Архив рубрики: Украина

Малварь Industroyer используется для атак на электроэнергетические компании

В 2016 году украинские энергетические компании «Прикарпатьеоблэнерго» и «Киевоблэнерго» подверглись атаке хакеров, и тогда внедрение вредоносного ПО в промышленные системы закончилось масштабным отключением электроэнергии на западе страны. Позже специалисты обнаружили еще одну атаку на украинские энергосети, в ходе которой злоумышленники распространяли вредоноса BlackEnergy.

Теперь специалисты компаний ESET и Dragos изучили еще одну похожу малварь, Industroyer. Эта сложная и опасная вредоносная программа, предназначенная для нарушения критических процессов в промышленных системах управления, в частности, в энергокомпаниях. Исследователи пишут, что подобное ПО могло послужить причиной сбоя энергоснабжения в Киеве в декабре 2016 года.

Industroyer позволяет хакерам напрямую управлять выключателями и прерывателями цепи на электрических подстанциях. Ущерб от атаки Industroyer может обернуться как простым отключением подачи электроэнергии, так и повреждением оборудования.

Вредонос использует четыре промышленных протокола связи, распространенных в электроэнергетике, управлении транспортом, водоснабжении и других критических инфраструктурах:  IEC 60870-5-101IEC 60870-5-104IEC 61850, и OLE for Process Control Data Access (OPC DA). Данные протоколы создавались десятки лет назад, без учета современных требований безопасности. Фактически злоумышленникам даже не пришлось искать в них уязвимости, достаточно было «научить» Industroyer использовать эти протоколы. Как следствие, любое вмешательство злоумышленников в работу промышленной сети может привести к фатальным последствиям.

Исследователи пишут, что Industroyer имеет модульную структуру. В его составе присутствуют  основной и дополнительный бэкдоры, четыре модуля для работы с коммуникационными протоколами, стиратель данных и DoS-инструмент для атак типа «отказ в обслуживании». Часть компонентов разработана с прицелом на конкретные марки электрооборудования. К примеру, вредонос эксплуатирует уязвимость CVE-2015-5374 для DoS-атак на Siemens SIPROTEC.

По мнению специалистов, возможности Industroyer указывают на высокую квалификацию авторов и глубокое понимание устройства промышленных систем управления. Маловероятно, что подобная угроза была создана без доступа к оборудованию, которое используется в целевой среде. Более того, группировка, стоящая за разработкой Industroyer, может перенастроить программу, чтобы атаковать любую промышленную среду, где используются целевые протоколы связи.

«Недавняя атака на украинские энергокомпании должна послужить сигналом для всех ИБ-специалистов, отвечающих за критические системы, – комментирует Антон Черепанов, старший вирусный аналитик ESET. – Устойчивость Industroyer в системе и его способность напрямую влиять на работу промышленного оборудования делает его наиболее опасной угрозой со времен Stuxnet, нанесшего урон ядерной программе Ирана».

Источник

Хакеры из Fancy Bear шпионили за украинской армией через Android-троян с 2014 по 2016-й — исследование

акерскую группировку Fancy Bear, которую связывают с российским правительством и атаками на Демократическую партию в ходе прошедших президентских выборов в США, заподозрили в слежке за украинской армией с 2014-го по 2016-й годы. Об этом сообщает Reuters со ссылкой на отчет компании Crowdstrike, которая специализируется на кибербезопасности. В компании считают, что шпионаж осуществлялся посредством Android-трояна, которым заражали устройства украинских артиллеристов.

Попадая на устройство, вредонос мог перехватывать коммуникации и данные о его местоположении. По мнению составителей исследования, эта информация могла в дальнейшем быть использована для атак на украинские артиллерийские подразделения в боях на востоке страны.

Оранжевым на схеме отечен период развртывания и использования вредоноса-шпиона

Оранжевым на схеме отечен период развертывания и использования вредоноса-шпиона

Как сообщает Reuters, свидетельства, обнаруженные экспертами Crowdstrike, позволяют западным исследователям и чиновникам в сфере кибербезопасности укрепиться в мысли, что российский президент Владимир Путин все больше использует хакеров для атак на своих геополитических противников. Группировка Fancy Bear, также известная как APT 28, по мнению американских чиновников, работает непосредственно на российское Главное разведывательное управление (ГРУ). По заключениям ЦРУ и ФБР, Fancy Bear и другие российские хакеры неоднократно вмешивались в предвыборный процесс в США, а по мнению двух правительственных чиновников, даже поспособствовали победе Дональда Трампа. Россия, впрочем, отрицает какую-либо причастность, как и новоизбранный президент Трамп.

В заключении экспертов говорится, что вредонос, который шпионил за украинской армией, принадлежит к тому же виду, что и троян, использовавшийся для атаки на демократов в ходе выборов. Об этом информагентству сообщил сооснователь CrowdStrike Дмитрий Алперович. По его мнению, эта связь и то, что конкретные украинские военные подразделения, атакованные трояном, понесли подозрительно большие потери, говорят о причастности именно Fancy Bear. «Это не может быть какая-то независимая группа или просто кучка преступников, они должны быть связаны с российскими военными», — заявил Алперович.

