zdijsnennya rozpodilenih atak na vidmovu obslugovuvannya Za chas isnuvannya troyanu bulo stvoreno ishe dvi versiyi yaki nabuli novih potuzhnishih mozhlivostej sho dozvolyayut zastosovuvati jogo dlya atak tipu rozvinenoyi staloyi zagrozi Tak v 2010 roci bula viyavlena druga versiya troyanu BlackEnergy 2 yaka vzhe mogla pidklyuchati moduli z dodatkovimi mozhlivostyami peredacha vkradenih danih na serveri zlovmisnikiv stezhennya za merezhevim trafikom tosho V 2014 roci bula viyavlena tretya versiya BlackEnergyTiptroyanska programaAvtornevidomij pov yazuyut z rosijskimi hakerskimi ugrupuvannyami Quedagh abo SandwormPershij vipusk2007 rikOperacijna sistemaMicrosoft Windows Microsoft OfficeMova programuvannyaVisual Basic inshi jmovirno C Zarazhennya sistemi vidbuvayetsya iz vikoristannyam vrazlivosti v mehanizmi OLE operacijnoyi sistemi Microsoft Windows cherez dokumenti Microsoft Office zokrema vrazlivosti vidomoyi yak CVE 2014 4114 Same tretya versiya troyanu BlackEnergy 3 bula vikoristana dlya zdijsnennya pershoyi u sviti pidtverdzhenoyi ataki na vivedennya z ladu energosistemi rosijskim zlovmisnikam 23 grudnya 2015 roku vdalos uspishno atakuvati komp yuterni sistemi upravlinnya v dispetcherskij Prikarpattyaoblenergo bulo vimkneno majzhe 30 pidstancij blizko 230 tisyach meshkanciv zalishalis bez svitla protyagom odniyeyi shesti godin IstoriyaKozhna nova versiya ye majzhe povnistyu pereroblenoyu versiyeyu poperednoyi versiyi BlackEnergy 2 V 2010 roci bula viyavlena nastupna druga versiya troyanu BlackEnergy 2 Nova versiya stala majzhe povnoyu pererobkoyu poperednoyu v realizaciyi z yavivsya profesijnij pidhid Napriklad u paketu instrumentiv z yavilas prosta programa ustanovki Razom zi zrostannyam populyarnosti BlackEnergy 2 rozrobniki virishili sho troyan treba polipshiti zrobivshi jogo modulnim V 2011 roci troyan otrimav zdatnist obhoditi kontrol za oblikovimi zapisami angl User Account Control pri instalyaciyi Cej metod dopomig BlackEnergy 2 otrimuvati dodatkovi prava dlya vikonannya svogo kodu V 2013 roci buv viyavlenij variant BlackEnergy 2 z pidtrimkoyu 64 bitnih drajveriv Doslidniki firmi F Secure pov yazuyut troyan BlackEnergy z ugrupuvannyam kiberzlochinciv yake voni nazivayut angl Quedagh Inshi doslidniki nazivayut ce ugrupuvannya angl Sandworm cherez dosit chasti citati z Dyuni Doslidniki firmi Sentinel One pripuskayut sho odna j ta sama grupa mogla zastosuvati BlackEnergy dlya kiberataki proti Estoniyi v 2007 roci ta dlya kiberataki na promislovi sistemi keruvannya Prikarpattyaoblenergo BlackEnergy 3 U drugu chvert 2014 roku doslidniki F Secure vpershe povidomili pro viyavlennya novoyi versiyi troyanu BlackEnergy BlackEnergy 3 vzhe ne maye bagatoh osoblivostej poperednoyi versiyi Cya versiya maye ishe bilshe mozhlivostej ta ishe yakisnishu realizaciyu Novij reliz ne maye drajvera identifikator zbirki angl build ID maye format chasu ta v cilomu troyan otrimav dekilka mehanizmiv samozahistu zahist vid zapusku u virtualnomu seredovishi zahist vid znevadzhuvachiv rozmisheni po vsomu kodu troyana perevirki nayavnosti inshih sistem komp yuternoyi bezpeki antivirusi tosho u seredovishi vikonannya Tretya versiya takozh vidriznyayetsya nayavnistyu shirokogo kola moduliv fs dll operaciyi z fajlovoyu sistemoyu si dll zbirannya informaciyi pro