Хакери заразили інформмережі обленерго України за півроку до безпосередніх атак – Міненерго

Міністерство енергетики та вугільної промисловості оприлюднило дані про розслідування кібератаки три на українські обленерго.

Компрометація інформаційних мереж обленерго відбулася як мінімум за півроку до безпосередньої атаки. Віруси сімейства BlackEnergy були відправлені на електронні адреси компаній, знайдені у відкритому доступі, в доданих файлах до листів.

«За результатами розслідування, компрометація інформаційних мереж обленерго відбулася як мінімум за 6 місяців до основних подій за допомогою методів соціальної інженерії – розсилкою підроблених листів з тілом завантажувача вірусу сімейства BlackEnergy на електронні адреси співробітників компаній, які були у відкритому доступі в мережі Інтернет» – йдеться в повідомленні.

Після запуску вірусу хакери отримали можливість збирати інформацію про структуру інформаційних мереж, програмні засоби, які дані облікового запису віддаленого доступу до інфраструктури, паролі і т.д.

В цілому, атака складалася з таких складових: попереднє зараження мереж за допомогою підроблених листів; захоплення управління автоматизованою системою диспетчерського управління і відключення підстанцій; виведення з ладу елементів ІТ-інфраструктури (джерела безперебійного живлення, модеми, RTU, комутатори); знищення інформації на серверах і робочих станціях утилітою KillDisk; атака на телефонні номери колл-центрів з метою відмови в обслуговуванні знеструмлених абонентів.

Встановлено, що підключення зловмисників відбувалося з підмереж, що належать російським провайдерам. Дзвінки в колл-центри обленерго також були популярними з російських номерів.

У зв'язку з цим, співробітникам обленерго рекомендували змінити всі облікові записи з використанням складних паролів і заборонити віддалений доступ до робочих комп'ютерів.

Нагадаємо, зловмисники атакували «Прикарпаттяобленерго», «Чернівціобленерго» та «Київобленерго».

/фото delfi.ee/