Редактор Habrahabr, Geektimes
0,0
рейтинг
31 января в 15:34

Разработка → «Энергетический» троян BlackEnergy внедряется через уязвимость в Microsoft Office 2013


Фото: csoonline

Специалисты по информационной безопасности из SentinelOne обнаружили новую тактику распространения malware вредоносного по BlackEnergy, атакующего SCADA-системы по всей Европе. Последняя версия этого ПО распространяется вместе с Microsoft Office, а расчет делается на невнимательных и неосторожных работников энергокомпаний, которые и приносят зловред.

Последняя версия malware носит название BlackEnergy 3, и это то же ПО, что использовалось для атаки на энергетические системы Украины. Команда специалистов из SentinelOne провела реверс-инжиниринг malware и обнаружила признаки того, что это ПО распространяется способом, описанным выше.

BlackEnergy 3 использует уязвимость Office 2013, которая была исправлена некоторое время назад, поэтому он может сработать только на машинах, где нет патча, или где работник компании открывает зараженный Excel-документ.

Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика, поэтому основным «источником» проникновения вредоноса на предприятие являются все же его сотрудники — вольно или невольно.

«Сейчас используется уязвимость CVE-2014-4114, в OLE упаковщике 2 (packager.dll). При этом каждый исполняемый файл создан с использованием компиляторов разных версий, что позволяет нам говорить о вовлечении различных групп в это кампанию — примерно то же, что и в случае R&D проекта, в котором работает несколько команд. И в готовом ПО есть несколько уникальных отпечатков каждой из групп», — говорится в отчете исследователей.

Вывод следующий: BlackEnergy уже работает во многих украинских системах, а также в энергосистемах европейских стран. Если это действительно так, malware сможет быть использовано для создания блекаутов и прочих проблемных ситуаций, в самое неожиданное время.

Полный отчет по проблеме доступен здесь.
marks @marks
карма
170,2
рейтинг 0,0
Редактор Habrahabr, Geektimes
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (22)

  • +7
    Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика
    Интересно, откуда информация? Десять лет назад, у нас по крайней мере, ещё, бывало автоматику на электромагнитных реле ставили, хотя уже и микропроцессорные реле во всю по земле шагали, DOS встречался на компах (по образованию инженер-электрик, чуточку в теме, был). Уверен, что за 10 лет ситуация изменилась в лучшую сторону, но всё же, отрасль достаточно консервативна. Причём, к примеру, для Штатов, это тоже верно, и не в последнюю очередь.

    Т.е. в офисах может быть что угодно, а диспетчерские вряд ли находятся на острие IT прогресса. Я, правда, не знаю, насколько сейчас используется интернет для систем мониторинга и управления энергосистем и насколько офисные компьютеры и сети могут быть с ними соединены.
    • НЛО прилетело и опубликовало эту надпись здесь
      • +4
        Я вам ничего публиковать не стану, извиняйте :), но «вероятность того, что в энергетических компаниях используется устаревшее ПО» — велика. Ну то есть как вероятность… когда 100% — это уже скорее факт. С учётом того, что ПО само по себе еле работает, то ставить туда патчи — та ещё веселуха. Переводить проект на новую версию — считай, делать проект заново.
      • +6
        Весь ответ под спойлером.
        Заголовок спойлера
        работали в отрасли…
        нигде не говорил. Только учился. Плюс практики, экскурсии, стройотряд. Что бы что-то увидеть в локальном масштабе — достаточно. Дальше судьба не сложилась. Потому и говорю про «десять лет назад».

        не могли бы Вы опубликовать в течение 10 часов
        что за проверка на вшивость? С учётом GMT+11, а то я недавно только проснулся? И опубликовать свои? Тут извините, не коллекционирую авторские фото на тему… Поэтому будет так (как вопрос, в прицнипе и поставлен)
        с присутствием керамического изолятора
        iteam.by/assets/images/3069.jpg
        anenergo.ru/published/publicdata/ANTARES2/attachments/SC/images/%D1%84%D0%B0%D1%80%D1%84%D0%BE%D1%80%D0%BE%D0%B2%D1%8B%D0%B9%20%D0%B8%D0%B7%D0%BE%D0%BB%D1%8F%D1%82%D0%BE%D1%80.jpg
        forca.ru/images/oborudovanie/isolator/maslonapolnennyj-izolyator.jpg (на ЛЭП — стекляшки)
        m.io.ua/img_aa/medium/0933/47/09334770.jpg

        В приморье, в основном, заменены на стекляшки или композитные (встречаются редко, судя по всему, когда меняют стеклянный) в 2012 году, но в отдалённых районах (типа тернейского) ещё можно встретить, ровно как и ЛЭП 10 кВ на деревянных опорах. При том, что в 2002-2003, даже на курсовых расчётно-графических не позволяли использовать керамику. Фото, извините, не ставил целью делать.

        траверсы
        dv-brand.ru/upload/blog/64b/Farforovye_izolyatory_sovremennye_steklyannye_analogi_linii_elektroperedachi.jpg — обводить, где именно траверсы, не нужно?
        экрана и «реактора» ака «заградителя»
        www.biz56.ru/assets/images/transformator/Pfuhflbntkb.jpg — пойдёт?

        Проверка пройдена? Или ещё будет про РЗиА, дифзащиты линий, трансформаторов
        • НЛО прилетело и опубликовало эту надпись здесь
          • +1
            Мне, кстати, кажется, что фотографии с одновременным соседством «керамики» и ВЧ-заградителя не существует в реальной действительности.
            Почему? Линии использовать для связи и телеметрии давно придумали. Я в историю вопроса не вдавался, но, как минимум, встречалась литература 1974 года, описывающая данные методики, да что далеко ходить, вот: www.twirpx.com/file/1445151
            • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Что бы вы понимали, человек может всю жизнь проработать в отрасли и не разу не выезжать в поле, где он и мог бы сфоткать траверсы, заградители и остальную арматуру.
        В число этих людей как раз входят айтишники.
        А по поводу «Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика» — смешно и грустно.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            «экономическая эффективность правильных изоляторов может быть не ниже всего парка серверов и ИТ-сервисов» — верно. А еще верно то, что для руководства энергокомпаний на даный момент важны именно изоляторы, а не сервера.
            Да и надо понимать, что за изоляторы и сервера в энергокомпаниях отвечают разные люди, которые практически не пересекаются.
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Все не уйдут. У каждого своя мотивация и свои планы.
          • 0
            Для того, чтобы профильный специалист интересовался смежными «профилями», его нужно как-то мотивировать, а не требовать от него этого просто так. А так зачем бы айтишнику интересоваться чем-то кроме ай-ти? Взять хотя бы экономику. Айтишнику вполне может быть плевать, разорится компания или нет, это не его дело, не его профиль. Пойдет в другую компанию. С чего бы ему лезть в бухгалтерию или, там, строить аналитические прогнозы по отрасли? Он не владелец бизнеса, он не вкладывал свои деньги, ему это довольно параллельно, пока он не владеет долей в компании или не получает процент от продаж.
            И, когда на собеседовании заходит разговор на тему типа «почему вы выбрали именно нашу компанию», то на 99% будет вранье.Лучше вообще таких вопросов не задавать.
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                С руководителями — понятно. Чтобы стать руководителем, видимо, нужно делать больше, чем просто работник, сидящий на окладе. Все верно. Готовить отчет на выходных в свое личное время, думать о судьбе компании и т.д. Но речь-то как раз, насколько я понял, не о руководителях. Раз возникает вопрос «айти ради айти». Или я вас неправильно понял? Далеко не каждый хочет быть руководителем. Особенно среди, например, программистов (они тоже — категория айтишников). Существуют такие специалисты, которые хороши в какой-то своей области и им принципиально нет разницы, как называется компания, где они работают. Ну просто у них — своя песочница. Они — люди мира, они — за все человечество, а не за какую-то одну компанию, ведь они в нее даже не вкладывались. У них — свой способ самореализации.
                • НЛО прилетело и опубликовало эту надпись здесь
                • НЛО прилетело и опубликовало эту надпись здесь
      • НЛО прилетело и опубликовало эту надпись здесь
    • НЛО прилетело и опубликовало эту надпись здесь
  • +2
    «Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика»
    вероятность — 100%, а не «не велика»
    хотел бы я посмотреть на энергокомпанию, в которой для винтел решений выдерживается срок в пределах месяца для установки обновлений.
    • 0
      У нас в военкоматах ломаный офис вовсю, а тут — энергокомпании.
  • 0
    Последняя версия этого ПО распространяется вместе с Microsoft Office

    Вероятно, вы хотели сказать «в файлах формата Microsoft Office», так как у меня сильные сомнения, что это вредоносное ПО включено в инсталляторы MSO :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.