Фахівці вчасно виявили шкідливе програмне забезпечення, яке мало бути активоване
Фахівцям однієї з обленерго за підтримки Урядової команди реагування на комп’ютерні надзвичайні події CERT-UA вдалося запобігти складній атаці з боку російських хакерів. Її метою було відключення від електропостачання цілого регіону країни.
Про це стало відомо під час спільної пресконференції заступника голови Держспецзв’язку Віктора Жори та заступника Міністра енергетики Фаріда Сафарова.
За словами Віктора Жори, минулого тижня Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA, яка діє при Держспецзв’язку, отримала інформацію про ймовірну компрометацію ІТ-системи однієї з регіональних енергокомпаній. Фахівці вчасно виявили шкідливе програмне забезпечення, яке мало бути активоване увечері 8 квітня. Його активація призвела б до знеструмлення певної території країни та позбавила б електропостачання велику кількість цивільного населення.
«На жаль, коли ми втрутилися, частина ІТ-інфраструктури вже була вражена. Тому паралельно з попередженням розповсюдження шкідливого програмного забезпечення фахівці займалися оперативним відновленим її працездатності, щоб користувачі не відчули перебоїв у електропостачанні. Власне, так і сталося. Жодних сигналів, що зникло світло, не було зафіксовано. І це результат своєчасної оперативної реакції працівників підприємства і фахівців CERT-UA», – наголосив Віктор Жора.
Розслідування встановило, що за цією атакою зі значною ймовірністю стоїть давно відома хакерська група Sandworm. Це військові хакери РФ, які мали на меті виведення з ладу високовольтних електричних підстанцій, знищення комп’ютерів під керуванням ОС Windows, знищення інфраструктури робочих станцій і серверів під керуванням Linux, враження мережевого обладнання.
Організація й підготовка цієї складної й високотехнологічної атаки здійснювалася у два етапи. Відбулася компрометація інформації системи, тобто отримання доступу до внутрішньої мережі підприємства, після чого кіберзловмисники провели розвідку й здобули необхідні технологічні дані про системи, сформували спеціальні пакети шкідливого програмного забезпечення і запланували вимкнення електроенергії.
«Ми поінформували про інцидент міжнародних партнерів та інші енергокомпанії, щоб мати можливість попередити подібні спроби на інших енергетичних об’єктах», – додав заступник голови Держспецзв’язку.
