Профиль должен быть заполнен на русском языке кириллицей. Заполнение профиля заведомо ложными или некорректными данными - причина возможного отказа в регистрации на форуме.

BlackEnergy может остановить работу энергосети?


Автор темы
andrmur
освоился
освоился
Сообщения: 218
Зарегистрирован: 24 июл 2008, 08:22
Ф.И.О.: Мурашко Андрей Викторович
Откуда: Москва
Благодарил (а): 6 раз
Поблагодарили: 2 раза
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение andrmur » 18 янв 2016, 22:54

Друзья,
Все, полагаю, уже читали, что отключение подачи энергии 23 декабря в сетях "Прикарпатьеоблэнерго" это, якобы, следствие работы вируса под названием BlackEnergy.
http://www.news-cloud.net/news/ukraine/ ... halos.html
http://habrahabr.ru/company/eset/blog/274503/

Мне сейчас не интересно, кто именно стоит за разработкой вируса, и кто был тот идиот, который открыл зараженное письмо в своей почте, но мне жутко интересно узнать мнение профессионалов от энергетики:
- как может вирус, заразивший компьютер в сети Облэнерго, и пусть даже стерший все данные с его диска, привести к остановке выработки энергии? или к размыканию ячеек на подстанциях?
- какая телемеханика стоит на объектах Прикарпатьеоблэнерго?

Спасибо!
Андрей Мурашко


Автор темы
andrmur
освоился
освоился
Сообщения: 218
Зарегистрирован: 24 июл 2008, 08:22
Ф.И.О.: Мурашко Андрей Викторович
Откуда: Москва
Благодарил (а): 6 раз
Поблагодарили: 2 раза
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение andrmur » 18 янв 2016, 23:21

вдогонку. о сути самой предпринятой атаки:
http://habrahabr.ru/company/eset/blog/274469/
После своего запуска в системе, такая модификация компонента KillDisk осуществляет поиск и завершение двух нестандартных процессов со следующими именами: komut.exe и sec_service.exe.
Мы не смогли найти какую-либо информацию о названии первого процесса (komut.exe). Название второго процесса может иметь отношение к ПО под названием ASEM Ubiquity. Оно представляет из себя программную платформу, которая часто используется в промышленных системах Industrial control systems (ICS).



Видно, что вирус останавливает некий процесс под виндами - возможно, этот процесс является сетевого компонента частью СКАДЫ (явно не управляющий компонент).
Это не снимает моего вопроса - как, блин, падение СКАДА сервера может подать команду на контроллер отключить ячейку?!

Аватара пользователя

hell_boy
почётный участник форума
почётный участник форума
Сообщения: 1078
Зарегистрирован: 18 янв 2009, 12:25
Ф.И.О.: Дмитрий
Благодарил (а): 2 раза
Поблагодарили: 22 раза

BlackEnergy может остановить работу энергосети?

Сообщение hell_boy » 20 янв 2016, 12:34

99% всех переключений осуществляет диспетчер на АРМе. Если АРМ завис, VPN завис http://www.asem.it/en/prodotti/industri ... /ubiquity/ то диспечер ничего сделать не сможет. Плюс, наверное, были "костыли" по стыковке разнородных систем через SCADA-сервер. Например, если система А в работе, то система Б - в резерве.
If (OPC.System.A.Worked==1)
{ OPC.System.B.Stop=1;}
else
{ OPC.System.B.Start=1;}
Считалось, что на квадрированном центральном сервере состояние системы А всегда будет достоверным.
andrmur писал(а):какая телемеханика стоит на объектах Прикарпатьеоблэнерго?

http://galcomcomp.com/index.php/ru/nash ... aterial-ru

PS: https://ics.sans.org/blog/2016/01/09/co ... power-grid
"Умные люди обсуждают идеи, средние - события, а глупые - людей" Л.Н. Толстой

Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1243
Зарегистрирован: 25 июл 2008, 09:25
Ф.И.О.: Гринев Эдуард Владимирович
Откуда: Оренбург
Благодарил (а): 11 раз
Поблагодарили: 37 раз
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение CHANt » 20 янв 2016, 13:27

