Den 23. desember i fjor forsvant strømmen hos rundt halvparten av boligene i Ivano-Frankivsk-regionen i Ukraina, som har omtrent 1,4 millioner innbyggere. Det skal raskt ha vist seg at strømbruddet skyldtes et dataangrep, noe det ukrainske nyhetsbyrået TSN meldte om allerede på julaften.
Første gang
Strømbruddet skal ha vært i flere timer. Det skal ha vært forårsaket at skadevare som koblet ut flere kraftstasjoner, noe som angivelig aldri skal ha blitt registrert tidligere.
– Det er en milepæl fordi vi definitivt har sett rettede, destruktive hendelser mot energibransjen tidligere – for eksempel oljeselskaper – men aldri en hendelse som har ført til strømbrudd, sier John Hultquist i iSight Partners til Ars Technica. Han legger dog til at dette er en type scenario som lenge har blitt sett på med bekymring.
IT-sikkerhetsselskapet Eset i ettertid analysert hendelsen og har konkludert med at dette angrepet ikke var et isolert tilfelle. Også andre energiselskaper i Ukraina skal ha blitt angrepet av kyberkriminelle på omtrent samme tid.
BlackEnergy
Ifølge Eset skal skadevaren som har blitt brukt, være velkjent. Det dreier seg om en trojaner som kalles for BlackEnergy, som har blitt brukt i flere ulike angrep over flere år. BlackEnergy tilbyr angriperne blant annet en bakdør som gir angriperne mulighet til å fjernstyre de infiserte systemene.
I forbindelse med angrepet som skjedde lille julaften, skal det også ha blitt brukt en annen trojaner, Win32/KillDisk, som har blitt lastet ned og kjørt på systemer som allerede har vært infisert av BlackEnergy.
Kombinasjonen av BlackEnergy og KillDisk skal først ha blitt observert i november i fjor, da flere medieselskaper i Ukraina ble angrepet i forbindelse med det ukrainske lokalvalget. Ifølge Eset skal BlackEnergy og i noen tilfeller KillDisk ha blitt brukt under angrep mot ukrainske energiselskaper også romjulen.
Sletter filer
KillDisk sletter til vanlig systemfiler slik at de infiserte systemene ikke lar seg starte opp på nytt. Men i disse ukrainske tilfellene skal det ha blitt brukt en variant som skal være spesielt rettet mot industrisystemer. I tillegg til å kunne aktiveres på et gitt tidspunkt, forsøker den også å stoppe to spesielle prosesser, komut.exe og sec_service.exe.
Den sistnevnte prosessen kan tilhøre programvare som heter ELTIMA Serial to Ethernet Connector eller ASEM Ubiquity. Ifølge Eset er dette verktøy som er vanlige å bruke i forbindelse med industrielle kontrollsystemer.
Trojaneren vil ikke slette de kjørbare filene, men i stedet overskrive dem med vilkårlige data. Dette vil typisk gjøre det vanskeligere å gjenopprette systemet som har blitt angrepet.
Via Office
Ifølge Eset skal de kraftsystemene har blitt infisert ved hjelp av Microsoft Office-dokumenter med ondsinnede makroer. De skal ha vært vedlegg i e-poster som tilsynelatende har kommet fra det ukrainske parlamentet. I utgangspunktet blokkeres kjøring av makroer i Office-applikasjonene, men dokumentene skal ha inneholdt tekst som har oppfordret mottakerne til å godkjenne kjøringen.
Nøyaktig hvem som står bak angrepene, er ukjent. Men ifølge Ars Technica har gruppen tidligere rettet angrep mot blant annet NATO, myndighetene i Ukraina og Polen, samt europeiske selskaper innen blant annet telekomindustrien. Gruppen skal ha fått kallenavnet Sandworm gang av iSight, som mener den har tilknytning til Russland.
