Comments 24
Скорее всего, это первый успешный случай использования кибератак в целях массового отключения электроэнергии.Так а где вообще связь питоновского скрипта и отключением электроэнергии?
«Энергетические компании» в заголовке — которые именно? «Укрэнерго» со скриншота? Какие ещё?
Как можно отключить на производстве хоть что-то, заразив обычный офисный компьютер? Переносится ли зараза через USB-носители, чтобы попасть на технологическую машину? Какое критично важное ПО (скады, сервисный софт для оборудования) подвержено угрозе? Или в ESET NOD32 думают, что перезаписав файлы *.mpeg можно уронить хоть что-то, не говоря уж о промышленной сети, не подключенной к
Скорее всего, это первый успешный случай использования кибератак в целях массового отключения электроэнергии.
Речь идет о серии предыдущих успешных кибератак с использованием BlackEnergy, детали которых описаны в предыдущих двух постах (ссылки даны выше). В данном случае злоумышленники прибегли к использованию другого бэкдора для получения удаленного доступа.
Ну, получили доступ к корпоративной сети. АРМы подстанций в ней же расположены? Технологическая ЛВС центров управления сетями тоже никак от офисных сегментов не отделена? Как получали доступ к SCADA-приложениям, если вообще такое происходило? И какой процент оборудования подстанций доступен для дистанционного управления?
Не видно пока атак на технологический сегмент и попыток «отключения электроэнергии» из данной статьи.
Не видно пока атак на технологический сегмент и попыток «отключения электроэнергии» из данной статьи.
Да, разумеется, я ознакомился с предыдущими публикациями, и не только с ними. Все попавшиеся в т.ч. в гугле статьи на тему BlackEnergy и Украины написаны одними и теми же фразами — репост на репосте.
Нигде ответа на справедливый вопрос по теме не могу найти: как, собственно, SSH, MS Office и скрипты на питоне могут нанести ущерб хоть чему-нибудь в энергетике?
Нет, конечно, можно предположить (чисто гипотетически, на правах мозгового штурма), что нашлось несколько идиотов, которые вывели промышленную сеть электростанции/подстанции в инет, а дальше-то что? Ну даже допустим, там оказался SSH-сервер (ответ на вопрос кому он там нужен оставим за кадром), который взломали, получили доступ вот прям к промышленной сети (что уже звучит как бред)… дальше-то что? Что потом сделали хакеры? Какие уязвимости использовали после получения доступа? Уязвимости в чём? Авторизовались в скаду под админом — пф, мало того, что это меньше половины дела, так даже об этом нигде ни слова. Перенастроили терминалы — как, какие? В статье вообще ни слова про энергосистемы, кроме слова «энергосистема».
Серьёзно, какая-то малварь, перезаписывающая мусором «более 4 тыс. расширений файлов», по-вашему, это успешная кибератака на энергосистему Укарины, обесточившая целую область (или город? или по разным слухам вообще село под городом)? Не сомневаюсь в квалификации специалистов ESET NOD32 по части взлома SSH, по вы представляете вообще как устроена энергосистема? Или это игра словами — а че, комп секретутки из «Прикарпатьеоблэнерго» тоже часть «энергосистемы»!
Нигде ответа на справедливый вопрос по теме не могу найти: как, собственно, SSH, MS Office и скрипты на питоне могут нанести ущерб хоть чему-нибудь в энергетике?
Нет, конечно, можно предположить (чисто гипотетически, на правах мозгового штурма), что нашлось несколько идиотов, которые вывели промышленную сеть электростанции/подстанции в инет, а дальше-то что? Ну даже допустим, там оказался SSH-сервер (ответ на вопрос кому он там нужен оставим за кадром), который взломали, получили доступ вот прям к промышленной сети (что уже звучит как бред)… дальше-то что? Что потом сделали хакеры? Какие уязвимости использовали после получения доступа? Уязвимости в чём? Авторизовались в скаду под админом — пф, мало того, что это меньше половины дела, так даже об этом нигде ни слова. Перенастроили терминалы — как, какие? В статье вообще ни слова про энергосистемы, кроме слова «энергосистема».
