{"id":164967,"date":"2016-01-21T16:27:40","date_gmt":"2016-01-21T15:27:40","guid":{"rendered":"https:\/\/mediarun.com\/pl\/?p=164967"},"modified":"2016-01-21T16:28:49","modified_gmt":"2016-01-21T15:28:49","slug":"hakerzy-znowu-atakuja-ukrainskie-elektrownie","status":"publish","type":"post","link":"https:\/\/mediarun.com\/pl\/wydarzenia\/hakerzy-znowu-atakuja-ukrainskie-elektrownie.html","title":{"rendered":"Hakerzy znowu atakuj\u0105 ukrai\u0144skie elektrownie"},"content":{"rendered":"

Pod koniec grudnia hakerzy zaatakowali kilka ukrai\u0144skich zak\u0142ad\u00f3w energetycznych, w wyniku czego prawie milion mieszka\u0144c\u00f3w Ukrainy zosta\u0142o pozbawionych dost\u0119pu do energii elektrycznej. Teraz hakerzy zaatakowali ponownie. Eksperci z firmy ESET zidentyfikowali w\u0142a\u015bnie now\u0105 fal\u0119 atak\u00f3w ukierunkowanych na ukrai\u0144skie firmy energetyczne. Mo\u017cna by pomy\u015ble\u0107, \u017ce najnowszy atak jest powi\u0105zany z poprzednim. Szczeg\u00f3lnie dlatego, \u017ce cyberprzest\u0119pcy w obu przypadkach inicjowali infekcj\u0119 poprzez wiadomo\u015bci mailowe i z\u0142o\u015bliwe makra ukryte w za\u0142\u0105czanych plikach pakietu Office. To, co odr\u00f3\u017cnia oba ataki, to zagro\u017cenie pobierane na komputer ofiary przez wspomniane makra. Analitycy podkre\u015blaj\u0105, \u017ce wykryte przez nich w najnowszym ataku zagro\u017cenie oczekuje na komplet instrukcji dzia\u0142ania od atakuj\u0105cych. <\/b><\/span><\/span><\/p>\n

Pod koniec grudnia ukrai\u0144skie przedsi\u0119biorstwa energetyczne pad\u0142y ofiar\u0105 ataku cybernetycznego, kt\u00f3rego efektem by\u0142a kilkugodzinna przerwa w dostawach pr\u0105du do ukrai\u0144skich mieszka\u0144. Na pocz\u0105tku stycznia eksperci z firmy antywirusowej ESET poinformowali, \u017ce wspomniana przerwa w dostawie pr\u0105du by\u0142a prawdopodobnie skutkiem dzia\u0142ania zagro\u017ce\u0144 BlackEnergy i KillDisk, jakimi atakuj\u0105cy zainfekowali komputery pracownik\u00f3w jednego z lokalnych dostawc\u00f3w energii.<\/span><\/span><\/p>\n

Scenariusz najnowszego ataku na przedsi\u0119biorstwa energetyczne na Ukrainie, zidentyfikowanego przez ekspert\u00f3w z firmy ESET 19 stycznia br., nie zmieni\u0142 si\u0119 znacznie od tego grudniowego, o kt\u00f3rym g\u0142o\u015bno zrobi\u0142o si\u0119 na pocz\u0105tku stycznia. Podobnie jak wtedy i tym razem cyberprzest\u0119pcy wys\u0142ali wiadomo\u015bci, kt\u00f3re poprzez socjotechniczne sztuczki przekonywa\u0142y odbiorc\u00f3w \u2013 pracownik\u00f3w ukrai\u0144skich przedsi\u0119biorstw energetycznych \u2013 do otwarcia za\u0142\u0105czonego pliku o rozszerzeniu .xls. Opr\u00f3cz za\u0142\u0105cznika, w tre\u015bci wiadomo\u015bci znajdowa\u0142 si\u0119 tak\u017ce link do pliku graficznego .png, dzi\u0119ki kt\u00f3remu atakuj\u0105cy zyskali dok\u0142adn\u0105 statystyk\u0119 skuteczno\u015bci ataku (ka\u017cdy pobrany z serwera obrazek odpowiada jednemu otwarciu maila z pu\u0142apk\u0105).
\n
\nMail wysy\u0142any do ukrai\u0144skich elektrowni 19 stycznia 2016 roku<\/strong><\/span>.
\n\"Mail<\/a><\/p>\n

