Ранее мы писали о серии кибератак на промышленные объекты Украины с использованием трояна BlackEnergy. Одной из самых известных жертв трояна стала энергетическая компания «Прикарпатьеоблэнерго», которая снабжала электроэнергией Ивано-Франковскую область на западе Украины. Еще одной известной жертвой BlackEnergy стала компьютерная сеть аэропорта Борисполь, на одном из компьютеров которой также был обнаружен троян. Об этом сообщил спикер администрации президента Украины по вопросам АТО Андрей Лысенко.
В ведомстве также указали, что кибератакам подверглись «Киевоблэнерго», «Черновцыоблэнерго», «Хмельницкоблэнерго» и «Харьковоблэнерго». Украинская security-компания CyS Centrum, которая также занималась расследованием этих кибератак, в своем исследовании назвала в качестве жертв упоминавшийся аэропорт Борисполь, а также компанию «Международные авиалинии Украины», на компьютерах которых был обнаружен драйвер BlackEnergy.
Рис. Пример фишингового электронного письма, который использовался во вредоносной кампании (данные CyS Centrum).
Рис. Внешний вид документа приманки (данные CyS Centrum).
Центр реагирования на компьютерные инциденты Украины CERT-UA опубликовал список индикаторов IoC, по которым можно установить факт компрометации BlackEnergy. Там указаны следующие IP-адреса.
146.0.74.7
148.251.82.21
188.40.8.72
31.210.111.154
41.77.136.250
5.9.32.230
88.198.25.92
41.77.136.250
Также там указан пример проверки лог-файлов.
Рис. Пример проверки системы на предмет заражения BlackEnergy (данные CyS Centrum).
В ведомстве также указали, что кибератакам подверглись «Киевоблэнерго», «Черновцыоблэнерго», «Хмельницкоблэнерго» и «Харьковоблэнерго». Украинская security-компания CyS Centrum, которая также занималась расследованием этих кибератак, в своем исследовании назвала в качестве жертв упоминавшийся аэропорт Борисполь, а также компанию «Международные авиалинии Украины», на компьютерах которых был обнаружен драйвер BlackEnergy.
Рис. Пример фишингового электронного письма, который использовался во вредоносной кампании (данные CyS Centrum).
Рис. Внешний вид документа приманки (данные CyS Centrum).
Центр реагирования на компьютерные инциденты Украины CERT-UA опубликовал список индикаторов IoC, по которым можно установить факт компрометации BlackEnergy. Там указаны следующие IP-адреса.
146.0.74.7
148.251.82.21
188.40.8.72
31.210.111.154
41.77.136.250
5.9.32.230
88.198.25.92
41.77.136.250
Также там указан пример проверки лог-файлов.
Рис. Пример проверки системы на предмет заражения BlackEnergy (данные CyS Centrum).
