Power company lidd et stort angrep som førte til strømbrudd i hele vest-Ukraina, etter et angrep på en ukrainsk media company
Smokestacks i Dniprodzershynsk, Ukraina.
Foto: John Mcconnico/AP
@alexhern
Torsdag 7 januar 2016 13.20 GMT
Sist endret på torsdag 7 januar 2016 13.22 GMT
En strømsvikt i Ukraina i løpet av Jul og et ødeleggende cyberattack på en stor ukrainske medier selskapet ble forårsaket av den samme malware fra samme store hacking gruppen, kjent som Sandworm, ifølge sikkerhetseksperter hos Symantec.
Blackout, som rammet store deler av vest-Ukraina, er antatt å være den første eksempel på et strømbrudd bevisst forårsaket av et hacker-angrep. Landets stat intelligence agency, SBU, tilskrives angrepene til statsstøttet hackere fra Russland. Hvis det er sant, som ville knytte hacking av kraftnettet til generell opptrapping av cyberwarfare mellom de to nasjonene i kjølvannet av invasjonen av Krim.
Som attribution ble styrket av den åpenbaring som hacking av power company Prykarpattyaoblenergo ble utført ved hjelp av malware vesentlig lik en tidligere angrep, noe som påvirket datamaskiner av en Ukrainsk media selskapet i slutten av oktober 2015.
Symantec forskere sier at i utgangspunktet en datamaskin i media selskapet ble utsatt for skadelig programvare kalt “BlackEnergy”. “Angriperne ser ut til å ha brukt denne infeksjonen å hente administrator og brukte dem til å utføre Disakil [en annen type Malware] på en rekke datamaskiner. Kommunikasjon fra disse datamaskinene stoppet etter Disakil ble henrettet, noe som tyder på at det lyktes i å tørke dem og gjøre dem ubrukelige.
“Gruppen bak BlackEnergy Trojaneren er kjent som Sandworm og har en historie med målretting organisasjoner i Ukraina. Det har også vært kjent for å angripe Nato, en rekke vest-Europeiske land, og selskaper som opererer i energisektoren.”
Det samme malware ble innblandet i angrep på landets strømnettet, ifølge Robert Lee av informasjon sikkerhetsselskap Sans, som skrev at “hvis malware gjør ende opp med å bli knyttet til BlackEnergy2 kampanje da dette legger til muligheten for at anlegget … var spesifikt rettet mot”.
Koblingen til BlackEnergy ble støttet opp av Eugene Bryskin, av den ukrainske regjeringen Computer Emergency Response Team. Bryskin fortalte Forbes at Sans’ mistanker var nøyaktige, spesielt på koblingen for å BlackEnergy.
Hacking angrep på fysisk infrastruktur har lenge vært en bekymring blant sikkerhet samfunnet, men har vært sjelden i praksis.
En del av det er på grunn av arten av den industrielle kontrollsystemer for kritisk infrastruktur, som har en tendens til ikke å være koblet til bredere internett, og å bruke dårlig forstått proprietær opplæringssett. Denne form for “sikkerhet ved mulm” gir en høy hinder for potensielle angripere å hoppe, men som hacking blir en akseptert del av internasjonale konflikter, vil de tilgjengelige ressursene til angripere har gjengitt fysisk infrastruktur et fristende mål.
I 2013, forskere med industrielle konsulenter Automatak funnet 25 alvorlige svakheter i kontrollsystemer for kraftverk, og advarte om at sikkerheten gjennom mørket var en falsk trygghetsfølelse. “Hvis noen prøver å bryte kontrollsenteret via internett, de har til å omgå lag av brannmurer. Men noen kunne gå ut til en ekstern transformatorstasjon som har svært lite fysisk sikkerhet og komme på nettverk og ta ut hundrevis av transformatorstasjoner potensielt. Og de trenger ikke nødvendigvis å komme inn i nettstasjonen heller.”
Når det kommer til Ukraina, men det ser ikke ut som angriperne måtte gå så langt. Analyse av skadelig programvare tyder på at den viktigste vektoren for angrepet var en kompromittert Excel regneark, som ble brukt til å kjøre skadelig programvare på datamaskiner i kraft selskapets styre sentrum. Det ville da søke ut noen spesifikke programmer som brukes som en del av industriell kontroll system, og bare slette dem før du starter datamaskinen på nytt.