Редактор Habrahabr, Geektimes
33,6
рейтинг
31 января в 15:34

Разработка → «Энергетический» троян BlackEnergy внедряется через уязвимость в Microsoft Office 2013


Фото: csoonline

Специалисты по информационной безопасности из SentinelOne обнаружили новую тактику распространения malware вредоносного по BlackEnergy, атакующего SCADA-системы по всей Европе. Последняя версия этого ПО распространяется вместе с Microsoft Office, а расчет делается на невнимательных и неосторожных работников энергокомпаний, которые и приносят зловред.

Последняя версия malware носит название BlackEnergy 3, и это то же ПО, что использовалось для атаки на энергетические системы Украины. Команда специалистов из SentinelOne провела реверс-инжиниринг malware и обнаружила признаки того, что это ПО распространяется способом, описанным выше.

BlackEnergy 3 использует уязвимость Office 2013, которая была исправлена некоторое время назад, поэтому он может сработать только на машинах, где нет патча, или где работник компании открывает зараженный Excel-документ.

Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика, поэтому основным «источником» проникновения вредоноса на предприятие являются все же его сотрудники — вольно или невольно.

«Сейчас используется уязвимость CVE-2014-4114, в OLE упаковщике 2 (packager.dll). При этом каждый исполняемый файл создан с использованием компиляторов разных версий, что позволяет нам говорить о вовлечении различных групп в это кампанию — примерно то же, что и в случае R&D проекта, в котором работает несколько команд. И в готовом ПО есть несколько уникальных отпечатков каждой из групп», — говорится в отчете исследователей.

Вывод следующий: BlackEnergy уже работает во многих украинских системах, а также в энергосистемах европейских стран. Если это действительно так, malware сможет быть использовано для создания блекаутов и прочих проблемных ситуаций, в самое неожиданное время.

Полный отчет по проблеме доступен здесь.
marks @marks
карма
170,2
рейтинг 33,6
Редактор Habrahabr, Geektimes
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (22)

  • +7
    Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика
    Интересно, откуда информация? Десять лет назад, у нас по крайней мере, ещё, бывало автоматику на электромагнитных реле ставили, хотя уже и микропроцессорные реле во всю по земле шагали, DOS встречался на компах (по образованию инженер-электрик, чуточку в теме, был). Уверен, что за 10 лет ситуация изменилась в лучшую сторону, но всё же, отрасль достаточно консервативна. Причём, к примеру, для Штатов, это тоже верно, и не в последнюю очередь.

    Т.е. в офисах может быть что угодно, а диспетчерские вряд ли находятся на острие IT прогресса. Я, правда, не знаю, насколько сейчас используется интернет для систем мониторинга и управления энергосистем и насколько офисные компьютеры и сети могут быть с ними соединены.
    • –16
      Ну если Вам, действительно, интересно, как сейчас преимущественно размещаются ИТ-сервисы энергов и какой функционал на них висит… и Вы, действительно, работали в отрасли… не могли бы Вы опубликовать в течение 10 часов ссылку на любое фото с присутствием керамического изолятора, траверсы, экрана и «реактора» ака «заградителя»?
      • +4
        Я вам ничего публиковать не стану, извиняйте :), но «вероятность того, что в энергетических компаниях используется устаревшее ПО» — велика. Ну то есть как вероятность… когда 100% — это уже скорее факт. С учётом того, что ПО само по себе еле работает, то ставить туда патчи — та ещё веселуха. Переводить проект на новую версию — считай, делать проект заново.
      • +6
        Весь ответ под спойлером.
        Заголовок спойлера
        работали в отрасли…
        нигде не говорил. Только учился. Плюс практики, экскурсии, стройотряд. Что бы что-то увидеть в локальном масштабе — достаточно. Дальше судьба не сложилась. Потому и говорю про «десять лет назад».

        не могли бы Вы опубликовать в течение 10 часов
        что за проверка на вшивость? С учётом GMT+11, а то я недавно только проснулся? И опубликовать свои? Тут извините, не коллекционирую авторские фото на тему… Поэтому будет так (как вопрос, в прицнипе и поставлен)
        с присутствием керамического изолятора
        iteam.by/assets/images/3069.jpg
        anenergo.ru/published/publicdata/ANTARES2/attachments/SC/images/%D1%84%D0%B0%D1%80%D1%84%D0%BE%D1%80%D0%BE%D0%B2%D1%8B%D0%B9%20%D0%B8%D0%B7%D0%BE%D0%BB%D1%8F%D1%82%D0%BE%D1%80.jpg
        forca.ru/images/oborudovanie/isolator/maslonapolnennyj-izolyator.jpg (на ЛЭП — стекляшки)
        m.io.ua/img_aa/medium/0933/47/09334770.jpg

        В приморье, в основном, заменены на стекляшки или композитные (встречаются редко, судя по всему, когда меняют стеклянный) в 2012 году, но в отдалённых районах (типа тернейского) ещё можно встретить, ровно как и ЛЭП 10 кВ на деревянных опорах. При том, что в 2002-2003, даже на курсовых расчётно-графических не позволяли использовать керамику. Фото, извините, не ставил целью делать.

