1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не писать свой вопрос в первую попавшуюся тему - вместо этого создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь и здесь, а студентам - обязательно здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

BlackEnergy может остановить работу энергосети?

Ответить

Автор темы
andrmur
освоился
освоился
Сообщения: 227
Зарегистрирован: 24 июл 2008, 09:22
Имя: Мурашко Андрей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 4 раза
Поблагодарили: 2 раза

BlackEnergy может остановить работу энергосети?

Сообщение andrmur »

Друзья,
Все, полагаю, уже читали, что отключение подачи энергии 23 декабря в сетях "Прикарпатьеоблэнерго" это, якобы, следствие работы вируса под названием BlackEnergy.
http://www.news-cloud.net/news/ukraine/ ... halos.html
http://habrahabr.ru/company/eset/blog/274503/

Мне сейчас не интересно, кто именно стоит за разработкой вируса, и кто был тот идиот, который открыл зараженное письмо в своей почте, но мне жутко интересно узнать мнение профессионалов от энергетики:
- как может вирус, заразивший компьютер в сети Облэнерго, и пусть даже стерший все данные с его диска, привести к остановке выработки энергии? или к размыканию ячеек на подстанциях?
- какая телемеханика стоит на объектах Прикарпатьеоблэнерго?

Спасибо!
Андрей Мурашко

Автор темы
andrmur
освоился
освоился
Сообщения: 227
Зарегистрирован: 24 июл 2008, 09:22
Имя: Мурашко Андрей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 4 раза
Поблагодарили: 2 раза

BlackEnergy может остановить работу энергосети?

Сообщение andrmur »

вдогонку. о сути самой предпринятой атаки:
http://habrahabr.ru/company/eset/blog/274469/
После своего запуска в системе, такая модификация компонента KillDisk осуществляет поиск и завершение двух нестандартных процессов со следующими именами: komut.exe и sec_service.exe.
Мы не смогли найти какую-либо информацию о названии первого процесса (komut.exe). Название второго процесса может иметь отношение к ПО под названием ASEM Ubiquity. Оно представляет из себя программную платформу, которая часто используется в промышленных системах Industrial control systems (ICS).

Видно, что вирус останавливает некий процесс под виндами - возможно, этот процесс является сетевого компонента частью СКАДЫ (явно не управляющий компонент).
Это не снимает моего вопроса - как, блин, падение СКАДА сервера может подать команду на контроллер отключить ячейку?!
Аватара пользователя

hell_boy
почётный участник форума
почётный участник форума
Сообщения: 1746
Зарегистрирован: 18 янв 2009, 12:25
Имя: Дмитрий
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 132 раза

BlackEnergy может остановить работу энергосети?

Сообщение hell_boy »

99% всех переключений осуществляет диспетчер на АРМе. Если АРМ завис, VPN завис http://www.asem.it/en/prodotti/industri ... /ubiquity/ то диспечер ничего сделать не сможет. Плюс, наверное, были "костыли" по стыковке разнородных систем через SCADA-сервер. Например, если система А в работе, то система Б - в резерве.
If (OPC.System.A.Worked==1)
{ OPC.System.B.Stop=1;}
else
{ OPC.System.B.Start=1;}
Считалось, что на квадрированном центральном сервере состояние системы А всегда будет достоверным.
andrmur писал(а):какая телемеханика стоит на объектах Прикарпатьеоблэнерго?
http://galcomcomp.com/index.php/ru/nash ... aterial-ru

PS: https://ics.sans.org/blog/2016/01/09/co ... power-grid
"Умные люди обсуждают идеи, средние - события, а глупые - людей" Л.Н. Толстой
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1465
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 43 раза
Поблагодарили: 93 раза

BlackEnergy может остановить работу энергосети?

Сообщение CHANt »

Также, как и в случае со Стукнет, надо иметь детальную исходную информацию по объекту. Т.е. протоколы телемеханики, как старые (типа Гранит, ТМ512, УТМ и т.п.), так и новые (ГОСТ Р МЭК 870-5-101/104, 61850), вполне себе описаны и стандартизованы, и открыты! Чтобы послать команду телеуправления на выключатель, надо знать протокол, адрес в контроллере ТМ, тип сигнала и т.д. Другое дело миллион всяких, но))) ИМХО, здесь попытка скрыть технологической сбой с помощью политики. Так как надо затратить достаточно большой объем времени и ресурсов на разработку подобной задачи, да и знать точно схему нормального режима.
--------------------------------------------------------------------------------------------
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17471
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1277 раз

BlackEnergy может остановить работу энергосети?