sistemu BlackEnergy Lite jn dll vstanovlennya shkidlivih program ki dll zapis natisnenih klavish klaviaturi ps dll vikradennya paroliv ss dll znyattya znimkiv ekranu vs dll doslidzhennya komp yuternoyi merezhi viddalenij zapusk program tv dll pereglyad grup koristuvachiv rd dll sproshenij variant psevdo viddalenogo keruvannya stilniceyu angl remote desktop up dll onovlennya shkidlivih program dc dll perelik oblikovih zapisiv operacijnoyi sistemi bs dll otrimannya danih pro aparatne zabezpechennya BIOS operacijnu sistemu Windows dstr dll znishennya sistemi scan dll skanuvannya merezhi Takij nabir standartnoyi funkcionalnosti istotno vidriznyayetsya vid Staksnet dlya stvorennya yakogo rozrobnikam znadobilis gliboki znannya predmetnoyi galuzi Modul zbirannya informaciyi si dll Modul zbirannya informaciyi pro sistemu si dll zbiraye ta vidpravlyaye na server zlovmisnikam zokrema taki dani nalashtuvannya sistemi otrimani vid systeminfo exe versiya operacijnoyi sistemi prava oblikovih zapisiv potochnij chas chas bezperervnoyi roboti chas perebuvannya v rezhimi prostoyu nalashtuvannya dostupu do proksi servera vstanovlene programne zabezpechennya otrimuyetsya iz reyestru sistemi deinstalyaciyi perelik zapushenih procesiv otrimani vid tasklist exe nalashtuvannya IP otrimani vid ipconfig exe vidkriti pidklyuchennya cherez merezhu otrimani vid netstat exe tablici marshrutizaciyi otrimani vid route exe traceroute ta ping zapitiv do serveriv Google otrimani vid tracert exe ta ping exe vstanovleni poshtovi kliyenti vebbrauzeri programi obminu povidomlennyami informaciya pro oblikovi zapisi ta paroli poshtovih kliyentiv The Bat zberezheni oblikovi zapisi ta paroli do nih v menedzheri paroliv Mozilla dlya takih program Thunderbird Firefox SeaMonkey zberezheni oblikovi zapisi ta paroli do nih v menedzheri paroliv Google Chrome dlya takih program Google Chrome Chromium Comodo Dragon Torch Opera Sleipnir zberezheni oblikovi zapisi ta paroli do nih v Microsoft Outlook ta Outlook Express versiya vstanovlenogo vebbrauzera Internet Explorer ta zberezheni dani pro oblikovi zapisi zberezheni oblikovi zapisi ta paroli do nih v Live inshi oblikovi zapisi Microsoft WinInet tosho Princip diyiZnimok ekranu vidkritogo dokumentu zarazhenogo troyanom BlackEnergy Troyan riznovid komp yuternogo virusu namagayetsya vvesti koristuvacha v omanu ta perekonati dozvoliti vikonannya scenariyiv Visual Basic sho v svoyu chergu dozvolit vraziti operacijnu sistemu Troyan BlackEnergy mozhe buti poshirenij dekilkoma shlyahami zokrema zapusk programi ustanovki troyana v rezultati vvedennya koristuvacha v omanu abo inshoyu programoyu Poshirena nazva instalyatora troyana BlackEnergy msiexec exe sho maye ishe bilshe zaplutati nedosvidchenogo koristuvacha ustanovka troyana mozhe buti zapushena infikovanimi dokumentami Doslidniki firmi F Secure zmogli viyaviti dvi normalni korisni programi yaki tim ne mensh vstanovlyuyut troyan BlackEnergy Takij sposib dosit efektivnij oskilki zvichajnij koristuvach ne zavzhdi zdaten pomititi sho razom iz vstanovlennyam korisnoyi programi vin infikuye svij komp yuter komp yuternim virusom chi troyanom Deyaki starishi versiyi troyanu mali programu ustanovki z nazvoyu regedt32 exe nazva standartnogo redaktora reyestru Windows yaku zapuskali infikovani dokumenti Pri