        траверсы
        dv-brand.ru/upload/blog/64b/Farforovye_izolyatory_sovremennye_steklyannye_analogi_linii_elektroperedachi.jpg — обводить, где именно траверсы, не нужно?
        экрана и «реактора» ака «заградителя»
        www.biz56.ru/assets/images/transformator/Pfuhflbntkb.jpg — пойдёт?

        Проверка пройдена? Или ещё будет про РЗиА, дифзащиты линий, трансформаторов
        • –8
          Спасибо. Мне, кстати, кажется, что фотографии с одновременным соседством «керамики» и ВЧ-заградителя не существует в реальной действительности. Это как паровоз с вагоном от Сапсана. Но «природа» богата разнообразием инженерных решений и все может быть, на 100% утверждать такую невозможность не стану.
          Не подумайте, пожалуйста, что было недоверие Вашим словам. Это уже естественная привычка фильтровать визави, а то бывает появится какой-нибудь фанат энергетики, а потом оказывается, что он бывший связист и дальше своего эрикксона и не заглядывал никуда, когда через полчаса коммуникаций понимаешь это, то становится очень жаль своего времени и потраченных впустую аргументов. По сути отвечу чуть-чуть позже, завал (
          • +1
            Мне, кстати, кажется, что фотографии с одновременным соседством «керамики» и ВЧ-заградителя не существует в реальной действительности.
            Почему? Линии использовать для связи и телеметрии давно придумали. Я в историю вопроса не вдавался, но, как минимум, встречалась литература 1974 года, описывающая данные методики, да что далеко ходить, вот: www.twirpx.com/file/1445151
            • 0
              Интересно, как говорится, «век живи…
      • 0
        Что бы вы понимали, человек может всю жизнь проработать в отрасли и не разу не выезжать в поле, где он и мог бы сфоткать траверсы, заградители и остальную арматуру.
        В число этих людей как раз входят айтишники.
        А по поводу «Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика» — смешно и грустно.
        • 0
          Это я понимаю. Позвольте и мне внести немного объяснений. С моих позиций дело не в личном фотоальбоме, важнее фактор того, насколько айтишнику небезраличен бизнес в котором он работает или планирует работать. У меня сформировался свой взгляд на то, как быстро определять мотивацию собеседника, интересны ли ему «ИТ ради ИТ» или "… ради полезности для основного бизнеса". Как показывает опыт, безразличному человеку глубоко амбивалетно «какие там в полях висят изоляторы». В то время как экономическая эффективность правильных изоляторов может быть не ниже всего парка серверов и ИТ-сервисов. Таким образом, здесь написано предположение, что если айтишник не думает «горизонтально», то его профессионализм, в том числе и как представителя Заказчика, оказывается под сомнением.
          • 0
            «экономическая эффективность правильных изоляторов может быть не ниже всего парка серверов и ИТ-сервисов» — верно. А еще верно то, что для руководства энергокомпаний на даный момент важны именно изоляторы, а не сервера.
            Да и надо понимать, что за изоляторы и сервера в энергокомпаниях отвечают разные люди, которые практически не пересекаются.
            • 0
              Мне очень сложно комментировать действия руководства. С одной стороны, в силу опыта работы в «аппаратах», понимаю какие абзацы и рисунки им необходимо получать в отчетах, которые не всегда понимаете Вы, как техспецы. С другой стороны, мне, действительно, хотелось бы спросить их, а что важнее: отчеты или стабильная работа основной схемы электроснабжения. Им, например, реально кажется фантастикой, что все ключевые люди однажды могут взять и уйти.
              • 0
                Все не уйдут. У каждого своя мотивация и свои планы.
          • 0
            Для того, чтобы профильный специалист интересовался смежными «профилями», его нужно как-то мотивировать, а не требовать от него этого просто так. А так зачем бы айтишнику интересоваться чем-то кроме ай-ти? Взять хотя бы экономику. Айтишнику вполне может быть плевать, разорится компания или нет, это не его дело, не его профиль. Пойдет в другую компанию. С чего бы ему лезть в бухгалтерию или, там, строить аналитические прогнозы по отрасли? Он не владелец бизнеса, он не вкладывал свои деньги, ему это довольно параллельно, пока он не владеет долей в компании или не получает процент от продаж.
            И, когда на собеседовании заходит разговор на тему типа «почему вы выбрали именно нашу компанию», то на 99% будет вранье.Лучше вообще таких вопросов не задавать.
            • 0
              Знает, вот меня в жизни, кроме собственного диплома на тему о трудовой мотивации никто не мотивировал. Однако же я смог добиться возможности управлять своим временем и зарабатывать в лучшие моменты месяца по $100PH. НЕ подумайте, пожалуйста, что пытаюсь возвести раздел между нами. Для примера, в свои 24 года получалось «таксистом» зарабатывать раза в два больше основной зп. (В тем времена это было довольно доходное дело, без смуглой конкуренции). Ближе к делу. Вы спрашиваете о мотивации? Спросите не хабр. Задайте вопрос своему начальнику, какая мотивация была у него, чтобы стать руководителем? Может мне кажется, но Вы работаете в правильной команде, его ответ точно будет полезен :-)
              • 0
                С руководителями — понятно. Чтобы стать руководителем, видимо, нужно делать больше, чем просто работник, сидящий на окладе. Все верно. Готовить отчет на выходных в свое личное время, думать о судьбе компании и т.д. Но речь-то как раз, насколько я понял, не о руководителях. Раз возникает вопрос «айти ради айти». Или я вас неправильно понял? Далеко не каждый хочет быть руководителем. Особенно среди, например, программистов (они тоже — категория айтишников). Существуют такие специалисты, которые хороши в какой-то своей области и им принципиально нет разницы, как называется компания, где они работают. Ну просто у них — своя песочница. Они — люди мира, они — за все человечество, а не за какую-то одну компанию, ведь они в нее даже не вкладывались. У них — свой способ самореализации.
                • 0
                  Юрий, Вы обозначаете, наверное, самый сложный «на сейчас» вопрос. Я тоже не понимаю, как можно создавать новое и при этом не думать о приоритетах Заказчика, и в этот же момент не понимаю, как можно придумывать новое и в этот же момент учитывать какие-то непонятные проблемы плательщика. Человек карьерный — руководитель он то всегда замотивирован, а если речь веден о наемного программисте — это, действительно, все сложно. Я был неправ в призыве включать голову за всю специализацию. Внешнему творцу важнее получить точную постановку задачи, чем тратить время на, что разобраться в кухне, например, локального МРСК. Согласен с Вами: ответственность за позитивный результат лежит больше на менеджере проекта, чем на мастерах Coding&Debugging.
                • 0
                  Уважаемый, Kempston. Мне уверенно кажется, Вы обозначили один из главных вопросов 21 века. Что первично, человек или его полезность?