По мнению CrowdStrike, вредонос был внедрен в легитимное ПО, позволяющее ускорить обработку данных о координатах цели, которое разработал украинский офицер Ярослав Шерстюк. Его распространение позволяло пророссийским хакерам получать информацию о передвижении и дислокации украинских войск и предоставлять сепаратистам другую стратегическую информацию. Ссылка на зараженное приложение распространялась через аккаунт ВСУ в социальной сети «ВКонтакте». По данным CrowdStrike, в магазине Google Play приложения не было, что несколько ограничивало его распространение.

В исследовании также подчеркивают, что это первый зафиксированный кейс использования группировкой Fancy Bear платформы Android для разработки вредоносного ПО.

Напомним, хакеры, атаковавшие в начале декабря сайты Министерства финансов, Государственной казначейской службы и Пенсионного фонда Украины, вывели из строя сетевое оборудование. Позже глава РНБО Александр Турчинов заявил, что атака исходила из России.

Источник

США обвинили РФ в кибератаке против Украины

Доказательства атаки представил заместитель министра энергетики США.

Хакеры атаковали шесть различных энергокомпаний одновременно в декабре 2015 года

Отключение электроэнергии на западе Украины в декабре 2015 года было вызвано российской кибератакой. Об этом свидетельствуют данные презентации, сделанной заместителем министра энергетики США Элизабет Шервуд-Рэндалл на встрече с представителями энергетической отрасли, передает телекомпания CNN.

 

Официальные представители офиса Шервуд-Рэндалл отказались дать комментарии по ее презентации в связи со специфичностью представленной информации. Ранее официальные представители сил безопасности США отказывались напрямую связывать инцидент на западе Украины с действиями России.

В ходе масштабного расследования представители ФБР, Госдепартамента, министерства внутренней безопасности и министерства энергетики США посетили Украину, где обнаружили доказательства того, что за атакой на украинскую энергосистемустояла группа хорошо подготовленных хакеров из России. Это была первая в своем роде хакерская атака на гражданские объекты.

Хакеры атаковали шесть различных энергокомпаний одновременно, используя вредоносную программу, более мощную, чем так называемый вирус BlackEnergy, уже применявшийся ранее при кибератаках на промышленные системы. В результате произошло отключение электроэнергии в 103 населенных пунктах Украины.

По мнению экспертов, энергосистема США имеет ряд уязвимостей, схожих с теми, что позволили произвести кибератаку в Украине.

Источник: Русская служба DW

В Крыму появятся кибервойска Минобороны РФ

Среди прочего, военнослужащих будут обучать «нарушению работы информационных сетей противника».

Минобороны РФ намерено разместить в Крыму специальную военную часть со специалистами в сфере IT. Подразделение, как предполагается, будет полностью сформировано и укомплектовано к ноябрю этого года. Об этом со ссылкой на представителя ведомства сообщает ТАСС.

В число приоритетных задач военнослужащих, по всей видимости, входит осуществление DoS-атак, обозначенное министерством, как «нарушение работы информационных сетей вероятного противника и в результате нарушение функционирования его системы управления войсками». Кроме того, крымские кибервойска будут обеспечивать работоспособность и информационную безопасность информационных сетей РФ.

Стоит отметить, что впервые о возможном создании соответствующей военной части в Крыму СМИ заговорили еще весной прошлого года. Тогда неназванный источник из российского оборонного ведомства сообщал, что главной задачей кибервойск станет повышение уровня безопасности российских военных систем управления и связи.

Согласно недавнему заявлению министра обороны Сергея Шойгу, на сегодняшний день на полуострове уже сформировано почти 100 соединений, частей и организаций.

Источник

Вирус Snake/Uroburos атакует украинских пользователей

Вредоносная активность, направленная на пользователей из Украины, увеличилась после отстранения от власти четвертого президента Украины Виктора Януковича.

Несколько десятков компьютерных сетей на территории Украины подверглись атаке в рамках вредоносной кампании под названием «Snake». Об этом сообщает издание Enca со ссылкой на отчет британской BAE Systems.

Компания, в свою очередь, утверждает, что с начала текущего года государственные коммуникационные сети подверглись 14 крупным атакам со стороныхакеров.При этом за весь 2013 год этот показатель был вдвое меньше. Поданнымэкспертов, кибератаки стали более активными после того, как от власти был отстранен четвертый президент Украины Виктор Янукович.

Вирус по структуре несколько напоминает Stuxnet, который в 2010 году использовали для нарушения работы внутренних сетей ядерных разработок Ирана. В связи с тем, что на протяжении нескольких дней Uroburos может оставаться неактивным, обнаружить его весьма сложно.

Напомним, что согласно информации G Data, Snake или Uroburosпохищает файлыс зараженных компьютеров и перехватывает сетевой трафик. Вирус был создан для работы в режиме P2P для установки связи между инфицированными системами. Благодаря этому злоумышленник может получить удаленный доступ к компьютеру синтернет-подключениемдля того, чтобы управлять другими ПК в локальной сети.

Подробнее:http://www.securitylab.ru/news/450360.php