Министерство Госбезопасности США об атаке на энергосистему Украины.

Как всем известно из новостей, 23 декабря 2015 года, через месяц после отключения электричества в Крыму(хотя связи между событиями я лично не вижу), на объекты ПрикарпатьеОблэнерго было осуществлена атака, в результате которой 250тыс. человек в Ивано-Франковской области остались без света.
Это первая в истории Человечества хакерская атака, приведшая к отключению электросети.
В связи с чем на Западную Украину была направлена Комиссия офицеров Киберуправления Министерства Госбезопасности США(Homeland Security National Cybersecurity Center), получила все данные от украинской стороны, и к 7-му марта 2016 года был составлен отчет ДСП с добавлениями, ктр конечно утек в сеть. Ниже представлен перевод резюме отчета.

NCCIC/ICS-CERT INCIDENT ALERT IR-A LERT-H-16-043-01P

23 декабря 2015 года, Украинские электро-компании (Облэнерго) испытали беспрецедентную кибер-атаку, приведшую к отключению электричества, затронувшему 225000 потребителей на Украине. Эти атаки были проведены удаленными кибер-атакующими, которые, используя привилегии администратора, полученные с помощью неизвестных средств, дистанционно управляли выключателями электропитания. Когда подача была восстановлена, все пострадавшие отделения Облэнерго продолжили работу в сложных условиях. Дополнительно, три другие организации, некоторые из числа прочих критических секторов инфраструктуры, также подверглись вторжению, но не испытали затруднений в работе. В прессе отмечены публичные отчеты, указывающие на использование вредоносной программы BlackEnergy(BE). Тем не менее, Киберуправление МГБ и Оперативная группа по Производственным системам управления не имеет существенных свидетельств, подтверждающих роль программы BE, и продолжает проводить анализ. Если BE играла роль в атаке, наиболее вероятно что в фазе подготовки и рекогносцировки, не в течение собственно атаки. Многие вредоносные программы могли участвовать в этой деятельности.

ДЕТАЛИ

Межведомственная Комиссия, состоящая из представителей Киберуправления МГБ, Оперуправления по ПСУ, Министерства энергетики США, ФБР, а также Корпорации безопасности северо-американских электросетей направилась на Украину для оказания поддержки и получения сведений.

Украинское Правительство работало в плотном контакте и с большой открытостью к Команде США, и предоставило всю информацию для предотвращения будущих кибератак.
Нижеследующее описание событий основано на допросах межведомственной комиссией сотрудников шести украинских организаций, из числа инженеров и администраторов связи, непосредственно переживших событие. Комиссии не удалось независимо изучить технические свидетельства атаки, тем не менее, существенное число независимых отчетов по итогом допросов, а так же документированных находок, подтверждают сведения, представленные ниже.
С помощью интервьюирования представителей затронутых объектов, комиссия установила, что отключение сетей на Украине 23 декабря 2015 года было вызвано удаленной кибер атакой на три региональные компании электроснабжения(Облэнерго), затронув приблизительно 225тыс.человек. По оценке комиссии, атака на Облэнерго продемонстрировала Тактику, Технику, и Процедуры(TTPs), которые, будучи известными ранее, не применялись при собственно кибератаках. Кибератаки были синхронизированы и скоординированы, вероятно вследствии широкой рекогносцировки сетей жертвы.
После заполучения схемы сетей жертвы, атакующие заполучили административные права, и установили каналы удаленного управления для проведения атаки. Физические последствия кибератаки наступали с промежутком в 30 минут, затронув множество центральных и региональных объектов. Более 50 региональных отделений пережили удаленное вредоносное влияние на переключатели электросетей от множества внешних источников. Это было осуществлено при помощи существующих инструментов удаленного контроля, или удаленных клиентов через VPN.  
Все затронутые компании сообщили, что атакующие очистили ряд операционных систем с помощью запуска программы KillDisk в завершение кибер-атаки. Эта вредоносная программа удаляет выбранные файлы в системе, и нарушает записи мастер-загрузчика, делая систему нерабочей. Кроме того, было сообщено, что по меньшей мере одна панель управления, на базе Windows, также была стерта программой. Также атакующие повредили заводскую прошивку ряда модемов. В дополнении ко всему, было нарушено электропитание некоторых датацентров с помощью запланированных отключений блоков бесперебойного питания через интерфейс удаленного управления. По оценке комиссии, это было сделано в попытке затруднить работы по восстановлению сети.
Первоначальное вторжение было осуществлено с помощью вредоносного кода, который был внедрен с помощью поддельных электронных писем, с вредоносным приложением Майкрософт Офис. Несмотря на то, что атака приписывается программе BE в открытой прессе, любой троян удаленного доступа мог быть использован для ее осуществления, никаких уникальных признаков BE обнаружено не было. На данный момент, нельзя провести четкую параллель между присутствием вредоносной программы BE и отключением электросети, анализ продолжается. Виндовс маст дай.
 

Источник: https://publicintelligence.net/nccic-ukrainian-power-attack/