Російські хакери з угруповання Sandworm, що складається з офіцерів ГРУ, проникли в мережі "Вінницяобленерго". Вони намагалися повторити свою ж успішну атаку 2016 року, коли світло зникло на півночі Києва. Цього разу українським фахівцям вдалося запобігти відключенню електроенергії.
Про хакерську атаку це стало відомо під час спільної пресконференції заступника голови Держспецзв’язку Віктора Жори та заступника Міністра енергетики Фаріда Сафарова, інформує пресслужба відомства.
На ній йшлося про те, що 7–8 квітня фахівці CERT-UA, які реагують на комп’ютерні надзвичайні події, отримали від партнерів інформацію про можливе зараження ІТ-систем однієї з регіональних енергокомпаній. Шкідлива програма мала спрацювати о 19:10 у п’ятницю, 8 квітня, коли більшість співробітників пішли б додому. Мета – позбавити електроенергії цивільне населення.
Жора відмовився називати партнера та енергокомпанію. У розборі атаки CERT-UA подякував двом компаніям-партнерам – Microsoft та словацькій ESET. Остання допомагала захищати та очищати мережу, а потім аналізувати зразки вірусу. Про роль Microsoft Жора не розповів.
За даними Forbes, від атаки постраждало "Вінницяобленерго". Підприємство обслуговує 770 тис. споживачів, зокрема 750 тис. домогосподарств, 1380 промислових об’єктів і 1340 сільськогосподарських підприємств. За словами заступника міністра енергетики Фаріда Сафарова, без світла могли залишитися до 2 млн людей.
Коли втрутились фахівці CERT-UA, частину інфраструктури вже було уражено. Вони не дозволили шкідливому ПЗ поширитися, і відновили роботу пошкодженої частини системи у ручному режимі. "Жодних сигналів, що десь зникло електропостачання, не зафіксували", – зазначив Віктор Жора.
Російський слід знайшли спеціалісти словацької антивірусної компанії ESET, що долучилися до аналізу вже 8 квітня. "Ми порівняли новий зразок з Industroyer 2016 року, знайшли ряд співпадінь у коді і дійшли висновку, що це той самий малвар", – розповів виданню директор із дослідження загроз ESET Жан-Іен Бутен.
За допомогою версії вірусу у 2016 році хакери Головного розвідуправління РФ з угруповання Sandworm змогли відключити світло на підстанції на півночі Києва, залишивши частину міста без світла.
Наразі невідомо, як саме Sandworm проник у мережі енергокомпанії – розслідування триває. Сафаров каже, що атаки саме на "Вінницяобленерго" почалися ще в середині лютого. Їх вдавалося відбивати.
Атака, яка майже досягла успіху, була більш підготовленою. Зловмисники дістали доступ до мережі підприємства, вивчили її, визначили конкретне обладнання як ціль. Його параметри були прописані у коді Industroyer2.
Вірус опинився в мережах підприємства не пізніше 23 березня. Саме тоді скомпілювали його код. Industroyer дозволяє надсилати команди на перемикачі підстанції, що контролюють подачу електроенергії. У 2016 році, щоб відновити роботу мережі, операторам довелось їхати на підстанцію і підключати перемикачі вручну.
Чи вдалося б це цього разу – покаже тільки детальне розслідування і спілкування з інженерами "Вінницяобленерго".