Сообщение Jackson »

CHANt писал(а): Так как надо затратить достаточно большой объем времени и ресурсов на разработку подобной задачи, да и знать точно схему нормального режима.
Есть вариант что кто-то и создаёт, а тут потренировался. Визуально это конечно выглядит всего лишь как попытка перевалить вину с персонала ТП на потусторонние силы, но кто знает.... 20 лет назад это точно было бы смешно, а сегодня - нет ничего невозможного. Информации-то нет.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1465
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 43 раза
Поблагодарили: 93 раза

BlackEnergy может остановить работу энергосети?

Сообщение CHANt »

TEB, если Вы решите, по той или иной причине, "положить" свои электростанции, и не только свои ))) , вряд ли потребитель убережется)))
--------------------------------------------------------------------------------------------

Автор темы
andrmur
освоился
освоился
Сообщения: 227
Зарегистрирован: 24 июл 2008, 09:22
Имя: Мурашко Андрей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 4 раза
Поблагодарили: 2 раза

BlackEnergy может остановить работу энергосети?

Сообщение andrmur »

Коллеги,
Из всего написанного и ссылок на "Галицкую компьютерную компанию" я делаю вывод, что:
- контроллеры занимались только мониторингом, но не управлением. Вирус не был разработан под конкретную телемеханику, и не знал протокола МЭК 870-5-101, и тем более не знал, что и куда писать :-)
- Вирус погасил некие службы windows, отвечающие за коммуникацию контроллеров с сервером, соответственно, с экранов АРМов просто пропали данные.
- Падение АРМов «Спектр-АРМ» и сервера СКАДА «Спектр-DOS» испугало операторов, и те побежали на щитам управления и вручную отключили коммутационные аппараты.
- Вину за панику они списали на вирус, хотя он напрямую и не виноват в отключении напряжения :-)

Все верно?

С уважением,
Андрей Мурашко
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17471
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1277 раз

BlackEnergy может остановить работу энергосети?

Сообщение Jackson »

andrmur писал(а): Все верно?
Ответить на этот вопрос могут только участники событий.

Отправлено спустя 5 минут 32 секунды:
CHANt писал(а): TEB, если Вы решите, по той или иной причине, "положить" свои электростанции, и не только свои ))) , вряд ли потребитель убережется)))
Если буду готовиться к этому специально - конечно (как и любой другой из нас). А почему такой поворот?
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1465
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 43 раза
Поблагодарили: 93 раза

BlackEnergy может остановить работу энергосети?

Сообщение CHANt »