Серьёзно, какая-то малварь, перезаписывающая мусором «более 4 тыс. расширений файлов», по-вашему, это успешная кибератака на энергосистему Укарины, обесточившая целую область (или город? или по разным слухам вообще село под городом)? Не сомневаюсь в квалификации специалистов ESET NOD32 по части взлома SSH, по вы представляете вообще как устроена энергосистема? Или это игра словами — а че, комп секретутки из «Прикарпатьеоблэнерго» тоже часть «энергосистемы»!
В общем-то попав на компьютер какого-нибудь менеджера, оно могло бы отослать с его компьютера письма исполнителям с приказом что-то переключить\выключить\поремонтировать. Если знать подноготную выполнения цепочки приказов (для этого нужно иметь инсайдеров в организации), то можно было бы найти такой сценарий, где уже человек переключает рубильник, будучи уверенным, что выполняет инструкцию начальства.
:D
Любое включение/переключение происходит несколько сложнее, чем вам кажется, — с кучей подписей, зависит не от одного человека и обычно случается согласно утверждённому графику. И уж «менеджеры» к этому прямого отношения не имеют. А не_менеджеры прекрасно понимают, что делают и к чему их действия приведут.
Любое включение/переключение происходит несколько сложнее, чем вам кажется, — с кучей подписей, зависит не от одного человека и обычно случается согласно утверждённому графику. И уж «менеджеры» к этому прямого отношения не имеют. А не_менеджеры прекрасно понимают, что делают и к чему их действия приведут.
Вы утверждаете, что имея полный доступ, скажем, к электронной почте руководителя департамента или главного инженера, нельзя нанести вред компании? Это не так.
Да и вообще по поводу промышленных вирусов — никого, значит не удивило, когда США центрифуги ядерные в Иране, что ли, смогло софтовым вирусом повредить. Неужто в других странах вирусописатели похуже?
Да и вообще по поводу промышленных вирусов — никого, значит не удивило, когда США центрифуги ядерные в Иране, что ли, смогло софтовым вирусом повредить. Неужто в других странах вирусописатели похуже?
Вы утверждаете, что что я утверждаю, что имея полный доступ, скажем, к электронной почте руководителя департамента или главного инженера, нельзя нанести вред компании? Это не так. Я утверждаю, что имея полный доступ к почте кого угодно, невозможно приказать кому-то «что-то переключить\выключить\поремонтировать». Примерно как невозможно вас убедить по электронной почте, что все ваши коллеги решили сменить фамилию на Тютюйкины и сделают это аккурат в марте сего года.
Я не утвреждал, я спрашивал — видите знак вопроса в конце предложения? А по поводу электронной почты — не знаю как там в тех энергосистемах люди живут, но куча компаний используют внутренние системы заявок, письма с наложенной цифровой подписью — являются вполне себе мотивацией к действию. Да, если в том письме будет написано «взорвать офис» — оно, конечно, не так чтобы сразу будет выполнено. Но там может быть написано одному сотруднику — поехать в командировку туда-то, другому — перевезти с одного склада на другой некоторые запчасти, третьему — провести внеплановую проверку какой-то системы, четвёртому — проигнорировать некоторый предупреждающий сигнал в связи с внеплановой проверкой. Сами по себе все эти задания не вызовут подозрений (потому что не несут явного вреда), но в комплексе могут вызвать проблемы.
Я ведь тоже не утверждал :)
Вы как будто описываете какой-то голливудский блокбастер про восстание машин или суперхакеров, которые по вайфаю брутфорсят даже амбарные замки. Ну правда, все минимально серьёзные действия как до так и после совершения фиксируются на бумаге с подписями ответственных. Если что-то внеплановое или экстренное — тут совсем другой разговор, но это не может быть спровоцировано никаким электронным письмом, только реально происходящими событиями. Пример из жизни, хоть и абсурдно, но наглядно: в начале года составляется график ТО, ежемесячно нужно провести визаульный осмотр и протянуть клеммники, сдуть пыль. Итак, график утверждённый и согласованный начальством — раз, акт выполненных работ, составленный мной, — два, протокол — три, запись в журнал ТО — четыре, запись в вахтовом журнале — пять. ПЯТЬ документов на простейшие действия.