                  Подумав, сделал для себя вывод, что как и с любым философским вопросом, на него не может быть универсального ответа. Могут быть только частные мнения. Если интересно, вот мое. Первое, никакую работу нельзя делать плохо. Всегда нужно становится на позицию плательщика, чтобы понимать ожидаемый результат. Результатом любой работы должна становится объективная полезность и/или прибавленная ценность для источника платежа. Вторая ценность, которая имеет «валентность» равную первой: не должно быть бесплатной работы и/или труда, т.е. если Заказчик рассчитывает получить желаемый результат за 5 рублей, при среднерыночной цене в 15, то это можно считать принуждением к трудовой благотворительности.

                  Выходит, вопрос лишь в умении определить среднюю цену по рынку. Если она адекватна, тогда мне бы были не совсем понятны разговоры про самореализацию или свою песочницу. Если неадекватна — тогда лучше от такого сотрудничества отказываться и вкладывать энергию в «свою песочницу». all IMHO.
      • 0
        Мне вот стало интересно. Обращался я с просьбой-предложением публикации фактографии к одному пользователю, а какие-то 16+ левых «эдиков» наставили минусов.

        Знаете ли что, дорогие эдики, я, пожалуй, расставлю вплюс все доступные на сейчас мне ресурсы и покину hb месяца на три-6.

        В знак протеста. Никогда не считал минусы, но реально возмутительно, вас то, «эдики», каким вектором касается камерный диалог двух пользователей?
    • 0
      Вы писали: " в офисах может быть что угодно, а диспетчерские вряд ли находятся на острие IT прогресса".
      Мне немного, но есть что сказать. Наблюдения саккумулированы не за один день, и не от одного представителя отрасли. На момент четвертого квартала прошлого года было примерно следующее:

      • ИКТ в энергетике — по-прежнему считались суперсистемой, для которой параметры надежности имеют более высокий приоритет, чем характеристики простоты.