andrmur, я не знаю как у них организованна именно телемеханика. Из истории, традиционно, а в пору РАО "ЕЭС России", было даже соответствующее РД, рекомендовалось, в целях надежности, реализовывать РСУ. Т.е. телемеханика с подстанции поступала на диспетчерский пункт района электрических сетей (ДП РЭС). ДП РЭС оснащался щитом, сервером со СКАДА, и дальше информация шла на ДП Предприятия электрических сетей (ПЭС), далее на ДП ЦДС. Конечно же были варианты, когда телеметрия шла сразу на ДП ПЭС или по еще как-то. Т.е. выход любого узла, не сказывался на работоспособности всей системы в целом. В обязательном порядке резервировались каналы связи. Требований к резервированию контроллеров ТМ нет и не было.
Упомянутые мной протоколы ТМ, старые, передавались RS-232, через модемы по ТЧ каналам, или аналоговой ВЧ-связи, или радиосвязи и т.п. GSM в нашей стране, для ряда объектов для ТМ и диспетчерской связи, запрещалось и запрещается полностью, ввиду низкой надежности. Для МЭК 870-5-101 это тоже RS-232/485. Да и в современных системах связи, используются интерфейсы RS-232 достаточно часто. Т.е. никакой вирус по этим каналам не передать))) Маловероятно, что вирус попав через какой-то АРМ поразил сразу кучу систем РЭС и ПЭС этой области))) Про управление лучше наверное и не рассуждать, так как слабо верится что везде стоят электрические привода на выключателях, разъединителях и т.п. Да и часто, на подстанциях, цепи управления ТМ вообще отключают, от греха подальше))). Есть дежурный, есть щит у него, есть органы управления. Пришла диспетчерская команда, пошел - выполнил переключения. Но, телеуправление есть, и применяется, если это технически возможно.
Сейчас, очень популярны в нашей энергетике, внедрения систем диспетчерского управления с централизованной структурой (этакий специализированный MES). Т.е. идея - в центральную систему области приходят все каналы ТМ, информация обрабатывается и выводится по АРМ, щиты по всей иерархии диспетчерских пунктов. Но, старый вариант с РСУ никуда не делся))) Поэтому, даже если внедрена новая система, то в тех же РЭС, ПЭС сохранились свои системы))) Кому в голову пришла эта идея, история уже умалчивает, а время нынче такое, что внедрят что хошь, лишь бы интерес был))) шкурный... Ох и не люблю обсуждать работу, лучше сименс :lol:
Я уже писал выше постом - много вариантов, масса нюансов. Не одни сутки можно за столом просидеть))) С бутылкой))) Как и в истории со стукснетом, чтобы разработать подобную задачу, надо иметь очень много исходной информации, причем конкретно по объектам, инфраструктуре. У меня на специализированном предприятии большое количество народа занимается этим "лоскутным одеялом". Если привлечь по одному специалисту, больше 10 выйдет))) Им платить надо,время на разработку надо - и ради того чтобы выключить на полчаса? )))
Есть и другая сторона медали. Бизнес он такой, и Вы его хорошо знаете. Нет рынка - надо его создать. )) После появления перевода доклада Семантика про стукснет, были кучи обсуждений на форумах о "вреде Windows"))) Потом, через полгода, и на нашем форуме, появилась тема с вопросами о безопасности АСУ ТП. Обращаем ли внимание, тестируем ли и т.п. ))) еще через полгода, появилась куча вакансий для спецов по ИБ по моей отрасли (не знаю как в других). З/п предлагались заоблачные просто... Еще через полгода, пришли команды собрать всю инфу (да, да - все "лоскутное одеяло") подробно и передать в одно коммерческое предприятие. Прямо вредители какие-то - инфа то стратегическая...Ммм., andrmur, Вам там на другом форуме ссылку давали, с мнениями "широко известных в узких кругах людей"...вот там четвертый комментарий, они и есть))) А самый толковый комментарий третий - от ФСК ЕЭС))) Чего в итоге нам придумают - посмотрим, пока результатов не видел, может уже и были, но до нас не доводили.
TEB писал(а): Ответить на этот вопрос могут только участники событий.
TEB, самый мудрый и точный ответ дал)))
-------------------------------
TEB писал(а): Если буду готовиться к этому специально - конечно (как и любой другой из нас). А почему такой поворот?
Да не поворот - я к тому что если это кому-то понадобится, то это возможно - а есть ИБ или нет ИБ и прочего, ничего не спасет)))
--------------------------------------------------------------------------------------------
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17471
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1277 раз

BlackEnergy может остановить работу энергосети?

Сообщение Jackson »

CHANt писал(а): Да не поворот - я к тому что если это кому-то понадобится, то это возможно - а есть ИБ или нет ИБ и прочего, ничего не спасет)))
Смотря как делать.. :) Всё что имеет прикладное ПО и цифровой интерфейс - потенциально уязвимо, да. Но что-то из этого можно и не иметь, и такой проблемы не будет.
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
andrmur
освоился
освоился
Сообщения: 227
Зарегистрирован: 24 июл 2008, 09:22
Имя: Мурашко Андрей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 4 раза
Поблагодарили: 2 раза

BlackEnergy может остановить работу энергосети?

Сообщение andrmur »

В общем, пока вырисовывается картина, что отключение энергии произошло по другим причинам, а на вирус свалили, потому что было удобно - он как раз к месту и ко времени подоспел ;-)
Посмотрим, объявятся ли участники событий или протоколы...
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17471
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1277 раз

BlackEnergy может остановить работу энергосети?

Сообщение Jackson »

andrmur писал(а): Посмотрим, объявятся ли участники событий или протоколы...
Они же тоже могут включить дурака и во всех протоколах указать "ничего не знаю, оно само" - тогда концов точно будет не найти, разве что съездить на объект и поговорить в курилке с дежурным персоналом, а потом ещё надо будет как-то этот разговор под протокол подвести. То есть собственное расследование надо провести.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1465
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 43 раза
Поблагодарили: 93 раза

BlackEnergy может остановить работу энергосети?

Сообщение CHANt »

Электроэнергетика - отрасль работающая по регулируемым государством тарифам. А кол-во объектов, оборудования, протяженность сетей - грандиозное. Денег не много и это в нашей стране, где они все же выделялись и энергетикам в том числе, и модернизация была проведена не малая, а уж что говорить про наши соседние бывшие республики))) Той же телемеханики, середины 90-х годов еще полно, работающей по аналоговым каналам связи, со скоростью 100 - 200 бод, а где-то ее не было никогда))) В нашей области, последнее село, было электрифицировано в 1986 году. Рано еще вирусы изобретать. Надо ждать развития и модернизации)))
Хотя, думаю у этой истории выгодоприобретатель будет и с той, и с этой стороны границы)))
--------------------------------------------------------------------------------------------
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17471
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1277 раз

BlackEnergy может остановить работу энергосети?

Сообщение Jackson »

А по поводу прикладного ПО и интерфейсов - я серьёзно. Нужно проанализировать, существовала ли вообще какая-то физическая связь аппаратуры с внешним миром. Если такой связи нет, то и на вирус тут свалить нельзя. Как максимум - свалить можно на персонал, который принёс вирус на флешке вместе с киношкой. Кстати, такая версия кажется мне наиболее вероятной, если говорить о вирусе. А также, нужно проанализировать, могло ли прикладное ПО быть подвержено этому вирусу в принципе - оно должно было не просто сдохнуть, а самопроизвольно выполнить конкретные действия (сгенерировать и разослать команды) при остановке - как утверждают - ряда системных служб в ОС. Последнее проверить проще простого - на нижнем уровне в релейке есть журналы, там будет видно когда пришли команды и откуда (и пришли ли они вообще). Если команды пришли - идём в устройство выше и смотрим журналы там. Короче расследовать надо также как и экономические преступления: на каждом этапе сравнивать сумму входящих с суммой исходящих - косяк там где эти суммы не сойдутся.
По вопросам работы Форума можно обратиться по этим контактам.

ASUTP_PLC
эксперт
эксперт
Сообщения: 1055
Зарегистрирован: 11 ноя 2012, 18:21
Имя: Нурисламов Руслан М.
Страна: Казахстан
город/регион: Алматы
Благодарил (а): 23 раза
Поблагодарили: 31 раз

BlackEnergy может остановить работу энергосети?

Сообщение ASUTP_PLC »

CHANt писал(а): Электроэнергетика - отрасль работающая по регулируемым государством тарифам. А кол-во объектов, оборудования, протяженность сетей - грандиозное. Денег не много и это в нашей стране, где они все же выделялись и энергетикам в том числе, и модернизация была проведена не малая, а уж что говорить про наши соседние бывшие республики))) Той же телемеханики, середины 90-х годов еще полно, работающей по аналоговым каналам связи, со скоростью 100 - 200 бод, а где-то ее не было никогда))) В нашей области, последнее село, было электрифицировано в 1986 году. Рано еще вирусы изобретать. Надо ждать развития и модернизации)))
Хотя, думаю у этой истории выгодоприобретатель будет и с той, и с этой стороны границы)))
Что и говорить, у меня провода 8 лет как новые стоят, все по уму. Модернизацию когда делали - все сделали как надо.
Но могу сказать, что это не показатель, ибо на соседней улице провода без изменений на скрутках, и с середины 70-х годов. А времени то сколько уже прошло... ой ей..
И объекты есть старые. ГЭС одна была, с конца 50-х годов в работе. Поэтому не верю в вирус. Верю что есть люди которым надо чтоб другие люди поверили в вирус.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17471
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1277 раз

BlackEnergy может остановить работу энергосети?

Сообщение Jackson »

Извиняюсь, если уже было.

https://habrahabr.ru/post/276257/
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 13:45
Имя: :.О.N.Ф
Страна: Россия
Благодарил (а): 3 раза
Поблагодарили: 7 раз

BlackEnergy может остановить работу энергосети?

Сообщение Exactamente »

Самое толковое по теме, что пока попадалось: http://globalsecurity.press/16292/166006/a/article
Упоминаемый на каждом углу KillDisk и уязвимость через офис - это шляпа какая-то. В статье по ссылке выше самое интересное скрыто в строке "вызвали отключения подстанций путем нарушения работы систем телеметрии" - вот только мысль не развёрнута и дальнейшей инфы ноль. Вообще, местами пишут, что АСУшная подсеть была открыта в инет... :ges_slap:
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1465
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 43 раза
Поблагодарили: 93 раза

BlackEnergy может остановить работу энергосети?

Сообщение CHANt »

Да шляпа это, шляпа... Ждем чуваков от ИБ, с новыми истеричными интересными темами)))
Тут недавно инфографику по ИБ в новостях приводили. Полный ппц нашему миру. Источник информации - по результатам опросов 10 тыс. топ-менеджеров :lol:
Видео: http://www.vesti.ru/videos/show/vid/669 ... d%3D669031
Последний раз редактировалось CHANt 02 фев 2016, 12:09, всего редактировалось 1 раз.
--------------------------------------------------------------------------------------------
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4711
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 192 раза
Поблагодарили: 336 раз

BlackEnergy может остановить работу энергосети?

Сообщение VADR »

CHANt писал(а): Источник информации - по результатам опросов 10 тыс. топ-менеджеров
Ой... е-моё... тогда точно - пипец... :lol:
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Ответить

Вернуться в «Информационная безопасность»