2015-ųjų metų gruodžio mėnesį vykusios kibernetinės atakos prieš elektros energiją tiekiančias įmones Ukrainoje yra susijusios su kibernetiniais išpuoliais prieš Ukrainos žiniasklaidos organizacijas ir yra nukreiptos prieš Ukrainos valstybines institucijas. Analizuojant atakų metu naudotą KillDisk kenkėją išaiškinta, jog jis turi papildomų funkcijų – siekia gadinti pramoninius įrenginius ir sistemas. Tokias išvadas pateikė saugumo kompanijos ESET specialistai po specialaus tyrimo. 2015 metų gruodžio 23 d. maždaug pusė namų, apie 700 tūkstančių žmonių Ivano-Frankivsk Ukrainos regione keletą valandų liko be elektros. ESET tyrėjai nustatė, kad šis elektros energijos dingimas, apie kurį pirmiausia pranešė Ukrainos žiniasklaidos priemonė TSN, nebuvo vienetinis atvejis. Pranešama, kad tuo pat metu kibernetiniai sukčiai buvo nusitaikę ir į kitas elektros energijos gamybos ir perdavimo įmones Ukrainoje. Pasak ESET tyrėjų, kibernetiniai užpuolikai pasinaudojo BlackEnergy pažeidžiamumu, kuris KillDisk virusui leido pakliūti į atakuojamus kompiuterius. Šie po atakos buvo sugadinti taip, kad daugiau nebeįkrovė operacinės sistemos. BlackEnergy užpakalinių durų (angl. backdoor) trojanas yra modulinė kenkėjiška programa, kuri gali atsisiųsti įvairius komponentus, reikalingus atlikti tam tikroms užduotims. 2014 metais šis kenkėjas šnipinėjimo tikslais buvo naudojamas daugkartinėms atakoms prieš svarbias verslo ir valstybines įmones Ukrainoje. Neseniai vykusiose atakose prieš elektros energiją tiekiančias įmones, destruktyvus KillDisk trojanas buvo atsisiųstas ir paleistas sistemose, kurios anksčiau buvo apkrėstos BlackEnergy trojanu. Pirmą kartą ryšį tarp BlackEnergy trojano ir KillDisk viruso 2015 metų lapkričio mėnesį įvardino Ukrainos kibernetinio saugumo agentūra CERT-UA. Pranešime buvo teigiama, jog kai kurios Ukrainos žiniasklaidos priemonės buvo atakuojamos 2015-ųjų metų Ukrainos rinkimų metu. Ataskaitoje minima, kad atakų metu virusas sunaikino daugybę įvairių dokumentų bei vaizdo medžiagos. Tyrėjai praneša, kad KillDisk kenkėjas, neseniai atakavęs Ukrainoje elektros energiją tiekiančias įmones, turėjo ir papildomą funkcionalumą. Be to, kad galėjo ištrinti sisteminius failus, būtinus operacinės sistemos įkrovai – toks funkcionalumas yra tipinis panašiems destruktyviems trojanams – šis kenkėjas turėjo kodą, skirtą gadinti būtent pramoninius įrenginius bei sistemas.
„Įskaitant įprastą KillDisk funkcionalumą, jis taip pat bandytų nutraukti procesus, kurie dažniausiai naudojami industrinių kontrolės sistemų platformose“, – aiškina ESET kenkėjiškų programų tyrėjas Anton Cherepanov.
Jei šie procesai randami atakuojamoje sistemoje, trojanas juos ne tik sustabdo, tačiau ir kietajame diske perrašo atitinkamą sistemos vykdomąjį failą su pašaliniais duomenimis tam, kad sistemą būtų žymiai sunkiau atstatyti.
„Mūsų atliktas tyrimas apie KillDisk kenkėją, kuris aptiktas keliose elektros tiekimą vykdančiose įmonėse Ukrainoje, rodo, jog tuo pačiu įrankių komplektu buvo pasinaudota ir atakuojant žiniasklaidos organizacijas praėjusiųjų 2015-ųjų metų lapkritį“, – apibendrina A. Cherepanov.
Daugiau informacijos apie atakas prieš Ukrainos energiją tiekiančias kompanijas ir BlackEnergy/KillDisk kenkėjus rasite čia. Primename, kad 2014 metais rugsėjo mėnesį ESET jau buvo pateikęs BlackEnergy kenkėjo analizę, kuomet nuo trojano nukentėjo didelis žmonių skaičius Ukrainoje ir Lenkijoje. Šis kenkėjas yra nuolat stebimas ESET tyrimų komandos.