        Как и в любой суперсистеме резервирование элементов реализовано практически на всех уровнях эксплуатации. Однако элементом по-прежнему считается объект физической реальности, а не алгоритм, практика, технология.

        Автоматизация процессов за прошедшие 5-6 лет ушла далеко вперед. Конечно, еще не появились безоператорские подстанции, но программных реализаций по мониторингу, диспетчеризации и централизованному управлению уже довольно много. В некоторых инфраструктурах такие реализации работают в виртуальных машинах, что постепенно становится корпоративным стандартом.

        В отличии от «нефтяных» систем, энергетические ИКТ в силу высокой распределенности практически невозможно использовать в режиме полной изоляции от публичных сетей. Точнее, возможно, но это был бы очень дорогой проект.

        Уходит в прошлое практика обсуждения системных изменений на технических комитетах, с участием специалистов разного уровня подчиненности. Все чаще решения по изменениям принимаются «в одну каску», часто человеком-временщиком с ролью «зиц-председатель Фунт». В случае кризисной ситуации такому «Фунту» в панамку напихивают все набитые шишки, с треском увольняют и через какое-то время он всплывает где-нибудь в фонде капитальных ремонтов.

        Взят централизованный курс на максимальную стандартизацию ПО и ИТ-оборудования, применение bestpractice по минимизации совокупной стоимости владения, что сказывается на параметрах надежности.


      • Рассмотрим два примера.

        Хороший пример. Стандартизация на уровне локального энергосбыта. Вместо зоопарка ПО используется закрытый перечень программных продуктов с SLA по оперативной и качественной поддержке, не требующей больших затрат и многранных компетенций. Стандартизированы рабочие станции, ноутбуки, серверы и активное сетевое оборудование. Наиболее «популярные» расходники: картриджи, накопители, блоки питания, аккумуляторы закуплены для хранения на складе и в случае необходимости замена выполняется практически день-в-день. Так в ИТ работает принцип just-in-time.

        Плохой пример. Стандартизация на уровне всей суперсистемы. Казалось бы хорошие практики надо масштабировать, но не в mission critical systems. Представим, что все ИТ-сервисы на всех площадках всегда консолидируются в стандартизированном гипервизоре. Надо понимать, что «рубильник» от этого гипервизора находится не только на каждой площадке и в «центре управления полетами», но и в центре раздачи обновлений. Не обязательно иметь злой умысел, у каждого производителя тиражного ПО бывает момент «все-то у нас через ass», и в результате такого момента, согласно регламенту, подписанному очередным Фунтом, на всех площадках накатываются «битые» обновления замечательного корпоративного гипервизора. Через какое-то время гипервизоры «немного устали». Последствия представляемы? Или, например, серверное оборудование. Можно десятикратно зарезервировать ИТ-сервисы, работающие на IBM, на других серверах IBM. Однако когда появляется «технология» внешнего управления серверами IBM, насколько оперативно получится обновить firmware на всех боевых и резервных серверах?

        Таким образом, на мой взгляд, главная текущая уязвимость ИКТ в электроэнергетике заключается в том, что навязывается централизованная унификация технологий. Я хорошо помню времена, когда в каждой межсетевой были свои порядки и «погремушки». А сейчас так все идет, что в скором будущем предполагается консолидировать закуп «правильных» «погремушек» и рассылать их для обязательного применения во всех подчиненных локациях. Не сказать, чтобы «галактика в опасности». Думаю у всех грамотных ребят есть план Б на случай длительного блэкаута, исключением могут быть разве что учреждения здравоохранения и коммунальные службы.

        P.s. Постарался максимально отключиться от конкретики (кроме почившего в бозе серверного бренда), потому как любые примеры — это работающие проекты, группы, люди, а люди в данной отрасли работают очень серьезные, далеко не во всех суперсистемах есть такая высокая концентрация спецов, умеющих работать и руками, и головой.

        p.s.s. Похожие процессы сейчас происходят и в атомной энергетике, но там реализация полной изоляции от «внешних факторов» намного лучше продумана и не так затратна.
  • +2
    «Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика»
    вероятность — 100%, а не «не велика»
    хотел бы я посмотреть на энергокомпанию, в которой для винтел решений выдерживается срок в пределах месяца для установки обновлений.
    • 0
      У нас в военкоматах ломаный офис вовсю, а тут — энергокомпании.
  • 0
    Последняя версия этого ПО распространяется вместе с Microsoft Office

    Вероятно, вы хотели сказать «в файлах формата Microsoft Office», так как у меня сильные сомнения, что это вредоносное ПО включено в инсталляторы MSO :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.