Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Кібератака на підстанцію «Північна» компанії «Укренерго» сталась вночі з суботи на неділю, 17 грудня на 18 грудня 2016 року. Внаслідок атаки стався збій в автоматиці управління, через що споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму. Несправності були усунуті протягом 1 години 15 хвилин. Основною версією стала кібератака — зовнішнє втручання через мережі передачі даних. Оператор підстанції, компанія «Укренерго» спочатку не стала підтверджувати кібератаку, проте залучені до розслідування фахівці з комп'ютерної безпеки підтвердили, що збій стався внаслідок кібератаки. Проміжні результати розслідування були представлені фахівцями Олексієм Ясінським від компанії Information Systems Security Partners (Україна) та Мариною Кротофіл від Honeywell Industrial Cyber Security Lab 10 січня 2017 року на конференції S4 у Флориді, США. Однак, нападники не стали завдавати істотної шкоди, натомість дана атака мала послужити «демонстрацією сили». Як і у попередніх випадках, дана атака була частиною масштабнішої фішингової операції проти державних установ України.
| Кібератака на підстанцію «Північна» компанії «Укренерго» | |
|---|---|
| Дата | 17-18 грудня 2016 року |
| Місце |  Україна: Київ та Київська область, |
| Результат | Споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму |
| Підозрювані | кіберзлочинне угрупування Electrum (за даними Dragos) |
На початку червня 2017 року були оприлюднені доповіді фахівців компаній ESET та , в яких було наведено результати ретельного аналізу шкідливого ПЗ, використаного в атаці. Дане ПЗ отримало назву Industroyer або Crash Override.
Кібератака
Кібератака на автоматизовану систему управління технологічними процесами (АСУ ТП) компанії «Укренерго» стала другим відомим випадком вдалої кібератаки на енергетичну систему з виведенням її з ладу. Перший випадок стався за рік до дого, в грудні 2015 року, коли атаки зазнали системи управління трьох операторів енергетичної мережі України (таким чином атака 2016 року є, якщо рахувати кожну атаку на диспетчерську окремо, четвертою). Станом на 2017 рік обидва випадки були єдиними відомими вдалими кібератаками на енергетичну систему з виведенням її з ладу.
Попри схожі наслідки, атака 2016 року має істотні відмінності від атак 2015 року. Так, замість отримання прихованого доступу до корпоративної мережі оператора та відключення підстанцій вручну, нинішня атака була повністю автоматизована. Застосоване (яке отримало назву англ. Industroyer або англ. Crash Override) мало модулі для безпосереднього з'єднання та управління з мікроконтролерами із використанням промислових протоколів. Таким чином, скоротився час активної фази атаки, спростилась підготовка до неї, зменшилась кількість операторів.
За оцінками Роберта Лі, фахівця фірми Dragos, атаки 2015 року потребували близько 20 операторів. Новий підхід дозволяє тим самим 20 операторам водночас здійснити атаку на 10-15 диспетчерських.
Подібно до Stuxnet, у Crash Override була закладена можливість роботи навіть у відокремлених та ізольованих від Інтернет корпоративних мережах.
Фахівцям ESET та Dragos, які досліджували кібератаку, не вдалось встановити точний шлях потрапляння шкідливого ПЗ до корпоративної мережі Укренерго. Однак, щойно Crash Override розпочало роботу, воно одразу ж стало шукати системи управління та виявляти топологію комп'ютерної мережі. Також Crash Override записував журнал інформації з мережі для подальшої передачі своїм операторам для вивчення.
У виявлених зразках Crash Override були присутні чотири модулі для роботи з різними протоколами промислових мереж автоматизованих систем управління технологічними процесами. Крім того, програма мала інструмент для знищення всіх даних на вражених комп'ютерах.
