Вход на сайт

МЕДИАМЕТРИКА

Облако тегов

Министерство Госбезопасности США об атаке на энергосистему Украины.

Аватар пользователя webarkadiy

Как всем известно из новостей, 23 декабря 2015 года, через месяц после отключения электричества в Крыму(хотя связи между событиями я лично не вижу), на объекты ПрикарпатьеОблэнерго было осуществлена атака, в результате которой 250тыс. человек в Ивано-Франковской области остались без света.
Это первая в истории Человечества хакерская атака, приведшая к отключению электросети.
В связи с чем на Западную Украину была направлена Комиссия офицеров Киберуправления Министерства Госбезопасности США(Homeland Security National Cybersecurity Center), получила все данные от украинской стороны, и к 7-му марта 2016 года был составлен отчет ДСП с добавлениями, ктр конечно утек в сеть. Ниже представлен перевод резюме отчета.


 

NCCIC/ICS-CERT INCIDENT ALERT IR-A LERT-H-16-043-01P

23 декабря 2015 года, Украинские электро-компании (Облэнерго) испытали беспрецедентную кибер-атаку, приведшую к отключению электричества, затронувшему 225000 потребителей на Украине. Эти атаки были проведены удаленными кибер-атакующими, которые, используя привилегии администратора, полученные с помощью неизвестных средств, дистанционно управляли выключателями электропитания. Когда подача была восстановлена, все пострадавшие отделения Облэнерго продолжили работу в сложных условиях. Дополнительно, три другие организации, некоторые из числа прочих критических секторов инфраструктуры, также подверглись вторжению, но не испытали затруднений в работе. В прессе отмечены публичные отчеты, указывающие на использование вредоносной программы BlackEnergy(BE). Тем не менее, Киберуправление МГБ и Оперативная группа по Производственным системам управления не имеет существенных свидетельств, подтверждающих роль программы BE, и продолжает проводить анализ. Если BE играла роль в атаке, наиболее вероятно что в фазе подготовки и рекогносцировки, не в течение собственно атаки. Многие вредоносные программы могли участвовать в этой деятельности.

ДЕТАЛИ

Межведомственная Комиссия, состоящая из представителей Киберуправления МГБ, Оперуправления по ПСУ, Министерства энергетики США, ФБР, а также Корпорации безопасности северо-американских электросетей направилась на Украину для оказания поддержки и получения сведений.

Украинское Правительство работало в плотном контакте и с большой открытостью к Команде США, и предоставило всю информацию для предотвращения будущих кибератак.
Нижеследующее описание событий основано на допросах межведомственной комиссией сотрудников шести украинских организаций, из числа инженеров и администраторов связи, непосредственно переживших событие. Комиссии не удалось независимо изучить технические свидетельства атаки, тем не менее, существенное число независимых отчетов по итогом допросов, а так же документированных находок, подтверждают сведения, представленные ниже.
С помощью интервьюирования представителей затронутых объектов, комиссия установила, что отключение сетей на Украине 23 декабря 2015 года было вызвано удаленной кибер атакой на три региональные компании электроснабжения(Облэнерго), затронув приблизительно 225тыс.человек. По оценке комиссии, атака на Облэнерго продемонстрировала Тактику, Технику, и Процедуры(TTPs), которые, будучи известными ранее, не применялись при собственно кибератаках. Кибератаки были синхронизированы и скоординированы, вероятно вследствии широкой рекогносцировки сетей жертвы.
После заполучения схемы сетей жертвы, атакующие заполучили административные права, и установили каналы удаленного управления для проведения атаки. Физические последствия кибератаки наступали с промежутком в 30 минут, затронув множество центральных и региональных объектов. Более 50 региональных отделений пережили удаленное вредоносное влияние на переключатели электросетей от множества внешних источников. Это было осуществлено при помощи существующих инструментов удаленного контроля, или удаленных клиентов через VPN.  
Все затронутые компании сообщили, что атакующие очистили ряд операционных систем с помощью запуска программы KillDisk в завершение кибер-атаки. Эта вредоносная программа удаляет выбранные файлы в системе, и нарушает записи мастер-загрузчика, делая систему нерабочей. Кроме того, было сообщено, что по меньшей мере одна панель управления, на базе Windows, также была стерта программой. Также атакующие повредили заводскую прошивку ряда модемов. В дополнении ко всему, было нарушено электропитание некоторых датацентров с помощью запланированных отключений блоков бесперебойного питания через интерфейс удаленного управления. По оценке комиссии, это было сделано в попытке затруднить работы по восстановлению сети.
Первоначальное вторжение было осуществлено с помощью вредоносного кода, который был внедрен с помощью поддельных электронных писем, с вредоносным приложением Майкрософт Офис. Несмотря на то, что атака приписывается программе BE в открытой прессе, любой троян удаленного доступа мог быть использован для ее осуществления, никаких уникальных признаков BE обнаружено не было. На данный момент, нельзя провести четкую параллель между присутствием вредоносной программы BE и отключением электросети, анализ продолжается. Виндовс маст дай.
 



