Фото: csoonline

Специалисты по информационной безопасности из SentinelOne обнаружили новую тактику распространения malware вредоносного по BlackEnergy, атакующего SCADA-системы по всей Европе. Последняя версия этого ПО распространяется вместе с Microsoft Office, а расчет делается на невнимательных и неосторожных работников энергокомпаний, которые и приносят зловред.

Последняя версия malware носит название BlackEnergy 3, и это то же ПО, что использовалось для атаки на энергетические системы Украины. Команда специалистов из SentinelOne провела реверс-инжиниринг malware и обнаружила признаки того, что это ПО распространяется способом, описанным выше.

BlackEnergy 3 использует уязвимость Office 2013, которая была исправлена некоторое время назад, поэтому он может сработать только на машинах, где нет патча, или где работник компании открывает зараженный Excel-документ.

Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика, поэтому основным «источником» проникновения вредоноса на предприятие являются все же его сотрудники — вольно или невольно.

«Сейчас используется уязвимость CVE-2014-4114, в OLE упаковщике 2 (packager.dll). При этом каждый исполняемый файл создан с использованием компиляторов разных версий, что позволяет нам говорить о вовлечении различных групп в это кампанию — примерно то же, что и в случае R&D проекта, в котором работает несколько команд. И в готовом ПО есть несколько уникальных отпечатков каждой из групп», — говорится в отчете исследователей.

Вывод следующий: BlackEnergy уже работает во многих украинских системах, а также в энергосистемах европейских стран. Если это действительно так, malware сможет быть использовано для создания блекаутов и прочих проблемных ситуаций, в самое неожиданное время.

Полный отчет по проблеме доступен здесь.

Комментарии (20)


  1. monah_tuk
    31.01.2016 16:49
    +7

    Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика
    Интересно, откуда информация? Десять лет назад, у нас по крайней мере, ещё, бывало автоматику на электромагнитных реле ставили, хотя уже и микропроцессорные реле во всю по земле шагали, DOS встречался на компах (по образованию инженер-электрик, чуточку в теме, был). Уверен, что за 10 лет ситуация изменилась в лучшую сторону, но всё же, отрасль достаточно консервативна. Причём, к примеру, для Штатов, это тоже верно, и не в последнюю очередь.

    Т.е. в офисах может быть что угодно, а диспетчерские вряд ли находятся на острие IT прогресса. Я, правда, не знаю, насколько сейчас используется интернет для систем мониторинга и управления энергосистем и насколько офисные компьютеры и сети могут быть с ними соединены.


    1. occam
      31.01.2016 21:28
      -16

      Ну если Вам, действительно, интересно, как сейчас преимущественно размещаются ИТ-сервисы энергов и какой функционал на них висит… и Вы, действительно, работали в отрасли… не могли бы Вы опубликовать в течение 10 часов ссылку на любое фото с присутствием керамического изолятора, траверсы, экрана и «реактора» ака «заградителя»?


      1. Iceg
        01.02.2016 02:04
        +4

        Я вам ничего публиковать не стану, извиняйте :), но «вероятность того, что в энергетических компаниях используется устаревшее ПО» — велика. Ну то есть как вероятность… когда 100% — это уже скорее факт. С учётом того, что ПО само по себе еле работает, то ставить туда патчи — та ещё веселуха. Переводить проект на новую версию — считай, делать проект заново.


      1. monah_tuk
        01.02.2016 03:26
        +6

        Весь ответ под спойлером.

        Заголовок спойлера
        работали в отрасли…
        нигде не говорил. Только учился. Плюс практики, экскурсии, стройотряд. Что бы что-то увидеть в локальном масштабе — достаточно. Дальше судьба не сложилась. Потому и говорю про «десять лет назад».

        не могли бы Вы опубликовать в течение 10 часов
        что за проверка на вшивость? С учётом GMT+11, а то я недавно только проснулся? И опубликовать свои? Тут извините, не коллекционирую авторские фото на тему… Поэтому будет так (как вопрос, в прицнипе и поставлен)
        с присутствием керамического изолятора
        iteam.by/assets/images/3069.jpg
        anenergo.ru/published/publicdata/ANTARES2/attachments/SC/images/%D1%84%D0%B0%D1%80%D1%84%D0%BE%D1%80%D0%BE%D0%B2%D1%8B%D0%B9%20%D0%B8%D0%B7%D0%BE%D0%BB%D1%8F%D1%82%D0%BE%D1%80.jpg
        forca.ru/images/oborudovanie/isolator/maslonapolnennyj-izolyator.jpg (на ЛЭП — стекляшки)
        m.io.ua/img_aa/medium/0933/47/09334770.jpg

        В приморье, в основном, заменены на стекляшки или композитные (встречаются редко, судя по всему, когда меняют стеклянный) в 2012 году, но в отдалённых районах (типа тернейского) ещё можно встретить, ровно как и ЛЭП 10 кВ на деревянных опорах. При том, что в 2002-2003, даже на курсовых расчётно-графических не позволяли использовать керамику. Фото, извините, не ставил целью делать.