Див. також
- Хакерські атаки на Україну (2017)
- Кібератака на енергетичні компанії України (перша кібератака в грудні попереднього, 2015 року)
- Російсько-українська кібервійна
- Удари по критичній інфраструктурі України під час російсько-української війни
Примітки
- . ITC.ua. 19 грудня 2016. Архів оригіналу за 21 липня 2020. Процитовано 14 червня 2017.
- Kim Zetter (10 січня 2017). . Vice Motherboard. Архів оригіналу за 18 січня 2017. Процитовано 14 червня 2017. (англ.)
- Andy Greenberg (12.06.2017). . Wired. Архів оригіналу за 13 червня 2017. Процитовано 14 червня 2017. (англ.)
Посилання
- Виступ Marina Krotofil та Oleksii Yasynskyi на конференції S4 Events, Cyber Attacks on Ukraine Power and Critical Infrastructure на YouTube (15 лютого 2017 року)
- Anton Cherepanov (12 Jun 2017). . We Live Security. Архів оригіналу за 14 червня 2017. Процитовано 14 червня 2017.
- Robert M. Lee (12 червня 2017). . Dragos. Архів оригіналу за 13 червня 2017. Процитовано 14 червня 2017.
- ICS-CERT, ICS-ALERT-17-206-01: CRASHOVERRIDE Malware [ 4 серпня 2017 у Wayback Machine.] (25 липня 2017)
- US-CERT, TA17-163A: CrashOverride Malware [ 27 червня 2017 у Wayback Machine.] (12 червня 2017)
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Kiberataka na pidstanciyu Pivnichna kompaniyi Ukrenergo stalas vnochi z suboti na nedilyu 17 grudnya na 18 grudnya 2016 roku Vnaslidok ataki stavsya zbij v avtomatici upravlinnya cherez sho spozhivachi pivnichnoyi chastini pravogo beregu Kiyeva ta prileglih rajoniv oblasti zalishilis bez strumu Nespravnosti buli usunuti protyagom 1 godini 15 hvilin Osnovnoyu versiyeyu stala kiberataka zovnishnye vtruchannya cherez merezhi peredachi danih Operator pidstanciyi kompaniya Ukrenergo spochatku ne stala pidtverdzhuvati kiberataku prote zalucheni do rozsliduvannya fahivci z komp yuternoyi bezpeki pidtverdili sho zbij stavsya vnaslidok kiberataki Promizhni rezultati rozsliduvannya buli predstavleni fahivcyami Oleksiyem Yasinskim vid kompaniyi Information Systems Security Partners Ukrayina ta Marinoyu Krotofil vid Honeywell Industrial Cyber Security Lab 10 sichnya 2017 roku na konferenciyi S4 u Floridi SShA Odnak napadniki ne stali zavdavati istotnoyi shkodi natomist dana ataka mala posluzhiti demonstraciyeyu sili Yak i u poperednih vipadkah dana ataka bula chastinoyu masshtabnishoyi fishingovoyi operaciyi proti derzhavnih ustanov Ukrayini Kiberataka na pidstanciyu Pivnichna kompaniyi Ukrenergo Data17 18 grudnya 2016 rokuMisce Ukrayina Kiyiv ta Kiyivska oblast RezultatSpozhivachi pivnichnoyi chastini pravogo beregu Kiyeva ta prileglih rajoniv oblasti zalishilis bez strumuPidozryuvanikiberzlochinne ugrupuvannya Electrum za danimi Dragos Na pochatku chervnya 2017 roku buli oprilyudneni dopovidi fahivciv kompanij ESET ta v yakih bulo navedeno rezultati retelnogo analizu shkidlivogo PZ vikoristanogo v ataci Dane PZ otrimalo nazvu Industroyer abo Crash Override KiberatakaKiberataka na avtomatizovanu sistemu upravlinnya tehnologichnimi procesami ASU TP kompaniyi Ukrenergo stala drugim vidomim vipadkom vdaloyi kiberataki na energetichnu