Источник: https://publicintelligence.net/nccic-ukrainian-power-attack/

Фонд поддержки авторов AfterShock

Комментарии

Аватар пользователя Agat
Agat(4 года 4 месяца)(21:00:28 / 16-04-2016)

У них что, никаких предположений об исполнителях? Понятно, что Путин, но в докладе вообще ни слова.

Аватар пользователя Ё-member
Ё-member(4 года 3 месяца)(21:04:24 / 16-04-2016)

А на сколько серьёзна контора, указанная в качестве источника?

Аватар пользователя webarkadiy
webarkadiy(1 год 8 месяцев)(21:10:40 / 16-04-2016)

Максимально серьезна. Сливы.

Аватар пользователя segerist
segerist(5 лет 11 месяцев)(21:21:07 / 16-04-2016)

Я сын программиста, работаю электриком уже не первый месяц, поверьте здесь не всё так однозначно с электричеством.

Аватар пользователя Dozor-SPb
Dozor-SPb(1 год 8 месяцев)(21:07:16 / 16-04-2016)

Я сын программиста, работаю электриком уже не первый месяц

Детям программистов знания передаются посредством ядерной или митохондриальной ДНК? 

Аватар пользователя PIPL
PIPL(4 года 1 неделя)(21:11:34 / 16-04-2016)

Это вольная интерпретация известного мема:

Аватар пользователя Синоним
Синоним(2 года 3 недели)(22:06:53 / 16-04-2016)

Вот так они и прокалываются на незнании казалось бы общеизвестных вещей :)

Аватар пользователя tokomak
tokomak(6 лет 1 день)(23:09:25 / 16-04-2016)

Детям программистов знания передаются посредством ядерной или митохондриальной ДНК?

Скорее всего с помощью генетического букмаркинга и геномного импринтинга...

Шутка. ;-)

Аватар пользователя ДанунафиГ
ДанунафиГ(1 год 8 месяцев)(22:59:25 / 16-04-2016)

Я сын водителя дальнобоя. бывший птушнег. работаю диспетчером в ОДС с 91 года. И не всё так однозначно. Но когда начинают говорить о кибератаках или солнечных магнитных бурях, я понимаю, шо накосячили конкретно...

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(21:11:02 / 16-04-2016)

чет хрень какая то

в россетях только недавно стали ставить выключатели с онлайн управлением и то только на среднее напряжение, т.е. 6-10-15-35кВ на линиях и центрах питания и то пока в порядке эксперимента

это на Украине это уже давно пользуют штоле? и на высокой стороне?

каким образом локальную коммутацию хакеры колупнули онлайн?

Аватар пользователя webarkadiy
webarkadiy(1 год 8 месяцев)(21:16:33 / 16-04-2016)

Все это есть в сети, поищите. Компания ESET проводила подробное исследование. Меня здесь интересует открытость инфраструктуры Украины к сотрудникам МГБ США. Можно представить себе, как они нагадят, если процесс пойдет в плохую для них сторону.

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(21:22:33 / 16-04-2016)

интересно, когда они успели так модернизироваться

у нас до сих пор основная масса коммутации управляется рукой дежурного, оказывается в этом есть свои плюсы ;-)

поищу, спасибо

Аватар пользователя iStalker
iStalker(5 лет 10 месяцев)(21:49:41 / 16-04-2016)

интересно, когда они успели так модернизироваться

Тот же вопрос интересует. Пока вся эта история выглядит чрезвычайно странно.

Аватар пользователя Danko's Flaming Heart
Danko's Flaming...(1 год 12 месяцев)(21:52:34 / 16-04-2016)

Многое успели, на самом деле. А в целом - у нас здесь, тоже, многие искренне верят, что в РФ только Москва и Питер живут в поряде, а остальные - в каменном веке и хрен переубедишь, что это не так.

