Hackertámadás miatt volt áramszünet Kijevben

75 percre esett ki a szolgáltatás, még kutatják pontosan hogyan. Az orosz állam által támogatott bűnözők játszótere az ország.

A Dragos, Inc. IT-biztonság cég jelentése szerint tavaly december 17-én Kijevben kibertámadás érhette a helyi áramhálózatot. Bár az akció a városi rendszer ellen irányult, gyakorlatilag a főpróbája lehetett a világ más részein található infrastruktúrák elleni támadásoknak. Az alkalmazott kártevővel akár egyszerre több áramhálózat is megtámadható. Az ukrán fővárosban közel 75 percre esett ki az áramszolgáltatás. Az IT-biztonsági szakértők egyetértettek abban, hogy az esemény olyan hackerek műve volt, akik hónapokon át hozzáférhettek egy alállomás hálózatához. A nyomozás a mai napig tart azért, hogy mind a tetteseket, mind az általuk használt technikát elemezzék.

Robert Lee, a Dragos, Inc. vezetője azt nyilatkozta, hogy cége már tájékoztatta az esetről az amerikai kormányt, a nemzeti IT-biztonsági szervezeteket, valamint az érintett gyártókat. A menedzser egyébként az ipari létesítmények szakértőjének számít. A Dragos, Inc. úgy véli, ugyanaz a csoport állhat az akció mögött, amely szintén Ukrajnában 2015 decemberében áramszünetet okozott. Akkor Ivano-Frankivszk közigazgatási egység területén három regionális áramellátó rendszert és több százezer háztartást érintett a probléma. Az eset egy jól előkészített és megszervezett hackertámadás volt és az azt végrehajtó csapatnak az orosz kormányhoz is voltak kapcsolatai.

A másik jelentést az Eset kutatói készítették el és azt írták, hogy az alkalmazott kártevőt kifejezetten ipari létesítmények ellen tervezték. A szakemberek a programot Industroyernek nevezték el - a szó az ipar és a romboló szavak összevonásából született meg. A Dragos, Inc. szakértőitől a kártevő a Crash Override nevet kapta és azt hangsúlyozták, hogy nem a kémkedést, hanem egyedül azt a célt szolgálja, hogy áramszüneteket okozzon. A Dragos, Inc. becslései alapján a kártevőnek köszönhetően órákon vagy napokon át tartó áramkimaradások következhetnek be.


A számítógépes rendszerek kiskapuin keresztül férnek hozzá az alállomások elosztóihoz és akár további programokat tölthetnek fel a rendszerbe, amelyekkel támadásokat hajthatnak végre. Ezek a szoftverek az ipari létesítményekben lévő infrastruktúrákat veszik célba, amelyek protokolljai több évtizedesek és nincsenek felkészítve a korszerű módszerekre, ezáltal nehezen biztosíthatók. Robert Lipovsky, az Eset kutatója elmondta, hogy ez a legnagyobb biztonsági sebezhetőség. Amint sikerül a támadóknak bejutniuk a hálózatokba, gyakorlatilag szabad útjuk van.

Ahhoz persze hogy a hackerek kiismerjék magukat a rendszerben, tudniuk kell, melyik eszköz pontosan hol található, meg kell érteniük a használt protokollokat, amelyeken keresztül ezek az eszköz lebonyolítják az akcióikat - ez energetikai szakértői háttértámogatás nélkül nem lehetséges. A szakértők részletesen leírták, hogyan járnak el a hackerek: a támadások úgy vannak programozva, hogy automatikusan megtalálják a helyi hálózatokat és azokat az eszközöket, amelyekkel kommunikálni lehet. A kártevő másik része képes túlterhelni és lekapcsolni a használt rendszereket.

Az Eset kutatói nem végeztek helyszíni vizsgálatokat, Robert Lipovsky ugyanakkor nem árulta el, hogyan szerezték meg a kártevőt, csak annyit mondott, hogy kapcsolatban voltak az érintettekkel. A program digitális ujjlenyomatait továbbították a Dragos, Inc. munkatársainak. A kihasznált négy protokollt alkalmazzák többek között vízerőműveknél is, azonban az egyes akciókat célzottan az adott hálózatokhoz kell igazítani. Lipovsky végül kifejtette, nem értik, hogy a hackerek miért töltenek hónapokat egy olyan támadás megtervezésével és kivitelezésével, amely nem tart tovább 75 percnél. Még nem tudják, hogy mik voltak az elkövetők motivációi.