sistemu z vivedennyam yiyi z ladu Pershij vipadok stavsya za rik do dogo v grudni 2015 roku koli ataki zaznali sistemi upravlinnya troh operatoriv energetichnoyi merezhi Ukrayini takim chinom ataka 2016 roku ye yaksho rahuvati kozhnu ataku na dispetchersku okremo chetvertoyu Stanom na 2017 rik obidva vipadki buli yedinimi vidomimi vdalimi kiberatakami na energetichnu sistemu z vivedennyam yiyi z ladu Popri shozhi naslidki ataka 2016 roku maye istotni vidminnosti vid atak 2015 roku Tak zamist otrimannya prihovanogo dostupu do korporativnoyi merezhi operatora ta vidklyuchennya pidstancij vruchnu ninishnya ataka bula povnistyu avtomatizovana Zastosovane yake otrimalo nazvu angl Industroyer abo angl Crash Override malo moduli dlya bezposerednogo z yednannya ta upravlinnya z mikrokontrolerami iz vikoristannyam promislovih protokoliv Takim chinom skorotivsya chas aktivnoyi fazi ataki sprostilas pidgotovka do neyi zmenshilas kilkist operatoriv Za ocinkami Roberta Li fahivcya firmi Dragos ataki 2015 roku potrebuvali blizko 20 operatoriv Novij pidhid dozvolyaye tim samim 20 operatoram vodnochas zdijsniti ataku na 10 15 dispetcherskih Podibno do Stuxnet u Crash Override bula zakladena mozhlivist roboti navit u vidokremlenih ta izolovanih vid Internet korporativnih merezhah Fahivcyam ESET ta Dragos yaki doslidzhuvali kiberataku ne vdalos vstanoviti tochnij shlyah potraplyannya shkidlivogo PZ do korporativnoyi merezhi Ukrenergo Odnak shojno Crash Override rozpochalo robotu vono odrazu zh stalo shukati sistemi upravlinnya ta viyavlyati topologiyu komp yuternoyi merezhi Takozh Crash Override zapisuvav zhurnal informaciyi z merezhi dlya podalshoyi peredachi svoyim operatoram dlya vivchennya U viyavlenih zrazkah Crash Override buli prisutni chotiri moduli dlya roboti z riznimi protokolami promislovih merezh avtomatizovanih sistem upravlinnya tehnologichnimi procesami Krim togo programa mala instrument dlya znishennya vsih danih na vrazhenih komp yuterah Div takozhHakerski ataki na Ukrayinu 2017 Kiberataka na energetichni kompaniyi Ukrayini persha kiberataka v grudni poperednogo 2015 roku Rosijsko ukrayinska kibervijna Udari po kritichnij infrastrukturi Ukrayini pid chas rosijsko ukrayinskoyi vijniPrimitki ITC ua 19 grudnya 2016 Arhiv originalu za 21 lipnya 2020 Procitovano 14 chervnya 2017 Kim Zetter 10 sichnya 2017 Vice Motherboard Arhiv originalu za 18 sichnya 2017 Procitovano 14 chervnya 2017 angl Andy Greenberg 12 06 2017 Wired Arhiv originalu za 13 chervnya 2017 Procitovano 14 chervnya 2017 angl PosilannyaVistup Marina Krotofil ta Oleksii Yasynskyi na konferenciyi S4 Events Cyber Attacks on Ukraine Power and Critical Infrastructure na YouTube 15 lyutogo 2017 roku Anton Cherepanov 12 Jun 2017 We Live Security Arhiv originalu za 14 chervnya 2017 Procitovano 14 chervnya 2017 Robert M Lee 12 chervnya 2017 Dragos Arhiv originalu za 13 chervnya 2017 Procitovano 14 chervnya 2017 ICS CERT ICS ALERT 17 206 01 CRASHOVERRIDE Malware 4 serpnya 2017 u Wayback Machine 25 lipnya 2017 US CERT TA17 163A CrashOverride Malware 27 chervnya 2017 u Wayback Machine 12 chervnya 2017