Также, как и в случае со Стукнет, надо иметь детальную исходную информацию по объекту. Т.е. протоколы телемеханики, как старые (типа Гранит, ТМ512, УТМ и т.п.), так и новые (ГОСТ Р МЭК 870-5-101/104, 61850), вполне себе описаны и стандартизованы, и открыты! Чтобы послать команду телеуправления на выключатель, надо знать протокол, адрес в контроллере ТМ, тип сигнала и т.д. Другое дело миллион всяких, но))) ИМХО, здесь попытка скрыть технологической сбой с помощью политики. Так как надо затратить достаточно большой объем времени и ресурсов на разработку подобной задачи, да и знать точно схему нормального режима.
--------------------------------------------------------------------------------------------
"Почти все начальники - дилетанты." © цитата из поста hell_boy )))

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7879
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение TEB » 20 янв 2016, 13:41

CHANt писал(а):Источник цитаты Так как надо затратить достаточно большой объем времени и ресурсов на разработку подобной задачи, да и знать точно схему нормального режима.

Есть вариант что кто-то и создаёт, а тут потренировался. Визуально это конечно выглядит всего лишь как попытка перевалить вину с персонала ТП на потусторонние силы, но кто знает.... 20 лет назад это точно было бы смешно, а сегодня - нет ничего невозможного. Информации-то нет.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1243
Зарегистрирован: 25 июл 2008, 09:25
Ф.И.О.: Гринев Эдуард Владимирович
Откуда: Оренбург
Благодарил (а): 11 раз
Поблагодарили: 37 раз
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение CHANt » 20 янв 2016, 13:55

TEB, если Вы решите, по той или иной причине, "положить" свои электростанции, и не только свои ))) , вряд ли потребитель убережется)))
--------------------------------------------------------------------------------------------
"Почти все начальники - дилетанты." © цитата из поста hell_boy )))


Автор темы
andrmur
освоился
освоился
Сообщения: 218
Зарегистрирован: 24 июл 2008, 08:22
Ф.И.О.: Мурашко Андрей Викторович
Откуда: Москва
Благодарил (а): 6 раз
Поблагодарили: 2 раза
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение andrmur » 20 янв 2016, 19:29

Коллеги,
Из всего написанного и ссылок на "Галицкую компьютерную компанию" я делаю вывод, что:
- контроллеры занимались только мониторингом, но не управлением. Вирус не был разработан под конкретную телемеханику, и не знал протокола МЭК 870-5-101, и тем более не знал, что и куда писать :-)
- Вирус погасил некие службы windows, отвечающие за коммуникацию контроллеров с сервером, соответственно, с экранов АРМов просто пропали данные.
- Падение АРМов «Спектр-АРМ» и сервера СКАДА «Спектр-DOS» испугало операторов, и те побежали на щитам управления и вручную отключили коммутационные аппараты.
- Вину за панику они списали на вирус, хотя он напрямую и не виноват в отключении напряжения :-)

Все верно?

С уважением,
Андрей Мурашко

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7879
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение TEB » 20 янв 2016, 19:50

andrmur писал(а):Источник цитаты Все верно?

Ответить на этот вопрос могут только участники событий.

Отправлено спустя 5 минут 32 секунды:
CHANt писал(а):Источник цитаты TEB, если Вы решите, по той или иной причине, "положить" свои электростанции, и не только свои ))) , вряд ли потребитель убережется)))