        траверсы
        dv-brand.ru/upload/blog/64b/Farforovye_izolyatory_sovremennye_steklyannye_analogi_linii_elektroperedachi.jpg — обводить, где именно траверсы, не нужно?
        экрана и «реактора» ака «заградителя»
        www.biz56.ru/assets/images/transformator/Pfuhflbntkb.jpg — пойдёт?

        Проверка пройдена? Или ещё будет про РЗиА, дифзащиты линий, трансформаторов


        1. occam
          01.02.2016 07:29
          -8

          Спасибо. Мне, кстати, кажется, что фотографии с одновременным соседством «керамики» и ВЧ-заградителя не существует в реальной действительности. Это как паровоз с вагоном от Сапсана. Но «природа» богата разнообразием инженерных решений и все может быть, на 100% утверждать такую невозможность не стану.
          Не подумайте, пожалуйста, что было недоверие Вашим словам. Это уже естественная привычка фильтровать визави, а то бывает появится какой-нибудь фанат энергетики, а потом оказывается, что он бывший связист и дальше своего эрикксона и не заглядывал никуда, когда через полчаса коммуникаций понимаешь это, то становится очень жаль своего времени и потраченных впустую аргументов. По сути отвечу чуть-чуть позже, завал (


          1. monah_tuk
            01.02.2016 08:13
            +1

            Мне, кстати, кажется, что фотографии с одновременным соседством «керамики» и ВЧ-заградителя не существует в реальной действительности.
            Почему? Линии использовать для связи и телеметрии давно придумали. Я в историю вопроса не вдавался, но, как минимум, встречалась литература 1974 года, описывающая данные методики, да что далеко ходить, вот: www.twirpx.com/file/1445151


            1. occam
              01.02.2016 21:00

              Интересно, как говорится, «век живи…


      1. kvo
        01.02.2016 14:04

        Что бы вы понимали, человек может всю жизнь проработать в отрасли и не разу не выезжать в поле, где он и мог бы сфоткать траверсы, заградители и остальную арматуру.
        В число этих людей как раз входят айтишники.
        А по поводу «Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика» — смешно и грустно.


        1. occam
          01.02.2016 21:14

          Это я понимаю. Позвольте и мне внести немного объяснений. С моих позиций дело не в личном фотоальбоме, важнее фактор того, насколько айтишнику небезраличен бизнес в котором он работает или планирует работать. У меня сформировался свой взгляд на то, как быстро определять мотивацию собеседника, интересны ли ему «ИТ ради ИТ» или "… ради полезности для основного бизнеса". Как показывает опыт, безразличному человеку глубоко амбивалетно «какие там в полях висят изоляторы». В то время как экономическая эффективность правильных изоляторов может быть не ниже всего парка серверов и ИТ-сервисов. Таким образом, здесь написано предположение, что если айтишник не думает «горизонтально», то его профессионализм, в том числе и как представителя Заказчика, оказывается под сомнением.


          1. kvo
            02.02.2016 11:07

            «экономическая эффективность правильных изоляторов может быть не ниже всего парка серверов и ИТ-сервисов» — верно. А еще верно то, что для руководства энергокомпаний на даный момент важны именно изоляторы, а не сервера.
            Да и надо понимать, что за изоляторы и сервера в энергокомпаниях отвечают разные люди, которые практически не пересекаются.


    1. occam
      01.02.2016 21:23

      Вы писали: " в офисах может быть что угодно, а диспетчерские вряд ли находятся на острие IT прогресса".
      Мне немного, но есть что сказать. Наблюдения саккумулированы не за один день, и не от одного представителя отрасли. На момент четвертого квартала прошлого года было примерно следующее:

      • ИКТ в энергетике — по-прежнему считались суперсистемой, для которой параметры надежности имеют более высокий приоритет, чем характеристики простоты.

        Как и в любой суперсистеме резервирование элементов реализовано практически на всех уровнях эксплуатации. Однако элементом по-прежнему считается объект физической реальности, а не алгоритм, практика, технология.

        Автоматизация процессов за прошедшие 5-6 лет ушла далеко вперед. Конечно, еще не появились безоператорские подстанции, но программных реализаций по мониторингу, диспетчеризации и централизованному управлению уже довольно много. В некоторых инфраструктурах такие реализации работают в виртуальных машинах, что постепенно становится корпоративным стандартом.

        В отличии от «нефтяных» систем, энергетические ИКТ в силу высокой распределенности практически невозможно использовать в режиме полной изоляции от публичных сетей. Точнее, возможно, но это был бы очень дорогой проект.

        Уходит в прошлое практика обсуждения системных изменений на технических комитетах, с участием специалистов разного уровня подчиненности. Все чаще решения по изменениям принимаются «в одну каску», часто человеком-временщиком с ролью «зиц-председатель Фунт». В случае кризисной ситуации такому «Фунту» в панамку напихивают все набитые шишки, с треском увольняют и через какое-то время он всплывает где-нибудь в фонде капитальных ремонтов.

        Взят централизованный курс на максимальную стандартизацию ПО и ИТ-оборудования, применение bestpractice по минимизации совокупной стоимости владения, что сказывается на параметрах надежности.


      • Рассмотрим два примера.

        Хороший пример. Стандартизация на уровне локального энергосбыта. Вместо зоопарка ПО используется закрытый перечень программных продуктов с SLA по оперативной и качественной поддержке, не требующей больших затрат и многранных компетенций. Стандартизированы рабочие станции, ноутбуки, серверы и активное сетевое оборудование. Наиболее «популярные» расходники: картриджи, накопители, блоки питания, аккумуляторы закуплены для хранения на складе и в случае необходимости замена выполняется практически день-в-день. Так в ИТ работает принцип just-in-time.

        Плохой пример. Стандартизация на уровне всей суперсистемы. Казалось бы хорошие практики надо масштабировать, но не в mission critical systems. Представим, что все ИТ-сервисы на всех площадках всегда консолидируются в стандартизированном гипервизоре. Надо понимать, что «рубильник» от этого гипервизора находится не только на каждой площадке и в «центре управления полетами», но и в центре раздачи обновлений. Не обязательно иметь злой умысел, у каждого производителя тиражного ПО бывает момент «все-то у нас через ass», и в результате такого момента, согласно регламенту, подписанному очередным Фунтом, на всех площадках накатываются «битые» обновления замечательного корпоративного гипервизора. Через какое-то время гипервизоры «немного устали». Последствия представляемы? Или, например, серверное оборудование. Можно десятикратно зарезервировать ИТ-сервисы, работающие на IBM, на других серверах IBM. Однако когда появляется «технология» внешнего управления серверами IBM, насколько оперативно получится обновить firmware на всех боевых и резервных серверах?

        Таким образом, на мой взгляд, главная текущая уязвимость ИКТ в электроэнергетике заключается в том, что навязывается централизованная унификация технологий. Я хорошо помню времена, когда в каждой межсетевой были свои порядки и «погремушки». А сейчас так все идет, что в скором будущем предполагается консолидировать закуп «правильных» «погремушек» и рассылать их для обязательного применения во всех подчиненных локациях. Не сказать, чтобы «галактика в опасности». Думаю у всех грамотных ребят есть план Б на случай длительного блэкаута, исключением могут быть разве что учреждения здравоохранения и коммунальные службы.

        P.s. Постарался максимально отключиться от конкретики (кроме почившего в бозе серверного бренда), потому как любые примеры — это работающие проекты, группы, люди, а люди в данной отрасли работают очень серьезные, далеко не во всех суперсистемах есть такая высокая концентрация спецов, умеющих работать и руками, и головой.

        p.s.s. Похожие процессы сейчас происходят и в атомной энергетике, но там реализация полной изоляции от «внешних факторов» намного лучше продумана и не так затратна.


  1. numberfive
    01.02.2016 12:23
    +2

    «Вероятность того, что в энергетических компаниях используется устаревшее ПО невелика»
    вероятность — 100%, а не «не велика»
    хотел бы я посмотреть на энергокомпанию, в которой для винтел решений выдерживается срок в пределах месяца для установки обновлений.


    1. artemlight
      01.02.2016 16:20

      У нас в военкоматах ломаный офис вовсю, а тут — энергокомпании.


  1. Frankenstine
    01.02.2016 15:31

    Последняя версия этого ПО распространяется вместе с Microsoft Office

    Вероятно, вы хотели сказать «в файлах формата Microsoft Office», так как у меня сильные сомнения, что это вредоносное ПО включено в инсталляторы MSO :)