**[En](https://cys-centrum.com/ru/lang/en)** **[Ru](https://cys-centrum.com/ru/lang/ru)** **Благодаря бдящему международному InfoSec сообществу, вопреки упрямой индифферентности** **самих атакованных украинских организаций, видимо, яро пекущихся о репутации, история с** **BlackEnergy2/3 набирает обороты. Не испугавшись анонсированных украинским правительством** **устрашающих** **намерений** **создать** **перечень** **объектов** **критической** **информационной** **инфраструктуры, да что там перечень – правила отнесения организаций к перечню объектов** **критической информационной инфраструктуры, а также – вот уже почти-почти (уже как лет 5)** **изданного** **Закона** **Украины** **«Об** **обеспечении** **кибербезопасности** **Украины»,** **дерзкие** **злоумышленники таки покусились на энергетические предприятия нашей страны и, не много не** **мало, доказали возможность выведения из строя автоматизированных систем управления** **технологическими процессами, в нашем случае – электрических подстанций. Эта атака, если не** **брать во внимание скептицизм в отношении возможности взлома отечественных SCADA-систем** **(«что там ломать?»), привела к реальным последствиям, сказавшимся непосредственно на** **гражданах Украины.** **Если бы не приданные публичности исследования компании ESET [1][2][3], а также заметки** **иностранных новостных СМИ [4][5][6], самая выдающаяся отечественная «кибер-история» конца** **2015 года так бы и канула в лету.** **Учитывая недостаток пригодного для восприятия среднестатистическим украинцем новостного** **материала, мы также решили внести лепту в правое дело и опубликовать результаты исследования** **украинской компании CyS Centrum в отношении направленных на Украину кибер-атак.** **Не вдаваясь в технические подробности и, прекрасно осознавая наличие множества материалов в** **иностранных СМИ, мы сделаем краткий обзор атак, ассоциированных с вредоносной программой** **BlackEnergy2/3. К слову говоря, хоть и шутя, отметим, что атаки на энергетический сектор наконец-** **то оправдали название вредоносной программы, содержащей слово «Energy».** **Итак, по порядку.** **12 мая 2014 года (понедельник) выявлены подозрительные, хотя и весьма грубые, попытки** **доставить посредством электронной почты ряду украинских предприятий** **относящихся к сфере** ----- **измененной по подобию MS Office Word иконкой, всё же заражения избежать не удалось. По всей** **вероятности на то время злоумышленнику было достаточно подделать адрес отправителя, сделать** **тему и тело письма поправдоподобнее, а также добавить в структуру исполняемого файла документ-** **приманку. Примеры таргетированного письма и документа-приманки отображены на рис. 1-2. Не** **смотря на то, что эта первая кибер-кампания была направлена на все шесть железных дорог,** **относящихся** **к** **сфере** **управления** **«Укрзалізниці»** **(Государственной** **администрации** **железнодорожного транспорта Украины), среди «счастливых» получателей письма с вредоносным** **вложением было, к примеру, Прикарпатьеоблэнерго, которое 23 декабря 2015 года (!) абсолютно** **честно известило общественность о проведенной на предприятие атаке [7]. Это позволяет сделать** **предположение, что уже в мае 2014 года, больше чем за полтора года до «декабрьских событий» с** **украинскими облэнерго, вредоносную программу BlackEnergy2/3 доставляли (пытались доставить) на** **атакуемый энергетический объект.** **Рис. 1** ----- **Рис. 2** **Следует также отметить, что незамысловатый вредоносный файл, которым начали атаки в мае 2014** **года, после его запуска устанавливал в атакуемой системе вредоносную программу BlackEnergy3 –** **облегченную «Lite» версию BlackEnergy способную, среди прочего, собрать информацию об** **атакуемом объекте для последующего развития атаки. Забегая наперед, отметим, что такой** **разведывательно-поступательный подход как раз и может объяснять тот факт, что BlackEnergy2,** **тот, что kernel-mode, то бишь исполняемый в виде вредоносного драйвера, заранее (!) содержал в** **своем** **конфигурационном** **файле** **перечень** **прокси-серверов,** **локально** **используемых** **в** **корпоративных вычислительных сетях атакуемых объектов.** **_Особенно обеспокоенным и ответственным системным администраторам, счастливым_** **_обладателям прокси-серверов в своих компьютерных сетях, рекомендуем проверить файлы_** **_регистрации событий на предмет содержания в них HTTP-запросов, содержащих следующие_** **_индикаторы компрометации (по IP-адресу или URI):_** **_hxxp://95.211.122.36/update/cache.php_** **_Кроме того, мы также рекомендуем проверить логи серверов электронной почты. В качестве_** **_индикатора можно использовать данные следующей строки из заголовоков электронного_** **_сообщения:_** **Received: from geodac.di.ubi.pt (geodac.di.ubi.pt [193.136.66.3])** **_П_** **_й_** **Received: from geodac.di.ubi.pt (geodac.di.ubi.pt [193.136.66.3])** ----- **К слову говоря, мы оказывали помощь двум пострадавшим на то время организациям. Отметим, что** **в результате проникновения, группировка злоумышленников, как правило, получает доступ ко всему** **серверному и активному сетевому оборудованию, в последствии выводя его из строя. В одной из** **организаций, потерпевшей «крушение», как раз и были обнаружены скрипты, в коде которых** **атакующие оставили послания Лаборатории Касперского и компании Cisco (указанный рисунок (Рис.** **[9) доступен здесь). Правда, одному из атакованных предприятий посчастливилось иметь очень](https://cys-centrum.com/ru/news/uisgcon11_2015)** **опытного и ответственного сотрудника, усилия которого позволили побороть угрозу и не допустить** **разрушений.** **Так закончилась (или началась) история с «майским» (2014 года) BlackEnergy2/3.** **Уже летом, примерно 13 августа 2014 года волна атак с применением BlackEnergy2/3 обрушилась** **снова. В этот раз они удивили всех, так как присылаемый по электронной почте вредоносный файл** **MS Office Power Point содержал 0-day эксплойт. На момент атаки, а также целых два месяца после** **нее, вредоносный файл с эксплойтом не детектировался ни одни из представленных на VirusTotal** **антивирусов. Позднее, после «responsible disclosure» 0-day уязвимости был присвоен идентификатор** **– CVE-2014-4114.** **Вредоносное электронное письмо как всегда содержало очень релевантный, внушающий доверие** **текст и документ приманку. Примеры (хоть и не впервой) отображены на рис. 3-5.** **Рис. 3** ----- **Рис.4** **Рис. 5** **Как и прежде, в результате эксплуатации уязвимости вредоносная программа BlackEnergy3** **устанавливалась на компьютер, что, в последствии, влекло за собой установку вредоносных** **драйверов BlackEnergy2. В данном случае вредоносная нагрузка, после эксплуатации уязвимости,** ----- **Рис. 6** **При анализе одного из таких таргетированных писем в замешательство приводит тот факт, что** **жертвами рассылки, среди прочих, были несколько областных государственных администрации** **Украины и архивно-исторические организации. Известный нам перечень атакованных во время** **второй кибер-кампании объектов отображен ниже:** **Electronic Resource Preservation and Access Network** **Department of History, Michigan State University** **Digital Preservation Europe** **Germans from Russia Heritage Collection** **Тернопільська облдержадміністрація** **Закарпатська облдержадміністрація** **Дніпропетровська облдержадміністрація** **Миколаївська облдержадміністрація** **Державний архів Чернівецької області** **Центральний державний кінофотофоноархів України імені Г. С. Пшеничного** **Центр по проблемам информатизации сферы культуры Министерства культуры Российской** **Федерации** **Генеалогическое агентство Литера ру** **На данном этапе описание атаки, проводимой в августе 2014 года, окончим. Все, относящиеся к делу** **индикаторы компрометации буду приведены ниже.** **В начале марта 2015 года были получены сведения о проведении атаки с применением вредоносной** **программы BlackEnergy2/3 в отношении радиовещательных компаний Украины. Отличительной** **особенность являлось то, что присылаемые по электронной почте вредоносные документы (.xls и** **.pps) содержали макрос и JAR-файл, соответственно, который в свою очередь запускал PE-файл.** **Тематика документов-приманок была посвящена, в т.ч., революционным событиям и мобилизации.** **Пример одного из таких писем и документов отображен на рис. 7-9.** ----- **Рис. 7** **Рис. 8** ----- **Рис. 9** **_Помимо индикаторов, которые характеризуют инфраструктуру бот-сети (о них написано в_** **_конце статьи), доступны также данные из заголовков электронного письма, которым_** **_атаковали радиовещательные компании:_** **Received: from Unknown (mx01.24x7h.com [213.152.168.4])** **by mx01.24x7h.com (Postfix) with SMTP id 2445F6D7BEB;** **Wed, 13 Aug 2014 07:40:38 +0200 (CEST)** **Received: from svoboda.org.ua (port=80 helo=svoboda.org.ua)** **by svoboda.org.ua [193.136.66.3] with esmtp (envelope-from )** **_Очень интересно, что в этих заголовках также фигурирует "португальский" IP-адрес_** **_193.136.66.3. Что бы не приходило на ум глядя на эти заголовки, данные Passive DNS_** **_свидетельствуют о том, что домены svoboda.org.ua и vosvoboda.info в обозримом прошлом не_** **_ассоциировались с указанным IP-адресом._** **Уже в конце марта 2015 года были зафиксированы две вредоносные рассылки (с одинаковым** **вредоносным файлом, рис. 10).** **Received: from Unknown (mx01.24x7h.com [213.152.168.4])** **by mx01.24x7h.com (Postfix) with SMTP id 2445F6D7BEB;** **Wed, 13 Aug 2014 07:40:38 +0200 (CEST)** **Received: from svoboda.org.ua (port=80 helo=svoboda.org.ua)** **by svoboda.org.ua [193.136.66.3] with esmtp (envelope-from )** ----- **Рис. 10** **Одна рассылка – в адрес государственного учреждения Украины, занимающегося архивно-** **библиотечной деятельностью (объект атаки очень похож на те, что были атакованы в августе 2014** **года с применением 0day эксплойта). Вторым объектом атаки стало одно из облэнерго, находящееся** **в западной части Украины. Характер и масштабы поражений, а также образцы выявленных** **вредоносных программ, позволили с уверенность сказать, что данная кибер-атака была реализована** **с применением вредоносной программы BlackEnergy2/3.** **_Электронные письма конца марта 2015 года содержали несколько иные сетевые_** **_идентификаторы в заголовках. Для полноты картины приводим соответствующую строчку из_** **_письма про мобилизацию с одним вредоносным вложением "Додаток1.xls"_** **Received: from mx1-mail.com (mx1-mail.com [5.149.248.67])** **Вместе с тем, следует отметить и такой немаловажный факт. В результате совместных** **мероприятий,** **проведенных** **с** **ответственным** **сотрудником** **атакованного** **облэнерго,** **было** **установлено, что параллельным вектором атаки на ИТ-инфраструктуру предприятия был** **непосредственный взлом компьютерной сети, а именно – веб-сервера, имеющего как доступ в** **Интернет, так и доступ к определенному сегменту внутренней сети организации. Он (веб-сервер) как** **раз и был «мостиком», с помощью которого атакующие проникали извне в корпоративную сеть. На** **этом этапе, в результате проведения компьютерно-технических исследований, также был выявлен** **некоторый инструментарий, применяемый злоумышленниками в процессе осуществления атаки, а** **именно:** **reDuh – для туннелирования TCP через HTTP-запросы, бэкдор; позволяет получать доступ ко** **внутренним объектам сети извне [10].** **weevely3 – веб-шелл для командной строки, бэкдор; позволяет получать доступ ко внутренним** **объектам сети извне [11].** **dropbear – специальная версия SSH-сервера; открывает сокет и позволяет подключаться удаленно** **с использованием «вшитого» пароля или ключа бэкдор [12]** **Received: from mx1-mail.com (mx1-mail.com [5.149.248.67])** ----- **[12].** **Благодаря еще одному ответственному Сотруднику обсуждаемого облэнерго в этой области** **население было спасено от отключения электричества и связанных с этим отрицательных** **последствий. Скажем все спасибо Герою.** **Следующая по списку атака была приурочена очередным украинским выборам – 25 октября 2015** **года. Точнее говоря – это был апогей атаки. По имеющимся данным мы с большой долей** **вероятности можем сказать, что на компьютерах и серверах ряда телевизионных каналов Украины** **вредоносное программное обеспечение BlackEnergy2/3 было уже в конце мая 2015 года. К** **сожалению, на данный момент мы не располагаем соответствующим таргетированным письмом,** **направленным на телевизионные СМИ Украины, поэтому не можем подсказать атакованным** **объектам, к поиску какого вредоносного письма им обратиться. Может даже быть так, что** **телевизионные СМИ «зацепила» рассылка от конца марта 2015 года с применением писем такой же** **тематики. Учитывая данные, изложенные в статье [14], а также новость [15] и исследование** **компании ESET [1], можем предположить, что атаке злоумышленников в канун украинских выборов** **25.10.2015 могли быть подвержены:** **ТРК Україна (11131526trk)** **СТБ (2015stb)** **Как правило, в результате атаки злоумышленники уничтожали видеоматериалы, серверное** **оборудование и, в конечном счете, с помощью «программ-разрушителей» выводили из строя** **функционально значимые компьютеры (например, рабочие места операторов).** **Ставя жирную точку в атаках на информационные системы Украины в 2015 году, 23 декабря 2015** **года впервые в истории Украины в результате предшествующей компьютерной атаки были** **выведены из строя автоматизированные системы управления технологическими процессам –** **электрическими подстанциями, что привело к обесточивания на 3-8 часов десятков тысяч** **украинских граждан. Официально о произошедшем сообщили аж два предприятия – Киевоблэнерго** **[16] и Прикарпатьеоблэнерго [7]. Другие предприятия энергетической отрасли, среди которых могут** **быть соответствующие компании в Черновцах, Львове, Житомире, Харькове и других городах** **Украины, никаких заявлений не делали. Как и при проведении других атак, помимо самой** **вредоносной программы BlackEnergy2/3, в данном случае также злоумышленники применили** **«программу-разрушитель» для сокрытия следов противоправной деятельности путем уничтожения** **информации на средствах вычислительной техники. Данная программа отличалась от той, которую** **применяли против телевизионных СМИ, так как имела, среди прочего, функционал «таймера» и** **завершала работу двух конкретных процессов «sec_service.exe» и «komut.exe». До сих пор** **исследователи путаются в догадках того, были ли подстанции отключены автоматически** **специальной программой или это было сделано удаленно. Вместе с тем, факт наличия доступа к** **тому сегменту сети (компьютеру), с которого возможен доступ к интерфейсу управления SCADA-** **системами, будь-то посредством RDP/VNC/SSH и т.п., сам по себе является устрашающим.** **Хотелось бы отметить, что есть основания полагать, что атаке также были подвержены:** **Аэропорт «Борисполь» (11131526kbp)** **«Международные авиалинии Украины» (обнаружен драйвер BlackEnergy2)** ----- **быть трактованы следующим образом:** **2015en – компании энергетической сферы** **2015ts – компании транспортной сферы** **khm10 – областная энергетическая компания** **khelm – областная энергетическая компания** **brd2015 – Бердянська міська рада** **kiev_o – Киевоблэнерго** **_Небольшой перечень сетевых индикаторов компрометации приведен ниже. Рекомендуем, в_** **_первую очередь всем упомянутым в статье объектам атаки, а во-вторую – всем остальным, не_** **_пренебречь возможностью и проверить лог-файлы и информационные потоки на предмет_** **_наличия/отсутствия в них свидетельств сетевого взаимодействия с использованием_** **_указанных индикаторов:_** **_hxxps://5.9.32.230/Microsoft/Update/KS1945777.php_** **_hxxps://31.210.111.154/Microsoft/Update/KS081274.php_** **_hxxps://88.198.25.92/fHKfvEhleQ/maincraft/derstatus.php_** **_hxxps://146.0.74.7/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php_** **_hxxps://188.40.8.72/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php_** **_hxxps://5.149.254.114/Microsoft/Update/KC074913.php_** **_hxxps://148.251.82.21/Microsoft/Update/KS4567890.php_** **_hxxp://41.77.136.250/Microsoft/Update/KS081274.php_** **_Будет не лишним проверить наличие определенных файлов, содержащих в зашифрованном_** **_виде плагины BlackEnergy2:_** **_%WINDIR%\system32\ieapflrt.dat_** **_Больше индикаторов вы можете почерпнуть тут [17] и тут [18]._** **Заключение.** **По большому счету не важно, кто стоит за этими атаками, поэтому мы не прибегаем к их атрибуции** **кому-либо. Противостояния в мире не избежать никак и, уж тем более, всех причинно-следственных** **связей не установить. Более того, продемонстрированные в последние полтора года методы** **констатации фактов, «висловлення занепокоєнь», «різких засуджень», «обурень», «публичных** **порицаний», атрибуций, обличений и т.п. – вряд ли помогли бы предотвратить отключение** **электричества или срабатывание 0day эксплойта. Гораздо важнее вынести из всего этого уроки, как** **атакованным объектам, которым следовало больше переживать о благосостоянии граждан, нежели** **о репутации, так и правительству с их «долгостроями» в виде профильных законов, перечнями** **критических объектов и т.п. Пора бы начать обмениваться информацией, прислушиваться к** **рекомендациям (которые были и в этот раз, задолго до 23 декабря!) и начать, хотя бы, учиться на** **своих ошибках, покончив с ролью «опытного полигона» для всего остального мира.** ----- **Использованные материалы:** **[1] http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-** **news-media-electric-industry/** **[2] http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-** **power-industry/** **[[3] http://habrahabr.ru/company/eset/blog/274469/](http://habrahabr.ru/company/eset/blog/274469/)** **[[4] http://www.forbes.com/sites/thomasbrewster/2016/01/04/ukraine-power-out-cyber-attack/](http://www.forbes.com/sites/thomasbrewster/2016/01/04/ukraine-power-out-cyber-attack/)** **[5]** **[http://www.theregister.co.uk/2016/01/04/blackenergy_drains_files_from_ukraine_media_energy_organisatio](http://www.theregister.co.uk/2016/01/04/blackenergy_drains_files_from_ukraine_media_energy_organisations/)** **[[6] http://www.reuters.com/article/us-ukraine-crisis-malware-idUSKBN0UI23S20160104](http://www.reuters.com/article/us-ukraine-crisis-malware-idUSKBN0UI23S20160104)** **[[7] http://www.oe.if.ua/showarticle.php?id=3413](http://www.oe.if.ua/showarticle.php?id=3413)** **[[8] http://www.isightpartners.com/2014/10/cve-2014-4114/](http://www.isightpartners.com/2014/10/cve-2014-4114/)** **[[9] http://habrahabr.ru/company/eset/blog/240345/](http://habrahabr.ru/company/eset/blog/240345/)** **[[10] https://github.com/sensepost/reDuh](https://github.com/sensepost/reDuh)** **[[11] https://github.com/epinna/weevely3](https://github.com/epinna/weevely3)** **[[12] https://matt.ucc.asn.au/dropbear/dropbear.html](https://matt.ucc.asn.au/dropbear/dropbear.html)** **[[13] https://github.com/hfiref0x/DSEFix](https://github.com/hfiref0x/DSEFix)** **[[14] http://lb.ua/news/2016/01/05/325082_eset_hakeri_zarazili_ukrainskie.html](http://lb.ua/news/2016/01/05/325082_eset_hakeri_zarazili_ukrainskie.html)** **[[15] https://golospravdy.com/xakery-vzlomali-vse-sajty-mediagruppy-inter/](https://golospravdy.com/xakery-vzlomali-vse-sajty-mediagruppy-inter/)** **[[16] http://www.koe.vsei.ua/koe/index.php?page=50&novost=208](http://www.koe.vsei.ua/koe/index.php?page=50&novost=208)** **[[17] https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/](https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/)** **[[18] https://www.youtube.com/watch?v=I77CGqQvPE4](https://www.youtube.com/watch?v=I77CGqQvPE4)** **06.01.2016** -----