Если буду готовиться к этому специально - конечно (как и любой другой из нас). А почему такой поворот?
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1243
Зарегистрирован: 25 июл 2008, 09:25
Ф.И.О.: Гринев Эдуард Владимирович
Откуда: Оренбург
Благодарил (а): 11 раз
Поблагодарили: 37 раз
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение CHANt » 20 янв 2016, 20:52

andrmur, я не знаю как у них организованна именно телемеханика. Из истории, традиционно, а в пору РАО "ЕЭС России", было даже соответствующее РД, рекомендовалось, в целях надежности, реализовывать РСУ. Т.е. телемеханика с подстанции поступала на диспетчерский пункт района электрических сетей (ДП РЭС). ДП РЭС оснащался щитом, сервером со СКАДА, и дальше информация шла на ДП Предприятия электрических сетей (ПЭС), далее на ДП ЦДС. Конечно же были варианты, когда телеметрия шла сразу на ДП ПЭС или по еще как-то. Т.е. выход любого узла, не сказывался на работоспособности всей системы в целом. В обязательном порядке резервировались каналы связи. Требований к резервированию контроллеров ТМ нет и не было.
Упомянутые мной протоколы ТМ, старые, передавались RS-232, через модемы по ТЧ каналам, или аналоговой ВЧ-связи, или радиосвязи и т.п. GSM в нашей стране, для ряда объектов для ТМ и диспетчерской связи, запрещалось и запрещается полностью, ввиду низкой надежности. Для МЭК 870-5-101 это тоже RS-232/485. Да и в современных системах связи, используются интерфейсы RS-232 достаточно часто. Т.е. никакой вирус по этим каналам не передать))) Маловероятно, что вирус попав через какой-то АРМ поразил сразу кучу систем РЭС и ПЭС этой области))) Про управление лучше наверное и не рассуждать, так как слабо верится что везде стоят электрические привода на выключателях, разъединителях и т.п. Да и часто, на подстанциях, цепи управления ТМ вообще отключают, от греха подальше))). Есть дежурный, есть щит у него, есть органы управления. Пришла диспетчерская команда, пошел - выполнил переключения. Но, телеуправление есть, и применяется, если это технически возможно.
Сейчас, очень популярны в нашей энергетике, внедрения систем диспетчерского управления с централизованной структурой (этакий специализированный MES). Т.е. идея - в центральную систему области приходят все каналы ТМ, информация обрабатывается и выводится по АРМ, щиты по всей иерархии диспетчерских пунктов. Но, старый вариант с РСУ никуда не делся))) Поэтому, даже если внедрена новая система, то в тех же РЭС, ПЭС сохранились свои системы))) Кому в голову пришла эта идея, история уже умалчивает, а время нынче такое, что внедрят что хошь, лишь бы интерес был))) шкурный... Ох и не люблю обсуждать работу, лучше сименс :lol:
Я уже писал выше постом - много вариантов, масса нюансов. Не одни сутки можно за столом просидеть))) С бутылкой))) Как и в истории со стукснетом, чтобы разработать подобную задачу, надо иметь очень много исходной информации, причем конкретно по объектам, инфраструктуре. У меня на специализированном предприятии большое количество народа занимается этим "лоскутным одеялом". Если привлечь по одному специалисту, больше 10 выйдет))) Им платить надо,время на разработку надо - и ради того чтобы выключить на полчаса? )))
Есть и другая сторона медали. Бизнес он такой, и Вы его хорошо знаете. Нет рынка - надо его создать. )) После появления перевода доклада Семантика про стукснет, были кучи обсуждений на форумах о "вреде Windows"))) Потом, через полгода, и на нашем форуме, появилась тема с вопросами о безопасности АСУ ТП. Обращаем ли внимание, тестируем ли и т.п. ))) еще через полгода, появилась куча вакансий для спецов по ИБ по моей отрасли (не знаю как в других). З/п предлагались заоблачные просто... Еще через полгода, пришли команды собрать всю инфу (да, да - все "лоскутное одеяло") подробно и передать в одно коммерческое предприятие. Прямо вредители какие-то - инфа то стратегическая...Ммм., andrmur, Вам там на другом форуме ссылку давали, с мнениями "широко известных в узких кругах людей"...вот там четвертый комментарий, они и есть))) А самый толковый комментарий третий - от ФСК ЕЭС))) Чего в итоге нам придумают - посмотрим, пока результатов не видел, может уже и были, но до нас не доводили.
TEB писал(а):Источник цитаты Ответить на этот вопрос могут только участники событий.

