Таке рішення прийнято за результатами аналізу інформації, отриманої внаслідок розслідування обставин несанкціонованого втручання в систему диспетчерського та технологічного управління електричними мережами трьох енергопостачальних компаній ОЕС України, яке призвело до втрати контролю над системами управління електромереж та збоїв в енергопостачанні.
Робоча група працювала з 18 січня 2016 року по 3 лютого 2016 року. За результатами розслідування, компрометація інформаційних мереж обленерго відбувалась як мінімум за 6 місяців до основних подій за допомогою методів соціальної інженерії – розсилкою підробних листів з тілом завантажувача вірусу сімейства BlackEnergy на електронні адреси співробітників компаній, які були у відкритому доступі у мережі Інтернет.
Після запуску вірусу зловмисники отримали можливість збирати інформацію про структуру інформаційних мереж, програмних засобів, що використовуються, інформацію про облікові записи віддаленого доступу до інфраструктури, паролі тощо.
Також доведено участь у кібератаці більше ніж однієї особи, оскільки дії зловмисників були скоординовані та спрямовані на інформаційну інфраструктуру одночасно трьох енергопостачальників – «Прикарпаттяобленерго», «Чернівціобленерго» та «Київобленерго». За інформацією одного з обленерго, підключення зловмисників до його інформаційних мереж відбувалося з підмереж глобальної мережі Internet, що належать провайдерам в Російській Федерації.
Загалом кібератака мала комплексний характер та складалась як мінімум з таких складових:
- попереднє зараження мереж за допомогою підроблених листів електронної пошти з використанням методів соціальної інженерії;
- захоплення управління АСДУ з виконанням операцій вимикань на підстанціях;
- виведення з ладу елементів ІТ інфраструктури (джерела безперебійного живлення, модеми, RTU, комутатори);
- знищення інформації на серверах та робочих станціях (утилітою KillDisk);
- атака на телефонні номери кол-центрів, з метою відмови в обслуговуванні знеструмлених абонентів.
Перерва в електропостачанні склала від 1 до 3,5 годин. Загальний недовідпуск – 73 МВт*год (0.015% від добового обсягу споживання України).
Зловмисники з використанням отриманого завчасно віддаленого доступу до адміністративних комп’ютерів АСДУ, що знаходились всередині корпоративних мереж обленерго, або безпосередньо до серверів АСДУ з використанням клієнтського програмного забезпечення АСДУ, виконали операції з управління вимикачами на розподільчих підстанціях, що призвело до короткотермінового відключення споживачів різних категорій.
Кібератака також супроводжувалась масованими дзвінками на номери колцентрів обленерго, з метою їх перевантаження, з номерів у Російській Федерації. Крім того, у результаті завчасно виконаних операцій із зараження частини серверів та робочих станцій, було виведено з ладу цілу низку серверів та робочих місць систем АСДУ обленерго, а також частину обладнання телекомунікаційної мережі.
Додатково зловмисники вимусили технічний персонал обленерго, з метою стабілізації ситуації з неконтрольованими відключеннями та взяття її під контроль, вивести АСДУ з роботи та перевести управління перемиканнями в розподільчих мережах у ручний режим.
За висновками робочої комісії, причинами несанкціонованого втручання стали відсутність загальних обов’язкових вимог до енергетичних компаній щодо забезпечення ІТ безпеки систем автоматизації виробництва, недостатня поінформованість та підготовка технічного персоналу в частині кібербезпеки, відсутність внутрішніх структур контролю з кібербезпеки, незалежних від системних адміністраторів, тощо.
Також Робоча група надала пропозиції щодо першочергових дій для унеможливлення надалі стороннього втручання в системи управління електромережами енергопостачальних компаній ОЕС України, серед яких інформування підприємства галузі про порядок взаємодії з підрозділом CERT-UA державної служби спеціального зв’язку та захисту інформації України у разі виявлення спроб втручання в роботу їх інформаційних систем сторонніх осіб, в тому числі спроб заражень шкідливим програмним забезпеченням Black Energy; перевірка актуальних та ліцензованих антивірусних програмних забезпечень усіх комп'ютерних засобів; обов’язкова ізоляція від мережі Internet серверів та робочих станцій промислових систем управління, включаючи станції, з яких виконуються функції по адмініструванню та підтримці цих систем; заміна всіх облікових записів користувачів та встановлення складних паролів; заборона на віддалений доступ з правом управління комплексом телемеханіки та інші.
Прес-центр 