<\/span><\/span><\/p>\n

Rdzeniem ataku by\u0142y z\u0142o\u015bliwe makra ukryte w dokumentach Office za\u0142\u0105czonych do wiadomo\u015bci e-mail. Atakuj\u0105cy, przy pomocy socjotechnicznych sztuczek nak\u0142aniali swoje ofiary do otwarcia wspomnianych za\u0142\u0105cznik\u00f3w oraz do zignorowania wbudowanego systemu ostrzegania przed zagro\u017ceniami (<\/span><\/span>Microsoft Office Security Warning)<\/span><\/span>. Po uruchomieniu dodanego do wiadomo\u015bci pliku u\u017cytkownikowi wy\u015bwietlany by\u0142 nast\u0119puj\u0105cy komunikat (t\u0142umaczenie oryginalnej tre\u015bci): \u201eUwaga! Niniejszy dokument zosta\u0142 utworzony w nowszej wersji pakietu Microsoft Office. Makra s\u0105 potrzebne, aby wy\u015bwietli\u0107 zawarto\u015b\u0107 dokumentu\u201d. Po w\u0142\u0105czeniu makr automatycznie uruchamia\u0142 si\u0119 trojan, kt\u00f3ry pobiera\u0142 kolejne z\u0142o\u015bliwe pliki ze zdalnego serwera cyberprzest\u0119pcy. W tym ataku nie wykorzystano zagro\u017cenia BlackEnergy, odpowiedzialnego prawdopodobnie za przerwanie dostaw energii elektrycznej do gospodarstw w ukrai\u0144skim obwodzie iwanofrankiwskim. Tym razem na komputerze pracownik\u00f3w przedsi\u0119biorstw energetycznych zosta\u0142a zainstalowana zmodyfikowana wersja bezp\u0142atnego backdoora o nazwe gcat. Backdoor ten umo\u017cliwia atakuj\u0105cemu zlecenie pobrania z sieci kolejnych plik\u00f3w, ich uruchomienie i wykonanie dowolnej komendy wiersza polece\u0144. Backdoor jest kontrolowany przez cyberprzest\u0119pc\u00f3w poprzez konta Gmail. W opinii ekspert\u00f3w z firmy ESET to dodatkowo zabezpiecza i utrudnia identyfikacj\u0119 ataku w zaatakowanej sieci. <\/span><\/span><\/p>\n

Najwa\u017cniejsze media w kraju i na \u015bwiecie przypisywa\u0142y autorstwo poprzedniego ataku grupom haker\u00f3w dzia\u0142aj\u0105cych na zlecenie Rosji. Obecnie nie ma jednoznacznych wskaz\u00f3wek, kt\u00f3re mog\u0142yby zidentyfikowa\u0107, kto stoi za najnowszymi atakami. Pr\u00f3ba przypisania odpowiedzialno\u015bci za ten atak mo\u017ce opiera\u0107 si\u0119 wy\u0142\u0105cznie na aktualnej sytuacji geopolitycznej. <\/span><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"Pod koniec grudnia hakerzy zaatakowali kilka ukrai\u0144skich zak\u0142ad\u00f3w energetycznych, w wyniku czego prawie milion mieszka\u0144c\u00f3w Ukrainy zosta\u0142o pozbawionych…","protected":false},"author":17,"featured_media":162583,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"csco_display_header_overlay":false,"csco_singular_sidebar":"","csco_page_header_type":"","csco_page_load_nextpost":"","csco_post_video_location":[],"csco_post_video_location_hash":"","csco_post_video_url":"","csco_post_video_bg_start_time":0,"csco_post_video_bg_end_time":0,"footnotes":""},"categories":[46],"tags":[8226,8227,8466,9308,9309],"class_list":{"0":"post-164967","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wydarzenia","8":"tag-cyberprzestepcy","9":"tag-haker","10":"tag-hakerzy","11":"tag-ukraina","12":"tag-ukrainskie-elektrownie","13":"cs-entry","14":"cs-video-wrap"},"_links":{"self":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/posts\/164967","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/comments?post=164967"}],"version-history":[{"count":0,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/posts\/164967\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/media\/162583"}],"wp:attachment":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/media?parent=164967"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/categories?post=164967"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/tags?post=164967"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}