Связанные с ГРУ роSSийские хакеры пытались оставить без света Винницкую область

Это не первая атака Sandworm на "Винницаоблэнерго".

РоSSийские хакеры с группировки Sandworm, состоящей из офицеров ГРУ, проникли в сети "Винницаоблэнерго". Они пытались повторить свою же успешную атаку 2016 года, когда свет исчез на севере Киева. На этот раз украинским специалистам удалось предотвратить отключение электроэнергии.

О хакерской атаке это стало известно во время совместной пресс-конференции заместителя главы Госспецсвязи Виктора Жоры и заместителя Министра энергетики Фарида Сафарова, информирует служба ведомства.

На ней говорилось, что 7–8 апреля специалисты CERT-UA, реагирующие на компьютерные чрезвычайные события, получили от партнеров информацию о возможном заражении ИТ-систем одной из региональных энергокомпаний. Вредная программа должна была сработать в 19:10 в пятницу, 8 апреля, когда большинство сотрудников ушли домой. Цель – лишить электроэнергии гражданское население.

Жора отказался называть партнера и энергокомпанию. В разборе атаки CERT-UA поблагодарил двух компаний-партнеров – Microsoft и словацкую ESET. Последняя помогала защищать и очищать сеть, а затем анализировать образцы вируса. О роли Microsoft Жора не поведал.

По данным Forbes, от атаки пострадало "Винницаоблэнерго". Предприятие обслуживает 770 тыс. потребителей, в том числе 750 тыс. домохозяйств, 1380 промышленных объектов и 1340 сельскохозяйственных предприятий. По словам замминистра энергетики Фарида Сафарова, без света могли остаться до 2 млн человек.

Когда вмешались специалисты CERT-UA, часть инфраструктуры уже была поражена. Они не позволили вредоносному ПО распространиться и возобновили работу поврежденной части системы в ручном режиме. "Никаких сигналов, где-то пропавшего электроснабжения, не зафиксировали", - отметил Виктор Жора.

РоSSийский след нашли специалисты словацкой антивирусной компании ESET, приобщившиеся к анализу уже 8 апреля. "Мы сравнили новый образец с Industroyer 2016 года, нашли ряд совпадений в коде и пришли к выводу, что это тот же малвар", – рассказал изданию директор по исследованию угроз ESET Жан-Иен Бутен.

С помощью версии вируса в 2016 году хакеры Главного разведуправления РФ по группировке Sandworm смогли отключить свет на подстанции на севере Киева, оставив часть города без света.

Пока неизвестно, как именно Sandworm проник в сети энергокомпании – расследование продолжается. Сафаров говорит, что атаки именно на "Винницаоблэнерго" начались еще в середине февраля. Их удавалось отбивать.

Атака, которая почти добилась успеха, была более подготовленной. Злоумышленники получили доступ к сети предприятия, изучили ее, определили конкретное оборудование как цель. Его настройки были прописаны в коде Industroyer2.

Вирус оказался в сетях предприятия не позднее 23 марта. В это время скомпилировали его код. Industroyer позволяет отправлять команды на переключатели подстанции, контролирующие подачу электроэнергии. В 2016 году, чтобы возобновить работу сети, операторам пришлось ехать на подстанцию и подключать вручную переключатели.

Удалось бы это в этот раз – покажет только детальное расследование и общение с инженерами "Винницаоблэнерго".