comu infikovani dokumenti pokladalis na vrazlivosti programnogo zabezpechennya zokrema CVE 2010 3333 Programa ustanovki troyana BlackEnergy 3 mozhe mati nazvu msiexec exe Abi prihovati svoyu robotu vid koristuvacha instalyator mozhe vidkrivati na ves ekran yakijs dokument Takozh buli viyavleni programi ustanovki troyanu yaki vdayut iz sebe programi ustanovki Adobe Flash Player Poshirennya troyanu cherez infikovani dokumenti pokladayetsya na vrazlivosti mehanizmu OLE Mehanizm OLE gliboko integrovanij v komplekt program Microsoft Office Cherez svoyu gnuchkist ta skladnist realizaciyi OLE mayut deyaki vrazlivosti Tak napriklad zavdyaki OLE redaktori otrimali mozhlivist vbudovuvati skripti Visual Basic v dokumenti yaki zapuskayutsya pri vidkritti dokumentiv Cya mozhlivist stala odrazu poshirenoyu sered zlovmisnikiv Microsoft natomist zaprovadila pevni mehanizmi zahistu vid nesankcianovanogo zapusku shkidlivogo kodu napriklad koristuvachi otrimali mozhlivist vidklyuchati avtomatichnij zapusk skriptiv Pri comu koristuvach maye yavno shvaliti zapusk skriptu pri vidkritti dokumenta Inshij sposib zarazhennya komp yutera pokladayetsya na vrazlivosti sintaksichnih analizatoriv ta vnutrishnih mehanizmiv OLE zavdyaki chomu skript mozhe pracyuvati prihovano i bez dozvolu koristuvacha Vidomi vipadki zastosuvannyaAtaka na Prikarpattyaoblenergo Dokladnishe Ataka na Prikarpattyaoblenergo Div takozh Rosijsko ukrayinska kibervijna Same tretya versiya troyanu BlackEnergy 3 bula vikoristana dlya zdijsnennya pershoyi u sviti pidtverdzhenoyi ataki na vivedennya z ladu energosistemi rosijskim zlovmisnikam 23 grudnya 2015 roku vdalos uspishno atakuvati komp yuterni sistemi upravlinnya v dispetcherskij Prikarpattyaoblenergo bulo vimkneno blizko 30 pidstancij blizko 230 tisyach meshkanciv zalishalis bez svitla protyagom odniyeyi shesti godin Napadniki zmogli otrimati dostup do korporativnoyi merezhi kompaniyi zavdyaki vdalomu zarazhennyu komp yutera odnogo iz spivrobitnikiv Prote merezhi cifrovih kontroleriv yaki vlasne i keruyut obladnannyam znahodilis za merezhevimi ekranami Protyagom bagatoh misyaciv voni provodili masshtabnu rozvidku doslidzhuvali ta opisuvali merezhi i zdobuvali dostup do sluzhbi Windows Domain Controllers yaka keruye oblikovimi zapisami koristuvachiv merezh Tut voni zibrali rekviziti spivrobitnikiv u tomu chisli paroli vid zahishenoyi merezhi VPN yaku pracivniki energokompanij vikoristovuvali dlya viddalenogo pidklyuchennya do merezhi SCADA Zdobuvshi dostup do vnutrishnoyi merezhi napadniki perekonfiguruvali pristroyi bezperebijnogo zhivlennya UPS vidpovidalni za energopostachannya dvoh dispetcherskih centriv Kozhne oblenergo vikoristovuvalo vlasnu sistemu upravlinnya rozpodilom energiyi u svoyih merezhah i pid chas fazi rozvidki napadniki retelno vivchili kozhnu z nih Todi voni napisali shkidlivij mikrokod yakim zaminili spravzhnij vbudovanij mikrokod na konverterah iz serijnogo interfejsu na interfejs Ethernet u ponad desyati pidstanciyah ci konverteri zastosovuyutsya dlya obrobki komand yaki nadhodyat vid merezhi SCADA do sistem upravlinnya pidstanciyeyu Vivedennya z ladu konverteriv ne davalo operatoram zmogu posilati viddaleni komandi dlya povtornogo vklyuchennya zapobizhnikiv pislya togo yak energiyu bulo vimknuto Priblizno o 3 30 po obidi 23 