BlackEnergy؛ اولین بدافزاری که باعث قطعی برق شد

با توجه به موفقیت بدافزار Stuxnet که چندسال پیش توسط آمریکا و رژیم صهیونیستی برای رخنه به تأسیسات هسته‌ای ایران راه‌اندازی شد، و با توجه به بدافزار Havex که پیش از این سازمان‌های بخش انرژی را مورد هدف قرار داده بودند، سامانه‌ی اسکادا همواره مورد توجه مجرمان سایبری بوده است.

اکنون بار دیگر نفوذگرها از بدافزار بسیار مخربی استفاده کرده و حداقل سه منطقه در اوکراین را مورد هدف قرار دادند و باعث خاموشی سراسری در منطقه‌ی Ivano-Frankivsk اوکراین در ۲۳ دسامبر شدند.

وزیر انرژی این کشور تصدیق کرد که ادعای حمله‌ی سایبری که باعث قطعی برق در نیروگاه محلی Prykarpattyaoblenergo شده است، صحیح بوده و این در حالی است که درست قبل از کریسمس نیمی از خانه‌های منطقه‌ی Ivano-Frankivsk برق نداشتند.

بر اساس گفته‌ی آژانس خبری اوکراین، TSN، این قطعی برق ناشی از بدافزاری بود که باعث عدم برقراری ارتباط با پست‌های برق شده بود.

در روز دوشنبه، شرکت ارائه‌دهنده‌ی خدمات ضدبدافزاری ESET اعلام کرد که چند نیروگاه برق در اوکراین توسط تروجان BlackEnergy مورد هدف قرار گرفته‌اند.

تروجان BlackEnergy اولین بار در سال ۲۰۰۷ شناسایی شد که در آن زمان یک ابزار نسبتاً ساده برای اتصال به حملات DDOS بود اما این تروجان دو سال پیش به‌روزرسانی شد و قابلیت‌های جدید به آن اضافه شد از جمله توانایی آلوده کردن سامانه‌های غیرقابل راه‌اندازی (boot).

شرکت خدمات اطلاعاتی دولتی SBU در روز دوشنبه در بیانیه‌ای اعلام کرد که این بدافزار توسط «خدمات امنیتی روسیه» راه‌اندازی شد که از آن علیه‌ی سامانه‌های کنترل امنیتی و اهداف سیاسی استفاده شده است.

بر اساس گفته‌ی شرکت ESET این بدافزار اخیراً به‌روزرسانی شده است و نرم‌افزارهای جدیدی به نام KillDisc و استفاده از پروتکل SSH به آن افزوده شده است تا نفوذگرها بتوانند به سامانه‌های آلوده دسترسی یابند.

این برنامه‌ی KillDisc بدافزار BlackEnergy را قادر به تخریب بخش‌های حیاتی دیسک سخت یک رایانه کرده و سامانه‌های کنترل صنعتی را مورد آسیب قرار می‌دهند، همانند حمله به آژانس‌های رسانه‌ای خبری اوکراین و نیروگاه برق این کشور.

آنتون چپرانوف محقق ESET در پستی در وبلاگی گفت: «اولین باری که از KillDisk استفاده شده است مربوط به CERT-UA در نوامبر سال ۲۰۱۵ می‌باشد. در این مورد تعدادی آژنس خبری در جریان انتخابات محلی اوکراین در سال ۲۰۱۵ مورد حمله واقع شدند. گفته‌ها حاکی از آن است که در جریان این نفوذ اینترنتی تعدادی ویدئو و سند از بین رفته است.»

محققان می‌گویند که نفوذگرها با استفاده از دستورالعمل‌های ماکروی برنامه‌های مایکروسافت آفیس در نیروگاه‌های برق سرتاسر اوکراین، نمونه‌های KillDisc را پخش می‌کنند.

بنابراین می‌توان گفت نقطه‌ی آغاز آلوده شدن سامانه‌ها با BlackEnergy زمانی بود که کارکنان برنامه‌های آفیس حاوی این ماکروهای مخرب را باز کردند.

بنابراین می‌توان با اطمینان گفت که سامانه‌های صنعتی مورد استفاده برای تأمین برق میلیون‌ها خانه توسط چنین حمله ی مهندسی اجتماعی آلوده شده است.

علاوه براین، بیشترین نگرانی در این مورد است که بدافزار BlackEnergy برای ایجاد خراب‌کاری‌هایی در حال استفاده است که مرگ و زندگی افراد بسیاری را به خطر می‌اندازد.