Комментарий администрации:  
*** Нацистский прихвостень ***
Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(21:56:28 / 16-04-2016)

ESET ни слова не пишет о взломанном удаленном управлении выключателями

только нарушение работы компов у клерков и их сервака

надули и раздули

и скорее всего онлайн коммутации там просто нет

Аватар пользователя ДанунафиГ
ДанунафиГ(1 год 8 месяцев)(22:09:02 / 16-04-2016)

так сказать  вести с полей...диспетчером я работаю...И могу заметить, что технологические компы. при помощи которых осуществляется онлайн управление к тырнету не подключены.

 

А телемеханика на выключателях уже давно стоит и стоит .разная....ТМ-120 или 320...Кстати, давно демонтированна. Но когда я пришёл работать диспетччером(шёл 91 год) эта телемеханика работала.  И по 6 кВ...И по 110 кВ.....исеть, Тоже уже не используется. так как сстарьё...И ведь работаю в глубокой жо...глубинке России.  какая используется-не скажу...Но както работал с дамой, которая работала диспетчером ещё в 1961 году...Тогда УЖЕ на ЖД, для управления выключателями  , обеспечивающими электроэнергией контактную сеть УЖЕ использовалась ТЕЛЕМЕХАНИКА...61 год, КАрл!

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(22:16:07 / 16-04-2016)

тут речь идет не о телемеханике, а о выключателях типа выпускаемых таврида-электрик

все детали раскрывать не буду, но для управления ими в некоторых конфигурациях инет нужен, в некоторых нет, но тут дороже

Аватар пользователя ДанунафиГ
ДанунафиГ(1 год 8 месяцев)(23:00:55 / 16-04-2016)

Дык...И Бибителовские и таврида-электрик. И Саратовские..У нас технологические компы в ПАО ...энерго от .тырнет отключены по умолчанию. Выключатели 6-10-35-110 кВ управляются по телемеханике. В РДУ тоже. К примеру без проблем можно управлять выключателями  в 40 км от моего рабочего места...Да я же ими управляю.

Аватар пользователя dimonsky
dimonsky(3 года 8 месяцев)(23:37:22 / 16-04-2016)

ну специалист, сразу видно.

как раз по цене у ТЕЛ выгоднее простая конфигурация. Через инет у них реклоузеры управляются. СКАДА если и используется, то ТЕЛ не поставляется. так что выключатели тут вообще не при чем

 

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(00:03:41 / 17-04-2016)

ну куда нам до вас, диспетчеров в десятом поколении

представьте, что есть медвежьи углы где тавридовские реклоузеры управляются через скаду

где у вас что там не причем?

Аватар пользователя dimonsky
dimonsky(3 года 8 месяцев)(18:18:28 / 17-04-2016)

Речь сообщении где он утверждает что якобы выключатели ВВ-ТЕЛ какие-то особенные и поэтому могут управляться через интернет. Или вы скажете что не это имелось в виду??

Ну-ка, расскажите, как, например, модуль управления СМ12 может напрямую управляться через интернет? И чем в этом смысле ВВ отличается даже от обычных масляных, вместо которых в подавляющем большинстве ВВ-ТЕЛ и ставятся?

Я вам и говорю, что выключатель тут ни при чем совершенно. и уж тем более утверждать что такие несуществующие супер-выключатели "дешевле" - верх сами знаете чего.

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(18:40:26 / 17-04-2016)

вы не поняли

без инета можно управлять абсолютно спокойно если иметь например пару gsm модемов, на выключателе и у оператора

но с инетом и с gsm-локалкой дешевле трафик плюс нет заморочек с модемами у операторов

не выключатель дешевле, а эксплуатационные расходы

СМ-15 есичо

Аватар пользователя neodim
neodim(4 года 8 месяцев)(00:05:49 / 17-04-2016)

Разделение сетей это хорошо, это правильно.

Но, иногда высшее звено использует программы удаленного управления, которые все-таки связывают сети.

Аватар пользователя seven7
seven7(1 год 8 месяцев)(01:03:17 / 17-04-2016)

Высшее звено может использовать только клиентские программы мониторинга потребления энергии, которые берут данные из базы на сервере, доступном из общей локальной сети предприятия, имеющей выход в инет. Ни о какой возможности удаленного управления кем-то посторонним кроме диспетчера речи быть не может. Программы не могут связывать сети, которые разделены физически.

Аватар пользователя seven7
seven7(1 год 8 месяцев)(00:48:00 / 17-04-2016)

Вакуумным выключателем управляет блок управления. Команды блоку управления дает микропроцессорный блок управления и защиты (SPAC, SEPAM), а его можно сопрягать с любой телеметрией (даже ТМ-120) и системами SCADA. И никакого выхода в инет и местную локалку не требуется.