grudnya voni zajshli v merezhi SCADA cherez vkradeni oblikovi zapisi i viddali komandi na vimknennya sistem bezperebijnogo zhivlennya yaki voni vzhe perekonfiguruvali ranishe Pislya cogo voni pochali vimikati zapobizhni sistemi yaki pererivali zhivlennya Ale pered cim voni zapustili ataku za metodikoyu vidmova vid obslugovuvannya na kol centri oblenergo abi koristuvachi ne mogli povidomiti pro avariyu Fiktivni dzvinki sudyachi z usogo nadhodili z Moskvi Pislya togo yak napadniki vimknuli zapobizhniki i vidklyuchili nizku pidstancij vid merezhi voni takozh perepisali programnij mikrokod na konverterah iz serijnogo interfejsu na interfejs Ethernet zaminivshi spravzhnye programne zabezpechennya shkidlivim i tim samim vivivshi z ladu konverteri yaki perestali vikonuvati komandi Zavershivshi vsi ci diyi zlovmisniki zastosuvali programu pid nazvoyu dlya znishennya fajliv z komp yuteriv operatoriv pidstancij tim samim vivivshi i yih z ladu KillDisk stiraye chi perezapisuye dani v kritichno vazhlivih sistemnih fajlah viklikayuchi yihnye zavisannya Deyaki z komponentiv KillDisk potribno zapuskati vruchnu ale napadniki u dvoh vipadkah zastosuvali tak zvanu logichnu bombu yaka zapustila KillDisk avtomatichno cherez 90 hvilin pislya pochatku ataki Cherez pivgodini koli KillDisk mav zrobiti svoyu spravu i v operatoriv ne zalishilos sumniviv shodo prichini masshtabnogo zniknennya svitla kompaniya rozmistila druge povidomlennya pro te sho do cogo prichetni hakeri Derzhkaznachejstvo Ukrayini 6 grudnya 2016 roku hakerska ataka na uryadovi sajti Derzhkaznachejstva Ukrayini Minfinu Pensijnogo fondu ta inshih i na vnutrishni merezhi derzhorganiv prizvela do masshtabnih zatrimok byudzhetnih viplat Vzhe 7 grudnya dosit operativno yak dlya derzhavnih organiv Kabmin vidiliv 80 mln griven dlya zahistu vid hakeriv Inshi vipadki zastosuvannya Estoniya Dokladnishe Kiberataki proti Estoniyi 2007 Na tli pogirshennya vidnosin mizh RF ta Estoniyeyu navesni 2007 roku stalis masovani kiberataki na vidmovu obslugovuvannya proti internet resursiv vebsajtiv v Estoniyi V osnovnomu buli vikoristani resursi merezhi infikovanih komp yuteriv Storm Odnak zgodom koli rozpochalis sudovi procesi nad uchasnikami zakolotiv kvitnya 2007 roku vrazheni troyanom BlackEnergy komp yuteri buli vikoristani dlya ataki na vidannya delfi ee Spolucheni Shtati Ameriki U 2009 roci troyan BlackEnergy buv vikoristanij grupoyu kiberzlochinciv z Rosiyi dlya ataki na informacijnu sistemu amerikanskogo banku Citigroup Inc vnaslidok chogo bulo vkradeno groshej na sumu desyatki miljoniv dolariv Ukrayina Pid chas protestiv proti vstupu Ukrayini v NATO sho vidbuvalis v 2007 2008 rokah atak zaznali deyaki informacijni vidannya Sered inshih 2008 roku ataki u vidmovi na obslugovuvannya zaznav sajt p yatogo kanalu 5 ua V tili HTTP zapitu znahodivsya ryadok NATO go home Sistema sposterezhennya ATLAS zmogla vstanoviti centr upravlinnya ataki nimi viyavilis zareyestrovani v Kitayi sajti my loads info ta ultra shop biz Kerovanij nimi botnet buv stvorenij na osnovi infikovanih troyanom BlackEnergy komp yuteriv Na pochatku lyutogo 2016 roku troyan BlackEnergy buv viyavlenij v komp yuterah v merezhi sistemi upravlinnya polotami mizhnarodnogo aeroportu Borispil Todi minulos bez istotnishih naslidkiv Div takozhCERT UA Troyanska