TEB, самый мудрый и точный ответ дал)))
-------------------------------
TEB писал(а):Источник цитаты Если буду готовиться к этому специально - конечно (как и любой другой из нас). А почему такой поворот?

Да не поворот - я к тому что если это кому-то понадобится, то это возможно - а есть ИБ или нет ИБ и прочего, ничего не спасет)))
--------------------------------------------------------------------------------------------
"Почти все начальники - дилетанты." © цитата из поста hell_boy )))

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7879
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение TEB » 20 янв 2016, 21:18

CHANt писал(а):Источник цитаты Да не поворот - я к тому что если это кому-то понадобится, то это возможно - а есть ИБ или нет ИБ и прочего, ничего не спасет)))

Смотря как делать.. :) Всё что имеет прикладное ПО и цифровой интерфейс - потенциально уязвимо, да. Но что-то из этого можно и не иметь, и такой проблемы не будет.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.


Автор темы
andrmur
освоился
освоился
Сообщения: 218
Зарегистрирован: 24 июл 2008, 08:22
Ф.И.О.: Мурашко Андрей Викторович
Откуда: Москва
Благодарил (а): 6 раз
Поблагодарили: 2 раза
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение andrmur » 20 янв 2016, 21:45

В общем, пока вырисовывается картина, что отключение энергии произошло по другим причинам, а на вирус свалили, потому что было удобно - он как раз к месту и ко времени подоспел ;-)
Посмотрим, объявятся ли участники событий или протоколы...

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7879
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение TEB » 21 янв 2016, 10:52

andrmur писал(а):Источник цитаты Посмотрим, объявятся ли участники событий или протоколы...

Они же тоже могут включить дурака и во всех протоколах указать "ничего не знаю, оно само" - тогда концов точно будет не найти, разве что съездить на объект и поговорить в курилке с дежурным персоналом, а потом ещё надо будет как-то этот разговор под протокол подвести. То есть собственное расследование надо провести.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1243
Зарегистрирован: 25 июл 2008, 09:25
Ф.И.О.: Гринев Эдуард Владимирович
Откуда: Оренбург
Благодарил (а): 11 раз
Поблагодарили: 37 раз
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение CHANt » 21 янв 2016, 10:54

Электроэнергетика - отрасль работающая по регулируемым государством тарифам. А кол-во объектов, оборудования, протяженность сетей - грандиозное. Денег не много и это в нашей стране, где они все же выделялись и энергетикам в том числе, и модернизация была проведена не малая, а уж что говорить про наши соседние бывшие республики))) Той же телемеханики, середины 90-х годов еще полно, работающей по аналоговым каналам связи, со скоростью 100 - 200 бод, а где-то ее не было никогда))) В нашей области, последнее село, было электрифицировано в 1986 году. Рано еще вирусы изобретать. Надо ждать развития и модернизации)))
Хотя, думаю у этой истории выгодоприобретатель будет и с той, и с этой стороны границы)))
--------------------------------------------------------------------------------------------
"Почти все начальники - дилетанты." © цитата из поста hell_boy )))

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7879
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение TEB » 21 янв 2016, 10:59

А по поводу прикладного ПО и интерфейсов - я серьёзно. Нужно проанализировать, существовала ли вообще какая-то физическая связь аппаратуры с внешним миром. Если такой связи нет, то и на вирус тут свалить нельзя. Как максимум - свалить можно на персонал, который принёс вирус на флешке вместе с киношкой. Кстати, такая версия кажется мне наиболее вероятной, если говорить о вирусе. А также, нужно проанализировать, могло ли прикладное ПО быть подвержено этому вирусу в принципе - оно должно было не просто сдохнуть, а самопроизвольно выполнить конкретные действия (сгенерировать и разослать команды) при остановке - как утверждают - ряда системных служб в ОС. Последнее проверить проще простого - на нижнем уровне в релейке есть журналы, там будет видно когда пришли команды и откуда (и пришли ли они вообще). Если команды пришли - идём в устройство выше и смотрим журналы там. Короче расследовать надо также как и экономические преступления: на каждом этапе сравнивать сумму входящих с суммой исходящих - косяк там где эти суммы не сойдутся.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.


