Фахівцям однієї з обленерго за підтримки Урядової команди реагування на комп’ютерні надзвичайні події CERT-UA вдалося запобігти складній атаці з боку російських хакерів. Її метою було відключення від електропостачання цілого регіону країни. Про це стало відомо під час спільної пресконференції заступника голови Держспецзв’язку Віктора Жори та заступника міністра енергетики Фаріда Сафарова.
Кібератака
За словами Віктора Жори, минулого тижня Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA, яка діє при Держспецзв’язку, отримала інформацію про ймовірну компрометацію ІТ-системи однієї з регіональних енергокомпаній. Фахівці вчасно виявили шкідливе програмне забезпечення, яке мало бути активоване увечері 8 квітня. Його активація призвела б до знеструмлення певної території країни та позбавила б електропостачання велику кількість цивільного населення.
«На жаль, коли ми втрутилися, частина ІТ-інфраструктури вже була вражена. Тому паралельно з попередженням розповсюдження шкідливого програмного забезпечення фахівці займалися оперативним відновленням її працездатності, щоб користувачі не відчули перебоїв у електропостачанні. Власне, так і сталося. Жодних сигналів, що зникло світло, не було зафіксовано. І це результат своєчасної оперативної реакції працівників підприємства і фахівців CERT-UA», – наголосив Віктор Жора.
Розслідування встановило, що за цією атакою зі значною ймовірністю стоїть давно відома хакерська група Sandworm. Це військові хакери РФ, які мали на меті виведення з ладу високовольтних електричних підстанцій, знищення комп’ютерів під керуванням ОС Windows, знищення інфраструктури робочих станцій і серверів під керуванням Linux, враження мережевого обладнання.
Розбір атаки
Організація й підготовка цієї складної й високотехнологічної атаки здійснювалася у два етапи. Відбулася компрометація інформації системи, тобто отримання доступу до внутрішньої мережі підприємства, після чого кіберзловмисники провели розвідку й здобули необхідні технологічні дані про системи, сформували спеціальні пакети шкідливого програмного забезпечення і запланували вимкнення електроенергії.
«Ми поінформували про інцидент міжнародних партнерів та інші енергокомпанії, щоб мати можливість попередити подібні спроби на інших енергетичних об’єктах», – додав заступник голови Держспецзв’язку.
За словами Фаріда Сафарова, від початку війни кількість кібератак на критичну інфраструктуру в енергетичному секторі значно зросла. Загальна кількість подій, пов’язаних із кібербезпекою, які було зафіксовано від початку війни (за 47 днів), становить понад 200 000. Для порівняння – за весь минулий рік їх було близько 900 000. Кількість DDos атак від початку війни зафіксовано більше 50, для порівняння – минулого року їх було лише дві.
Також за останній тиждень було приблизно 20 000 спроб атак на інфраструктуру власне Міністерства енергетики. Але завдяки команді фахівців як Міністерства, так і галузевих кіберцентрів у сфері енергетики, інших держорганів, яка постійно працює і контролює ці процеси, вдається відбивати атаки.
«Міністерство енергетики у співпраці з Держспецзв’язку докладає багато зусиль, щоб попередньо все моніторити, до цих процесів долучається Служба безпеки. Встановлюються сенсори, які дозволяють спеціалістам CERT-UA завчасно бачити індикатори компрометації, попереджати про ймовірні атаки. Найголовніше в цьому – це командна робота 24/7, якщо вже виявили факти компрометації», – наголосив заступник міністра.