Вы как будто описываете какой-то голливудский блокбастер про восстание машин или суперхакеров, которые по вайфаю брутфорсят даже амбарные замки. Ну правда, все минимально серьёзные действия как до так и после совершения фиксируются на бумаге с подписями ответственных. Если что-то внеплановое или экстренное — тут совсем другой разговор, но это не может быть спровоцировано никаким электронным письмом, только реально происходящими событиями. Пример из жизни, хоть и абсурдно, но наглядно: в начале года составляется график ТО, ежемесячно нужно провести визаульный осмотр и протянуть клеммники, сдуть пыль. Итак, график утверждённый и согласованный начальством — раз, акт выполненных работ, составленный мной, — два, протокол — три, запись в журнал ТО — четыре, запись в вахтовом журнале — пять. ПЯТЬ документов на простейшие действия.
Я вот не понимаю, почему Вас не удивляет, что вирусы могут ядерные объекты ломать, ошибки в коде — открывать двери тюрем, валить спутники, дыры в безопасности — сваливать автомобили в кювет, но вот полный доступ к сети чтобы привёл к сбою в работе компании — нет-нет, такого быть не может никогда!
Потому что описанное не тянет на вирус, подобный Stuxnet, способный что-либо сломать. Потому что во всех новостях про этот вирус 90% политоты, оставшиеся 10 — описание очередного винлокера. Потому что про Stuxnet было интересно читать, действительно красивая многоходовочка, а про BlackEnergy пишут «мы знает, как оно всё сломало!», но дальше расписано такоооое… такое, какое не могло быть причиной случившегося.
Политика в новостях присутствует ровно потому, что на виновнике шапка горит. Новости по большей части без фактов, конечно. Сейчас вроде бы создана совместная украино-американская группа ИТ-специалистов, призванная разобраться во всём этом поглубже, чем на уровне «ой, там был вордовский файл с плохим макросом!». Посмотрим, посмотрим.
Политика в новостях присутствует ровно потому, что на виновнике шапка горитпри отсутствии пока ещё хоть каких-либо внятных аргументов того, что вирус вообще имеет причастность к случившемуся, я лично выбираю из двух версий: кто-то тупо накосячил, что бывает гораздо чаще, чем положено знать широким массам, под шумок списали на вирусы (актуальная же тема, видите, аргументов ноль, а все легко повелись. При этом в вирусе можно не сомневаться, даже пусть всё было так, как считают в НОД32, только отношения к аварии он не имеет), либо такой себе политический ход (опять же, группа украино-американская, новости все построены на спекуляции мнением и эмоциями масс, технических деталей ноль, под видом деталей какая-то фигня выдётся даже компаниями, которые бы по идее должны понимать, что это фигня, но почему-то не понимают — что мы и наблюдаем в этом посте).
В крайнем случае вирус мог помочь в подготовке саботажа — спереть какие-то данные, схемы и т.п., а дальше всё сделали старыми добрыми методами при личном присутствии участников. Только от этого атака не становится «кибер». Ну и наконец 4й самый маловероятный вариант — да, супер-пупер вирус.
Ага, "самый маловероятный вариант"
Да ну бросьте… Вы же умный человек, у вас крутейшие статьи, а всё ещё верите СМИ? На сарае тоже слово из трёх букв написано, а в нём — дрова.
But the U.S. government and private sector investigators don't believe BlackEnergy was the malware that caused the damage.Они «не верят»! "experts from the U.S. departments of Energy, State, Homeland Security and the FBI" по итогу расследования вынесли «вердикт») Заметьте, кстати, именно об этом и я говорил: фигня этот ваш BlackEnergy, и ничего он вырубить не мог.