programa Ataka na Prikarpattyaoblenergo WannaCryPrimitki PDF Malware Analysis Whitepaper F Secure labs Security Response Arhiv originalu PDF za 9 zhovtnya 2016 Procitovano 23 bereznya 2016 Raj Samani Christiaan Beek 16 bereznya 2016 McAfee Arhiv originalu za 6 kvitnya 2016 Procitovano 23 bereznya 2016 Udi Shamir 2016 PDF Sentinel One Arhiv originalu PDF za 23 bereznya 2016 Procitovano 23 bereznya 2016 CVE MITRE ORG The MITRE Corporation Arhiv originalu za 25 bereznya 2016 Procitovano 23 bereznya 2016 Kim Zetter Wired 17 bereznya 2016 TEKSTI Arhiv originalu za 25 lyutogo 2022 Procitovano 18 bereznya 2016 Estonian World Review 16 zhovtnya 2014 Arhiv originalu za 6 kvitnya 2016 Procitovano 25 bereznya 2016 CVE MITRE ORG The MITRE Corporation Arhiv originalu za 20 bereznya 2016 Procitovano 25 bereznya 2016 perepovnennya bufera v deyakih versiyah Microsoft Office sprichinena dokumentami formatu RTF tak zvana RTF Stack Buffer Overflow Vulnerability Uryadovij portal 6 grudnya 2016 Arhiv originalu za 10 grudnya 2016 Procitovano 11 grudnya 2016 Ekonomichna pravda 9 grudnya 2016 Arhiv originalu za 10 grudnya 2016 Procitovano 11 grudnya 2016 Minfin i Goskaznachejstvo poluchat 80 millionov na zashitu ot hakerov 9 grudnya 2016 u Wayback Machine 7 grudnya 2016 Ken Dunham Jim Melnick 2008 6 2 6 11 1 Storm Botnet Possibly Used in 2007 Estonia DDoS Attacks Malicious Bots An Inside Look into the Cyber Criminal Underground of the Internet CRC Press s 168 ISBN 9781420069068 Siobhan Gorman Evan Perez 22 grudnya 2009 WSJ Dow Jones amp Company Arhiv originalu za 24 bereznya 2016 Procitovano 25 bereznya 2016 Jose NAZARIO Politically Motivated Denial of Service Attacks DOI 10 3233 978 1 60750 060 5 163 z dzherela 19 bereznya 2016 Procitovano 30 bereznya 2016 Pavel Polityuk Alessandra Prentice 18 lyutogo 2016 Reuters https www facebook com Reuters Arhiv originalu za 4 kvitnya 2016 Procitovano 23 bereznya 2016 Aleksej Bondarenko 18 lyutogo 2016 AIN UA Arhiv originalu za 3 kvitnya 2016 Procitovano 23 bereznya 2016 Literatura PDF Malware Analysis Whitepaper F Secure labs Security Response 2014 Arhiv originalu PDF za 9 zhovtnya 2016 Procitovano 23 bereznya 2016 Kurt Baumgartner Maria Garnaeva 3 listopada 2014 Secure List Kaspersky Arhiv originalu za 18 chervnya 2016 Procitovano 15 serpnya 2016 Udi Shamir 2016 PDF Sentinel One Arhiv originalu PDF za 23 bereznya 2016 Procitovano 23 bereznya 2016 Anton Cherepanov 3 Jan 2016 We Live Security ESET Arhiv originalu za 12 serpnya 2016 Procitovano 15 serpnya 2016 GReAT 28 sichnya 2016 Secure List Kaspersky Arhiv originalu za 12 kvitnya 2016 Procitovano 15 serpnya 2016 PosilannyaHakerska ataka Rosiyi na ukrayinsku energosistemu yak ce bulo 25 lyutogo 2022 u Wayback Machine Texty ta Wired Updated BlackEnergy Trojan Grows More Powerful 6 kvitnya 2016 u Wayback Machine KillDisk and BlackEnergy Are Not Just Energy Sector Threats 24 bereznya 2016 u Wayback Machine Back in BlackEnergy 2014 targeted attacks in the Ukraine and Poland na YouTube dopovid Robert Lipovskij ta Anton Cherepanov ESET na konferenciyi VB2014 ICS ALERT 14 281 01B 8 serpnya 2016 u Wayback Machine Ongoing Sophisticated Malware Campaign Compromising ICS Update E Ce nezavershena stattya pro programne zabezpechennya Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi