The cybersattacks ενάντια σε εταιρίες παροχής ηλεκτρικής ενέργειας στην Ουκρανία το Δεκέμβριο 2015 συνδέονται με επιθέσεις σε μέσα ενημέρωσης και στοχευμένη κυβερνο-κατασκοπεία ενάντια σε Ουκρανικές κυβερνητικές services. Αναλύοντας το κακόβουλο λογισμικό των επιθέσεων αυτών, KillDisk, οι ερευνητές της ESET διαπίστωσαν ότι η νέα παραλλαγή του συγκεκριμένου malware, περιλαμβάνει κάποια πρόσθετη λειτουργία με στόχο να σαμποτάρει βιομηχανικά συστήματα.
Στις 23 Δεκεμβρίου 2015, τα μισά σπίτια της περιοχής Ivano-Frankivsk στην Ουκρανία, έμειναν χωρίς ηλεκτρικό ρεύμα για αρκετές ώρες, επηρεάζοντας περίπου 700 χιλιάδες ανθρώπους. Οι ερευνητές της ESET ανακάλυψαν ότι η vacation ρεύματος – την οποία μετέδωσε πρώτο από όλα τα ουκρανικά μέσα μαζικής ενημέρωσης το TSN – δεν ήταν ένα μεμονωμένο περιστατικό, καθώς και άλλοι πάροχοι ηλεκτρικής ενέργειας στην Ουκρανία είχαν αποτελέσει ταυτόχρονα στόχο κυβερνο-εγκληματιών.
Σύμφωνα με τους ερευνητές της ESET, οι επιτιθέμενοι χρησιμοποίησαν το backdoor του BlackEnergy για να εμφυτέψουν ένα στοιχείο του KillDisk στους υπολογιστές που στόχευαν, για να καταστήσουν αδύνατη τη λειτουργία της επανεκκίνησης.
The backdoor trojan BlackEnergy has a modular structure and includes several items downloaded to perform specific tasks. 2014 was used in a series of cyber spying attacks against high-profile targets in Ukraine that were related to the government. In recent attacks against power companies, a destructive KillDisk trojan was downloaded and executed on systems already infected with the BlackEnergy trojan.
The first known relationship between BlackEnergy and KillDisk was reported by the Ukrainian Cyber Security Agency, CERT-UA, in November of 2015. In this case, a number of media companies were attacked during the local Ukrainian elections of 2015. The report claims that, due to the attack, a large number of videos and various documents have been destroyed.
The KillDisk variant, used in recent attacks on Ukrainian power companies, also contained some additional functionality. In addition to being able to delete system files to prevent a system reboot - a typical function of such malicious trojans - this variant contained code specifically designed to sabotage industrial systems.
"In addition to its routine operation, KillDisk will also try to terminate processes that traditionally belong to a platform commonly used in industrial control systems," explains Anton Cherepanov, malware researcher at ESET.
If these processes are detected in the system, the trojan will not only end them, but it will also replace their executable hard disk file with random data in order to make it even more difficult to restore the system.
"According to the analysis we have carried out in the destructive malware KillDisk that has been detected in several electricity companies in Ukraine, the same set of tools successfully used in the attacks against the Ukrainian media in November of 2015 is theoretically capable of stopping operation of critical systems, "concludes Cherepanov.
For more information about the attack on Ukrainian electricity providers and about the BlackEnergy/KillDisk malware, please visit the blog WeLiveSecurity from ESET.