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(06:44:18 / 17-04-2016)

мобильный оператор образует локалку в которую есть выход через инет, при этом трафик и расходы копеечные у энергопредприятия

это вариант когда реклоузер стоит в полях на ЛЭП и управляется GSM модемом

поэтому инет тут присутствует и соответственно можно вскрыть скаду и натворить бед

Аватар пользователя greench
greench(3 года 6 месяцев)(21:14:42 / 16-04-2016)

Скорее поверю, что хохлы сами лажанулись и списали все на Путина "хакеров". Ну а пиндосы только рады истерию пораздувать.

Аватар пользователя Офисный планктон

Наверняка на это расследование были выделены деньги, которые благополучно попилены.

Аватар пользователя seven7
seven7(1 год 8 месяцев)(21:43:57 / 16-04-2016)

Не верится в наличие у них настолько современных систем диспетчерского управления. Не могли несколько линий построить вовремя, и тут сказки про такую  роскошь.

Аватар пользователя Danko's Flaming Heart
Danko's Flaming...(1 год 12 месяцев)(22:27:39 / 16-04-2016)

Выстроен контроль, нередко, просто, сумасшедший. На многих серьезных +- объектах установлен он-лайн мониторинг электропотребления по многим параметрам. С управлением, тоже, неплохо. ))

Комментарий администрации:  
*** Нацистский прихвостень ***
Аватар пользователя seven7
seven7(1 год 8 месяцев)(23:16:34 / 16-04-2016)

Мониторинг энергопотребления да, он давно внедрен везде и понятно почему, но настолько современное диспетчерское управление для чего внедрять. Новые приборы учета + старая телеметрия, а переключения и выездная бригада сделает.

Аватар пользователя Орлушин Тарассий

Говновенды ж. Голой ЖО к Интернету. Собсно, вопрос был только "когда?".

«Уж сколько раз твердили миру...»© cryingcryingcryingcryingcrying

Комментарий администрации:  
*** Ходор прав! ***
Аватар пользователя XS
XS(3 года 6 месяцев)(21:32:28 / 16-04-2016)

После этой утечки все ЧП можно на американцев валить, как имеющих "всю информацию для ...... будущих кибератак", и допустивших ее утечку.

Аватар пользователя beck
beck(2 года 4 месяца)(21:34:07 / 16-04-2016)

Это вдвойне забавно, потому что на Украине очень сильные юниксоиды вообще и пингвиноводы в частности. 

Аватар пользователя November5
November5(4 года 1 месяц)(21:38:29 / 16-04-2016)

Какое-то задрипаное Прикарпатское Облэнерго - а управление коммутационными аппаратами по сети - вот чудеса техники.

Аватар пользователя arma
arma(5 лет 10 месяцев)(21:47:12 / 16-04-2016)

Вообще-то там есть замечательный энергоостров, с советских времен поставляющий электроэнергию в Европу.  

Только в прошлом году наконец достроили ЛЭП для переброски электроэнергии с этого чудного острова в центральные области, где из-за отсутствия нужных марок угля простаивают блоки тепловых станций и наблюдается дефицит "пиковой" дневной мощности.

Может  - с этим островом что-то мутили?

Аватар пользователя November5
November5(4 года 1 месяц)(21:52:19 / 16-04-2016)

Да, на магистральных сетях может и было внедрено какое-нибудь АСУ, но всё равно под сомнением.

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(21:49:31 / 16-04-2016)

имхуется, что они собственные косяки/разгильдяйство и последовавшее за этим погашение потребителей свалили на кибератаки

ESET в своем исследовании кроме KillDisk, который по их мнению рубит какие то файлы ничего не нашли, ни слова об удаленном управлении коммутации

http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-agai...

при чем тут удаленное управление?

чтобы отключить онлайн выключатель надо выполнить последовательно три команды с вводом пароля

при чем тут KillDisk?

Аватар пользователя Ё-member
Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(22:18:50 / 16-04-2016)

если даже через скаду, как киллдиск, утилита которую нашли ESET и которая просто удаляет файлы с определенным расширением могла поуправлять выключателями в скаде?

ну ерунда галимая

Аватар пользователя Ё-member
Ё-member(4 года 3 месяца)(22:29:04 / 16-04-2016)

Да не, киллдиск использовался в оконцовке атаки, после того как выключатели уже были отключены. Видимо для заметания следов и просто для нанесения максимального ущерба системе.