Instead, they cite other more destructive malicious software.Но название не придумали, ни строчки кода не написали, принцип работы не изобрели, поэтому чё за вирус — они нам не рассказывают.
А, ну то есть название «BlackEnergy» плохое, и на самом деле использовали не его, а эксплоиты А, B и С? Это, конечно, в корне всё меняет. Да и при чём тут сми? Агрессия разлита в воздухе, её не замечать невозможно.
Ну смотрите. Допустим, вы знаете пароль от моей учётки на хабре. Вам зачем-то нужно убедить меня в том, что вы его знаете. Какой самый простой способ? Тыщщу раз повторить: «я знаю твой пароль!» — или просто назвать его?
Допустим, есть некая уязвимость, вирус… понимаете о чём я, да?… тыщщу раз повторить, что это российские хакеры — или просто рассказать, что за уязвимость?
Допустим, есть некая уязвимость, вирус… понимаете о чём я, да?… тыщщу раз повторить, что это российские хакеры — или просто рассказать, что за уязвимость?
Агрессия разлита в воздухе, её не замечать невозможно.Когда одно государство вводит войска на территорию другого — да, это сложно не замечать. Только называется это не просто какая-то агрессия, а военные действия. Тем не менее, из этого никак не следует наличие неких эксплоитов (но это и не противоречит — только не надо путать одно с другим).
Ещё интересное — ну вроде весь мир уже знает про аварию.
Окей, вирус крашил два процесса. Один из которых хз что, второй — софт определённой (небольшой, малоизвестной, итальяно-немецкой) компании. Компания настолько уныла, что на своём сайте даже не упоминает об этом? Патчи? Предупреждение хотя бы? Да они, походу, вообще не в курсе — или не имеют к этому отношения, потому просто игнорят.
Окей, вирус крашил два процесса. Один из которых хз что, второй — софт определённой (небольшой, малоизвестной, итальяно-немецкой) компании. Компания настолько уныла, что на своём сайте даже не упоминает об этом? Патчи? Предупреждение хотя бы? Да они, походу, вообще не в курсе — или не имеют к этому отношения, потому просто игнорят.
Цель этой кампании создать ажиотаж и информационный шум. Компетентность компании esed неа уровне 11 классника, который смог поменять обои на компьютере. «Ты шо не понмиаешь? С помощью Gmail аккаунта злоумышленники управляли электростанцией на западе на Украине!!!111один1адин».
Бэкдор дает удаленное управление. Если с зараженного АРМа есть возможность чем-то управлять — злоумышленник сможет этим управлять.
Исходя из анализа информации о предыдущей атаке (той самой, которая с помощью BlackEnergy) — АСУ ТП энергокомпании не была изолирована от Интернета.
Исходя из анализа информации о предыдущей атаке (той самой, которая с помощью BlackEnergy) — АСУ ТП энергокомпании не была изолирована от Интернета.
По-моему, вся статья писалась ради этого предложения:
«На основе мнений некоторых security-компаний, многие известные СМИ указали на Россию как на источник таких state-sponsored кибератак (кибергруппа Sednit a.k.a Sandworm, a.k.a Quedagh).»
«На основе мнений некоторых security-компаний, многие известные СМИ указали на Россию как на источник таких state-sponsored кибератак (кибергруппа Sednit a.k.a Sandworm, a.k.a Quedagh).»
UFO just landed and posted this here
Как я уже упоминал в ответе на пост https://habrahabr.ru/company/eset/blog/275283/, источники информации у авторов «великолепно» разбираются в ИТ. В упомянутом посте ссылка на статью на известном ИТ-ресурсе lenta.ru, где источником указано:
> Об этом сообщил спикер администрации президента Украины по вопросам АТО Андрей Лысенко.
