ESET odhalil souvislost mezi kybernetickou špionáží a výpadkem elektřiny na Ukrajině

08. leden 2016 17:00 0 komentářů

Sofistikované útoky malwarem KillDisk směřovaly na energetické distribuční společnosti a souvisejí s dřívějším napadením ukrajinských médií.

Kybernetické útoky proti energetickým společnostem na Ukrajině z prosince loňského roku mají souvislost s útoky na média a cílenou kyberšpionáží ukrajinské vlády. Společnost ESET analýzou malwaru KillDisk, který byl při těchto útocích použit, zjistila, že nová varianta tohoto malwaru obsahovala další nové funkce pro sabotáž průmyslových systémů.

Přibližně 700 tisíc lidí zůstalo 23. prosince v Ivano-Frankovské oblasti na Ukrajině bez elektřiny. Proud nešel v polovině tamních domů po dobu několika hodin. Výzkumníci společnosti ESET zjistili, že výpadek proudu – jako první o něm informoval ukrajinský zpravodajský server TSN – nebyl ojedinělý. Ve stejnou dobu se kyberzločinci zaměřili i na další distribuční elektrárenské společnosti na Ukrajině. Podle analytiků ESETu útočníci pomocí trojského koně BlackEnergy infiltrovali do cílových počítačů komponent KillDisk, který způsobil, že tyto počítače nešly spustit.

„BlackEnergy je trojan typu backdoor a pro provádění konkrétních úkolů využívá různé komponenty stažené do cílového počítače. V roce 2014 byl použit v řadě kyberútoků proti důležitým vládním cílům na Ukrajině,“ říká Petr Šnajdr, bezpečnostní expert společnosti ESET. „Při nedávných útocích proti distribučním energetickým společnostem byl destruktivní trojan KillDisk stažen a použit na systémech, které již dříve infikoval trojan BlackEnergy,“ dodává Šnajdr.

První prokázaná souvislost mezi BlackEnergy a KillDisk byla nahlášena ukrajinskou agenturou pro kybernetickou bezpečnost CERT-UA v listopadu 2015. V té době byla napadena řada ukrajinských mediálních společností, které reportovaly o probíhajících místních volbách. Podle zprávy CERT-UA byl v důsledku tohoto útoku zničen velký počet video materiálů a různých dokumentů.

Varianta KillDisk, která byla použita při nedávných útocích proti ukrajinské rozvodné energetické společnosti, obsahovala některé další funkce. Kromě toho, že útočníci mohli odstranit systémové soubory, aby nebylo možné spustit samotný systém – jde o typickou funkci pro tyto destruktivní trojské koně – tato konkrétní varianta obsahovala kód, který byl specificky zaměřen k sabotáži průmyslových systémů.

„Kromě tradičních funkcí se KillDisk pokouší ukončit procesy, které mohou náležet k platformě používané v průmyslových řídicích systémech,“ vysvětluje Anton Čerepanov, výzkumník malwaru ve společnosti ESET. Jsou-li tyto procesy nalezeny v cílovém systému, trojan je nejen ukončí, ale také přepíše jejich automaticky spustitelný soubor na pevném disku náhodnými daty, aby bylo složitější provést obnovu systému.

„Naše analýza destruktivního malwaru KillDisk, detekovaného u několika distribučních společností na Ukrajině naznačuje, že stejná sada nástrojů byla úspěšně použita při útocích proti ukrajinským médiím v listopadu 2015 a je také teoreticky schopna vypnout kritické systémy,“ uzavírá Čerepanov.


Komentáře

RSS 

Komentujeme

Telefony vodní i podvodní

Pavel Houser , 16. červen 2017 13:00
Pavel Houser

Jako zajímavou technickou kuriozitu lze uvést, že všech 28 států NATO schválilo protokol Janus, kter...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Operátoři díky výměně kmitočtů zrychlí mobilní internet

ČTK , 23. červen 2017 12:36

Mobilní operátoři O2, T-Mobile a Vodafone si vyměnili kmitočty v pásmu 1800 MHz pro provoz rychlých ...

Více 0 komentářů

Toshiba a Western Digital stále ve sporu

ČTK , 23. červen 2017 08:39

Toshiba chce prodat čipovou divizi skupině, za kterou stojí vláda. ...

Více 0 komentářů

CETIN vyplatí PPF za loňský rok dividendu 2,36 miliardy Kč

ČTK , 23. červen 2017 08:00

CETIN loni zvýšil čistý zisk o 16 % na 2,26 miliardy Kč....

Více 0 komentářů

Starší zprávičky

VMware Horizon v cloudu Microsoft Azure

Pavel Houser , 22. červen 2017 11:50

Řešení pro poskytování desktopu jako služby za poslední roky vyzrála....

Více 0 komentářů

Akcelerátor StartupYard získal 26 milionů Kč

Pavel Houser , 22. červen 2017 11:00

Pražský startupový akcelerátor společně s Fundliftem oznámil investici, kterou získal formou neveřej...

Více 0 komentářů

Česká asociace pojišťoven k pojištění kybernetických rizik

Pavel Houser , 22. červen 2017 10:00

Policie ČR v roce 2016 šetřila 5 344 kybernetických zločinů, což je o 321 (resp. 6,4 %) více než v p...

Více 0 komentářů

Soud řešil krádež bitcoinů. Znalec řekl, že obžalovaný je vinen

ČTK , 22. červen 2017 09:00

Tržiště vykradli dva Američané, převedli z něj bitcoiny asi za 100 milionů korun. Jiříkovský následn...

Více 2 komentářů