Ранее мы писали о серии кибератак на промышленные объекты Украины с использованием трояна BlackEnergy. Одной из самых известных жертв трояна стала энергетическая компания «Прикарпатьеоблэнерго», которая снабжала электроэнергией Ивано-Франковскую область на западе Украины. Еще одной известной жертвой BlackEnergy стала компьютерная сеть аэропорта Борисполь, на одном из компьютеров которой также был обнаружен троян. Об этом сообщил спикер администрации президента Украины по вопросам АТО Андрей Лысенко.
В ведомстве также указали, что кибератакам подверглись «Киевоблэнерго», «Черновцыоблэнерго», «Хмельницкоблэнерго» и «Харьковоблэнерго». Украинская security-компания CyS Centrum, которая также занималась расследованием этих кибератак, в своем исследовании назвала в качестве жертв упоминавшийся аэропорт Борисполь, а также компанию «Международные авиалинии Украины», на компьютерах которых был обнаружен драйвер BlackEnergy.
Рис. Пример фишингового электронного письма, который использовался во вредоносной кампании (данные CyS Centrum).
Рис. Внешний вид документа приманки (данные CyS Centrum).
Центр реагирования на компьютерные инциденты Украины CERT-UA опубликовал список индикаторов IoC, по которым можно установить факт компрометации BlackEnergy. Там указаны следующие IP-адреса.
146.0.74.7
148.251.82.21
188.40.8.72
31.210.111.154
41.77.136.250
5.9.32.230
88.198.25.92
41.77.136.250
Также там указан пример проверки лог-файлов.
Рис. Пример проверки системы на предмет заражения BlackEnergy (данные CyS Centrum).
В ведомстве также указали, что кибератакам подверглись «Киевоблэнерго», «Черновцыоблэнерго», «Хмельницкоблэнерго» и «Харьковоблэнерго». Украинская security-компания CyS Centrum, которая также занималась расследованием этих кибератак, в своем исследовании назвала в качестве жертв упоминавшийся аэропорт Борисполь, а также компанию «Международные авиалинии Украины», на компьютерах которых был обнаружен драйвер BlackEnergy.
Рис. Пример фишингового электронного письма, который использовался во вредоносной кампании (данные CyS Centrum).
Рис. Внешний вид документа приманки (данные CyS Centrum).
Центр реагирования на компьютерные инциденты Украины CERT-UA опубликовал список индикаторов IoC, по которым можно установить факт компрометации BlackEnergy. Там указаны следующие IP-адреса.
146.0.74.7
148.251.82.21
188.40.8.72
31.210.111.154
41.77.136.250
5.9.32.230
88.198.25.92
41.77.136.250
Также там указан пример проверки лог-файлов.
Рис. Пример проверки системы на предмет заражения BlackEnergy (данные CyS Centrum).
achekalin
> Об этом сообщил спикер администрации президента Украины по вопросам АТО Андрей Лысенко.
У вас заслуживающие доверия, профессиональные источники. Заметьте, по приведенной ссылке эта новость подается под соусом настолько махровой политики, что даже читать не хочется.
Думаю, что ниже можно привести слова если не командира стройбата российской армии, где он говорит, что не верит в подобные доказательства. Не то чтобы их звания одинаковы с тов. Лысенко, просто оба будут равного класса «экспертами» в ИТ-технологиях.
И еще: если вы называете компанию «жертвой» вируса, потрудитесь приводить какое-то упоминание ущерба, а не только то, что на одном из компов компании нашли зловреда. Уверен, что в и ФБР есть ПК, завирусованность которых ни на что в глобальном масштабе не повлияет. А если пострадали действительно важные ПК во всех этих *энерго, то тут надо не про нападение кричать, а про отсутствие своей защиты — в мире зловредов и без этого странного экземпляра хватает.