A few slides I've prepared for the panel discussion at IDC Security that I moderated.
https://www.facebook.com/events/1708172062785597/permalink/1718415485094588/
2. Участники дискуссии
• Алексей Томашук
• Заместитель начальника
службы ИТ по ИБ,
Международный
аэропорт «Борисполь»
• Александр Карпенко
• Заместитель начальника
САТиОДП АУ НЭК
«Укрэнерго»
• Алексей Ясинский
• Chief Information Security
Officer, StarLight Media
• Андрей Рыбальченко
• Директор по
исследованиям
Киевского отделения
ISACA
• Алексей Мисик
• Руководитель группы
быстрого реагирования
CERT-UA
• Александр Иллюша
• Руководитель службы
технической поддержки
ESET в Украине
4. Хронология событий
• 12 мая 2014 г.
• BlackEnergy – атака на предприятия
Укрзалізниці и…
Прикарпаттяобленерго. Почтовая
рассылка “Рекомендації з безпеки”
якобы от Министерства
промышленной политики.
• 13 августа 2014 г.
• BlackEnergy + 0-day в MS Office (CVE-
2014-4114) –атака на широкий
спектр адресатов: органы
государственной власти и другие
учреждения в Украине. Предлог:
письмо от Олега Тягнибока о
причастности ряда депутатов к
сотрудничеству с террористами.
• Март 2015 г.
• BlackEnergy – рассылка при помощи
макроса в MS Excel медиа
компаниям, государственным
учреждениям и одному из западных
облэнерго.
• 25 октября 2015 г.
• BlackEnergy – атака на СТБ и ТРК
“Украина”. Уничтожение
видеоматериалов, вывод из строя
рабочих мест операторов эфира.
• 23 декабря 2015 г.
• BlackEnergy – атака на Прикарпаття-
и Київ-обленерго (официально
сообщили об атаке). Вывод из строя
АСУТП электрических подстанций,
обесточивание значительной
территории на 3-8 часов.
Существенный урон компьютерной
технике жертв.
• 16 января 2016 г.
• Атака на АП Борисполь при помощи
BlackEnergy.
• 19-20 января 2016 г.
• Атака на энергетические объекты
при помощи Gcat.
https://www.cys-centrum.com/ru/news/black_energy_2_3
5. Аттрибуция: кто виноват?
• Sandworm Team – iSight
Parners (основываясь на
использовании CVE-2014-4114 0-day)
• «Російські спецслужби» –
Прес-центр СБУ
• Моя версия…
6. Тактика современной кибер-
атаки
1. Разведка (Intelligence Gathering)
• Сбор информации из открытых источников (OSINT)
• Общение с сотрудниками в свободной обстановке
2. Проработка предлога (Pretexting)
• Коллега по работе
• Клиент компании
• Бизнес-партнер
3. Подготовка технических средств
• Создание/клонирование веб-сайтов
• Создание и отлаживание «полезного груза» (payload:
Троянец, сборщик паролей, RAT)
• Настройка и запуск сервера управления (С&C)
4. Выполнение атаки
• Отправка зараженного email (Spear Phishing)
• Передача ссылки на веб-сайт по почте или в мгновенном
сообщении
• Выманивание информации по телефону или при личном
общении (Elicitation)
• Физическая доставка: на CD, флешке, бумажном флаере
или даже устно
http://www.zdnet.com/article/it-security-and-risk-management-an-overview/
8. Анатомия атаки
Sandworm vs укр. облэнерго
Действия хакера
1. Проводит разведку:
собирает адреса email,
изучает корпоративный
жаргон, ищет стили
оформления переписки
2. Готовит предлог: письмо от
Укрэнерго
3. Готовит полезный груз:
бекдор BlackEnergy или
GCat
4. Готовит сервер управления
5. Отправляет email жертвам
https://www.virustotal.com/en/file/052ebc9a518e5ae02bbd1bd3a5a86c3560aefc9313c18d81f6670c3430f1d4d4/analysis/
9. Анатомия атаки
Sandworm vs укр. облэнерго
Действия жертвы
1. Получает эл. письмо
вполне легитимного
содержания
2. Запускает вложение,
подчиняясь
инструкции в письме
3. Одобряет
выполнение
макросов в Excel,
получив этому
логичное пояснение
Почему это сработало?
1. Блестящая подготовка
хакером предлога, текста
письма и вложения
2. Доверие и подчинение
авторитету регулятора
отрасли со стороны жертвы
(«родители плохого не
посоветуют»)
3. Отвлечение внимания ИТ-
подразделения: атака
сопровождалась диверсией
– телефоны облэнерго
постоянно звонили
10. Анатомия атаки
Sandworm vs укр. облэнерго
Действия хакера
6. Получает удаленный
доступ к компьютеру
жертвы
7. Собирает информацию,
повышает привилегии
8. Продолжает атаку по
корпоративной сети,
получает контроль над
другими компьютерами
9. Наносит урон
10.Заметает следы
http://news.finance.ua/ua/news/-/366136/hakery-atakuvaly-prykarpattyaoblenergo-znestrumyvshy-polovynu-regionu-na-6-godyn