ASUTP_PLC
частый гость
частый гость
Сообщения: 430
Зарегистрирован: 11 ноя 2012, 17:21
Ф.И.О.: Нурисламов Руслан Мисхатович
Благодарил (а): 2 раза
Поблагодарили: 7 раз

BlackEnergy может остановить работу энергосети?

Сообщение ASUTP_PLC » 21 янв 2016, 15:06

CHANt писал(а):Источник цитаты Электроэнергетика - отрасль работающая по регулируемым государством тарифам. А кол-во объектов, оборудования, протяженность сетей - грандиозное. Денег не много и это в нашей стране, где они все же выделялись и энергетикам в том числе, и модернизация была проведена не малая, а уж что говорить про наши соседние бывшие республики))) Той же телемеханики, середины 90-х годов еще полно, работающей по аналоговым каналам связи, со скоростью 100 - 200 бод, а где-то ее не было никогда))) В нашей области, последнее село, было электрифицировано в 1986 году. Рано еще вирусы изобретать. Надо ждать развития и модернизации)))
Хотя, думаю у этой истории выгодоприобретатель будет и с той, и с этой стороны границы)))


Что и говорить, у меня провода 8 лет как новые стоят, все по уму. Модернизацию когда делали - все сделали как надо.
Но могу сказать, что это не показатель, ибо на соседней улице провода без изменений на скрутках, и с середины 70-х годов. А времени то сколько уже прошло... ой ей..
И объекты есть старые. ГЭС одна была, с конца 50-х годов в работе. Поэтому не верю в вирус. Верю что есть люди которым надо чтоб другие люди поверили в вирус.

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7879
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 35 раз
Поблагодарили: 63 раза
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение TEB » 01 фев 2016, 12:12

Извиняюсь, если уже было.

https://habrahabr.ru/post/276257/
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 12:45
Ф.И.О.: :.О.N.Ф
Благодарил (а): 3 раза
Поблагодарили: 3 раза

BlackEnergy может остановить работу энергосети?

Сообщение Exactamente » 02 фев 2016, 02:39

Самое толковое по теме, что пока попадалось: http://globalsecurity.press/16292/166006/a/article
Упоминаемый на каждом углу KillDisk и уязвимость через офис - это шляпа какая-то. В статье по ссылке выше самое интересное скрыто в строке "вызвали отключения подстанций путем нарушения работы систем телеметрии" - вот только мысль не развёрнута и дальнейшей инфы ноль. Вообще, местами пишут, что АСУшная подсеть была открыта в инет... :ges_slap:
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».

Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1243
Зарегистрирован: 25 июл 2008, 09:25
Ф.И.О.: Гринев Эдуард Владимирович
Откуда: Оренбург
Благодарил (а): 11 раз
Поблагодарили: 37 раз
Контактная информация:

BlackEnergy может остановить работу энергосети?

Сообщение CHANt » 02 фев 2016, 06:30

Да шляпа это, шляпа... Ждем чуваков от ИБ, с новыми истеричными интересными темами)))
Тут недавно инфографику по ИБ в новостях приводили. Полный ппц нашему миру. Источник информации - по результатам опросов 10 тыс. топ-менеджеров :lol:
Видео: http://www.vesti.ru/videos/show/vid/669 ... d%3D669031
Последний раз редактировалось CHANt 02 фев 2016, 12:09, всего редактировалось 1 раз.
--------------------------------------------------------------------------------------------
"Почти все начальники - дилетанты." © цитата из поста hell_boy )))

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2405
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 25 раз

BlackEnergy может остановить работу энергосети?

Сообщение VADR » 02 фев 2016, 08:21

CHANt писал(а):Источник цитаты Источник информации - по результатам опросов 10 тыс. топ-менеджеров

Ой... е-моё... тогда точно - пипец... :lol:
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.


Вернуться в «Безопасность»



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей