«Энергетический» троян BlackEnergy внедряется через уязвимость в Microsoft Office 2013


    Фото: csoonline

    Специалисты по информационной безопасности из SentinelOne обнаружили новую тактику распространения malware вредоносного по BlackEnergy, атакующего SCADA-системы по всей Европе. Последняя версия этого ПО распространяется вместе с Microsoft Office, а расчет делается на невнимательных и неосторожных работников энергокомпаний, которые и приносят зловред.

    Последняя версия malware носит название BlackEnergy 3, и это то же ПО, что использовалось для атаки на энергетические системы Украины. Команда специалистов из SentinelOne провела реверс-инжиниринг malware и обнаружила признаки того, что это ПО распространяется способом, описанным выше.

    BlackEnergy 3 использует уязвимость Office 2013, которая была исправлена некоторое время назад, поэтому он может сработать только на машинах, где нет патча, или где работник компании открывает зараженный Excel-документ.

    Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика, поэтому основным «источником» проникновения вредоноса на предприятие являются все же его сотрудники — вольно или невольно.

    «Сейчас используется уязвимость CVE-2014-4114, в OLE упаковщике 2 (packager.dll). При этом каждый исполняемый файл создан с использованием компиляторов разных версий, что позволяет нам говорить о вовлечении различных групп в это кампанию — примерно то же, что и в случае R&D проекта, в котором работает несколько команд. И в готовом ПО есть несколько уникальных отпечатков каждой из групп», — говорится в отчете исследователей.

    Вывод следующий: BlackEnergy уже работает во многих украинских системах, а также в энергосистемах европейских стран. Если это действительно так, malware сможет быть использовано для создания блекаутов и прочих проблемных ситуаций, в самое неожиданное время.

    Полный отчет по проблеме доступен здесь.
    Метки:
    Поделиться публикацией
    Комментарии 22
    • +7
      Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика
      Интересно, откуда информация? Десять лет назад, у нас по крайней мере, ещё, бывало автоматику на электромагнитных реле ставили, хотя уже и микропроцессорные реле во всю по земле шагали, DOS встречался на компах (по образованию инженер-электрик, чуточку в теме, был). Уверен, что за 10 лет ситуация изменилась в лучшую сторону, но всё же, отрасль достаточно консервативна. Причём, к примеру, для Штатов, это тоже верно, и не в последнюю очередь.

      Т.е. в офисах может быть что угодно, а диспетчерские вряд ли находятся на острие IT прогресса. Я, правда, не знаю, насколько сейчас используется интернет для систем мониторинга и управления энергосистем и насколько офисные компьютеры и сети могут быть с ними соединены.
      • НЛО прилетело и опубликовало эту надпись здесь
        • +4
          Я вам ничего публиковать не стану, извиняйте :), но «вероятность того, что в энергетических компаниях используется устаревшее ПО» — велика. Ну то есть как вероятность… когда 100% — это уже скорее факт. С учётом того, что ПО само по себе еле работает, то ставить туда патчи — та ещё веселуха. Переводить проект на новую версию — считай, делать проект заново.
          • +6
            Весь ответ под спойлером.
            Заголовок спойлера
            работали в отрасли…
            нигде не говорил. Только учился. Плюс практики, экскурсии, стройотряд. Что бы что-то увидеть в локальном масштабе — достаточно. Дальше судьба не сложилась. Потому и говорю про «десять лет назад».

            не могли бы Вы опубликовать в течение 10 часов
            что за проверка на вшивость? С учётом GMT+11, а то я недавно только проснулся? И опубликовать свои? Тут извините, не коллекционирую авторские фото на тему… Поэтому будет так (как вопрос, в прицнипе и поставлен)
            с присутствием керамического изолятора
            iteam.by/assets/images/3069.jpg
            anenergo.ru/published/publicdata/ANTARES2/attachments/SC/images/%D1%84%D0%B0%D1%80%D1%84%D0%BE%D1%80%D0%BE%D0%B2%D1%8B%D0%B9%20%D0%B8%D0%B7%D0%BE%D0%BB%D1%8F%D1%82%D0%BE%D1%80.jpg
            forca.ru/images/oborudovanie/isolator/maslonapolnennyj-izolyator.jpg (на ЛЭП — стекляшки)
            m.io.ua/img_aa/medium/0933/47/09334770.jpg

            В приморье, в основном, заменены на стекляшки или композитные (встречаются редко, судя по всему, когда меняют стеклянный) в 2012 году, но в отдалённых районах (типа тернейского) ещё можно встретить, ровно как и ЛЭП 10 кВ на деревянных опорах. При том, что в 2002-2003, даже на курсовых расчётно-графических не позволяли использовать керамику. Фото, извините, не ставил целью делать.

            траверсы
            dv-brand.ru/upload/blog/64b/Farforovye_izolyatory_sovremennye_steklyannye_analogi_linii_elektroperedachi.jpg — обводить, где именно траверсы, не нужно?
            экрана и «реактора» ака «заградителя»
            www.biz56.ru/assets/images/transformator/Pfuhflbntkb.jpg — пойдёт?

            Проверка пройдена? Или ещё будет про РЗиА, дифзащиты линий, трансформаторов
            • НЛО прилетело и опубликовало эту надпись здесь
              • +1
                Мне, кстати, кажется, что фотографии с одновременным соседством «керамики» и ВЧ-заградителя не существует в реальной действительности.
                Почему? Линии использовать для связи и телеметрии давно придумали. Я в историю вопроса не вдавался, но, как минимум, встречалась литература 1974 года, описывающая данные методики, да что далеко ходить, вот: www.twirpx.com/file/1445151
                • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Что бы вы понимали, человек может всю жизнь проработать в отрасли и не разу не выезжать в поле, где он и мог бы сфоткать траверсы, заградители и остальную арматуру.
              В число этих людей как раз входят айтишники.
              А по поводу «Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика» — смешно и грустно.
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  «экономическая эффективность правильных изоляторов может быть не ниже всего парка серверов и ИТ-сервисов» — верно. А еще верно то, что для руководства энергокомпаний на даный момент важны именно изоляторы, а не сервера.
                  Да и надо понимать, что за изоляторы и сервера в энергокомпаниях отвечают разные люди, которые практически не пересекаются.
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • 0
                      Все не уйдут. У каждого своя мотивация и свои планы.
                  • 0
                    Для того, чтобы профильный специалист интересовался смежными «профилями», его нужно как-то мотивировать, а не требовать от него этого просто так. А так зачем бы айтишнику интересоваться чем-то кроме ай-ти? Взять хотя бы экономику. Айтишнику вполне может быть плевать, разорится компания или нет, это не его дело, не его профиль. Пойдет в другую компанию. С чего бы ему лезть в бухгалтерию или, там, строить аналитические прогнозы по отрасли? Он не владелец бизнеса, он не вкладывал свои деньги, ему это довольно параллельно, пока он не владеет долей в компании или не получает процент от продаж.
                    И, когда на собеседовании заходит разговор на тему типа «почему вы выбрали именно нашу компанию», то на 99% будет вранье.Лучше вообще таких вопросов не задавать.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        С руководителями — понятно. Чтобы стать руководителем, видимо, нужно делать больше, чем просто работник, сидящий на окладе. Все верно. Готовить отчет на выходных в свое личное время, думать о судьбе компании и т.д. Но речь-то как раз, насколько я понял, не о руководителях. Раз возникает вопрос «айти ради айти». Или я вас неправильно понял? Далеко не каждый хочет быть руководителем. Особенно среди, например, программистов (они тоже — категория айтишников). Существуют такие специалисты, которые хороши в какой-то своей области и им принципиально нет разницы, как называется компания, где они работают. Ну просто у них — своя песочница. Они — люди мира, они — за все человечество, а не за какую-то одну компанию, ведь они в нее даже не вкладывались. У них — свой способ самореализации.
                        • НЛО прилетело и опубликовало эту надпись здесь
                          • НЛО прилетело и опубликовало эту надпись здесь
                  • НЛО прилетело и опубликовало эту надпись здесь
                  • НЛО прилетело и опубликовало эту надпись здесь
                  • +2
                    «Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика»
                    вероятность — 100%, а не «не велика»
                    хотел бы я посмотреть на энергокомпанию, в которой для винтел решений выдерживается срок в пределах месяца для установки обновлений.
                    • 0
                      У нас в военкоматах ломаный офис вовсю, а тут — энергокомпании.
                    • 0
                      Последняя версия этого ПО распространяется вместе с Microsoft Office

                      Вероятно, вы хотели сказать «в файлах формата Microsoft Office», так как у меня сильные сомнения, что это вредоносное ПО включено в инсталляторы MSO :)

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.