После этого приведенная вами фраза вообще даже неплоха. Вот вдуматься — известные СМИ (читаем — ресурсы, готовые описать любой слух), основываясь на мнении некоторых компаний, специализирующихся на безопасности (спросим у Eset — не себя ли они имеют в виду?), что-то там сбрехнули. Т.е. спецы по медиа пишут на основе _подозрений_ спецов по безопасности, но пишут не «наверное», а уже как _факты_ — вот и подмена понятий. Позор авторам поста!
Судя по числу упоминаний «взломов» систем украинских энергетиков на этом сайте, Eset либо имеет президентом несколько повернутого на политике человека, либо системы энергетиков эти дырявы как решето, либо, простите, писать не о чем (во что не поверю, на той же lenta.ru и то пищи для трепа про безопасность хватит на месяцы работы блога Eset.
P.S. Вот что бы Eset мог обсудить в блоге, так это свою политику исключения из баз сигнатур, ошибочно детектящих нормальное ПО как завирусованное. Старая тема, из-за которой даже пришлось корпоративно отказаться от этого «поделия антивирусостроения» — как с проблемой, воз и ныне там?
P.P.S. А теперь: что сказала компания-интегратор, которая проектировала ЛВС АРМ-ов? Кто подписал проект, кто реализовывал его? Каково было наказание за выведения АРМ-ов в сеть, связанную с инетом, да еще, похоже, с «голой задницей»? Если ответы на эти вопросы в стиле «х.з., давно и неправда это было», то Eset может не трясти этой «новостью», потому что все посты на эту «тему» сводятся не к «Россия что-то там соседней стране сделала», а к «сам себе злобный буратина», и страна тут не важна в принципе. Случись такое же в Бирме, новость как-то изменилась бы в ИТ-ном значении? А политику давайте изживать с ресурса, правда же!
P.P.P.S. Названия компаний-проектировщиков и реализаторов — в студию! Мир должен знать героев ИТ-стройки!
> Об этом сообщил спикер администрации президента Украины по вопросам АТО Андрей Лысенко.
После этого приведенная вами фраза вообще даже неплоха. Вот вдуматься — известные СМИ (читаем — ресурсы, готовые описать любой слух), основываясь на мнении некоторых компаний, специализирующихся на безопасности (спросим у Eset — не себя ли они имеют в виду?), что-то там сбрехнули. Т.е. спецы по медиа пишут на основе _подозрений_ спецов по безопасности, но пишут не «наверное», а уже как _факты_ — вот и подмена понятий. Позор авторам поста!
Судя по числу упоминаний «взломов» систем украинских энергетиков на этом сайте, Eset либо имеет президентом несколько повернутого на политике человека, либо системы энергетиков эти дырявы как решето, либо, простите, писать не о чем (во что не поверю, на той же lenta.ru и то пищи для трепа про безопасность хватит на месяцы работы блога Eset.
P.S. Вот что бы Eset мог обсудить в блоге, так это свою политику исключения из баз сигнатур, ошибочно детектящих нормальное ПО как завирусованное. Старая тема, из-за которой даже пришлось корпоративно отказаться от этого «поделия антивирусостроения» — как с проблемой, воз и ныне там?
P.P.S. А теперь: что сказала компания-интегратор, которая проектировала ЛВС АРМ-ов? Кто подписал проект, кто реализовывал его? Каково было наказание за выведения АРМ-ов в сеть, связанную с инетом, да еще, похоже, с «голой задницей»? Если ответы на эти вопросы в стиле «х.з., давно и неправда это было», то Eset может не трясти этой «новостью», потому что все посты на эту «тему» сводятся не к «Россия что-то там соседней стране сделала», а к «сам себе злобный буратина», и страна тут не важна в принципе. Случись такое же в Бирме, новость как-то изменилась бы в ИТ-ном значении? А политику давайте изживать с ресурса, правда же!
P.P.P.S. Названия компаний-проектировщиков и реализаторов — в студию! Мир должен знать героев ИТ-стройки!
Sign up to leave a comment.
Злоумышленники используют бэкдор Gcat для кибератак на энергетические компании Украины