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(00:12:00 / 17-04-2016)

если так, то може быть, но весь гугл излазил, не нашел ни одного сообщения об установке там у них коммутации с дистанционным управлением

у нас пресса об этом вопила как о первом полете Гагарина

 

 

Аватар пользователя ДанунафиГ
ДанунафиГ(1 год 8 месяцев)(22:16:25 / 16-04-2016)

Это слишком простой алгоритм указываете. на самом деле всё несколько сложнее. Потому что в деле ещё учавствуют ДВА человека...Так сказать контроль...Про алгоритм рассказывать не буду. Ибо не всё стоит расск54азывать.аботаю диспетчером в электроэнергетике. Но пароль вводить надо.

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(22:21:17 / 16-04-2016)

удивительно, но вы не один работаете в ОДС :-)

я жеж и пишу, что пароль вводить надо и еще пару команд

достаточно одного дежурного с необходимыми правами управления скадой

Аватар пользователя ДанунафиГ
ДанунафиГ(1 год 8 месяцев)(22:57:37 / 16-04-2016)

Ну...то шо достатчно, то да...Тока есть ещё не только оперативное управление, но и оперативное ведение. Так шо пароля мало. надо ещё и не только пару команд , но и ещё кое что. И оно дополняет друг друга...так сказать лишний предохранитель от неправильныхь действий.

А работаю я диспетчером ОДС с 91 года.

Аватар пользователя seven7
seven7(1 год 8 месяцев)(23:52:43 / 16-04-2016)

Согласование действий с диспечером, в оперативном ведении которого находится часть вашего оборудования, конечно убережет от возможной ошибки, но не помешает вам физически при горячем желании что-то отключить. А речь и идет о том случае, когда к вашему телеуправлению кто-то получил удаленный доступ.

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(00:08:26 / 17-04-2016)

в аварийных и неотложных тот который ведает ставится в известность по факту

а под это дело можно втюхать очень много событий

неужели с 91 года ни разу?... :-)

Аватар пользователя seven7
seven7(1 год 8 месяцев)(21:49:08 / 16-04-2016)

Короче, голимое вранье, верить в это просто наивно.

Аватар пользователя LvKiller
LvKiller(3 года 5 месяцев)(21:56:22 / 16-04-2016)

Стесняюсь спросить... А что такое эта ваша "украина"? И почему мы должны об этом помнить?

Аватар пользователя yalga
yalga(3 года 7 месяцев)(11:15:00 / 17-04-2016)

Украина есть псевдо-государство, искусственно слепленное преимущественно из русских земель с преимущественно русским населением.

Ответ на ваш второй вопрос - на картинке (попробуйте экстраполировать на Запорожскую АЭС):

feb14-p77.png

Аватар пользователя ДанунафиГ
ДанунафиГ(1 год 8 месяцев)(22:14:16 / 16-04-2016)

работаю диспетчером в электроэнергетике. С нынешними инженерами электриками на Украине я учился по одним учебникам...Чота ржу...

Аватар пользователя webarkadiy
webarkadiy(1 год 8 месяцев)(22:39:15 / 16-04-2016)

Им теперь приходится докладывать Уважаемому Мистеру из ФБР. Не очень смешно..

Аватар пользователя Kitel
Kitel(2 года 9 месяцев)(22:34:43 / 16-04-2016)

С полной ответственностью заявляю: "ОтеЧествО ОпасноСТЕ!!!?? Пыщ-пЫщ!! РашА ОТАКе!!?!" И да, я просто в восторге вот от NCCIC/ICS-CERT INCIDENT ALERT IR-A LERT-H-16-043-01P. Вот это мосчь. Куда там там ВС РФ.

Аватар пользователя __Alex_loki_
__Alex_loki_(5 лет 11 месяцев)(22:59:42 / 16-04-2016)

вообще-то первую (и вторую) кибер-атаку , приведшую к отключениям пользователей , испытали на себе сами американцы несколько лет назад .

Аватар пользователя DMatrix
DMatrix(1 год 11 месяцев)(09:02:36 / 17-04-2016)

Правильно,  сначала испытали на себе. Потом - на хохлах, когда появилась возможность внедрить туда людей,  сымитировавших "кибератаку".

Теперь вот приехали оценить результат. 

Аватар пользователя sasha2484
sasha2484(2 года 9 месяцев)(01:37:10 / 17-04-2016)

Волею судьбы, мне довелось побывать на всех основных ПС Крыма, сразу после присоединения. Впечатления непередаваемые. И еще, невозможно обесточить ПС из интернета, тем более, если на ПС оборудование не модернизировалось со времен СССР.

Лидеры обсуждений

за 4 часаза суткиза неделю

Лидеры просмотров

за неделюза месяцза год

СМИ

Загрузка...