Rosyjski wywiad próbował zaatakować ukraińską sieć energetyczną za pomocą złośliwego oprogramowania Industroyer2

Ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) ujawnił we wtorek , że udaremnił cyberatak Sandworm , grupy hakerskiej powiązanej z rosyjskim wywiadem wojskowym, mającego na celu sabotowanie operacji nieznanego dostawcy energii w tym kraju.

„Atakujący próbowali zniszczyć kilka elementów infrastruktury swojego celu, a mianowicie: podstacje elektryczne, systemy komputerowe działające na systemie Windows, sprzęt serwerowy działający na systemie Linux, [oraz] aktywny sprzęt sieciowy”, Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP) powiedziała w oświadczeniu.

Słowacka firma ESET zajmująca się cyberbezpieczeństwem, która współpracowała z CERT-UA w celu przeanalizowania ataku, powiedziała, że ​​próba włamania obejmowała wykorzystanie szkodliwego oprogramowania obsługującego ICS i zwykłych wymazywaczy dysków, przy czym przeciwnik wypuścił zaktualizowany wariant szkodliwego oprogramowania Industroyer , który został po raz pierwszy wdrożony w atak na ukraińską sieć energetyczną w 2016 roku.

„Atakujący Sandworm podjęli próbę rozmieszczenia szkodliwego oprogramowania Industroyer2 na podstacjach elektrycznych wysokiego napięcia na Ukrainie” – wyjaśnił ESET . „Oprócz Industroyer2, Sandworm używał kilku rodzin destrukcyjnych złośliwych programów, w tym CaddyWiper , OrcShred, SoloShred i AwfulShred”.

Uważa się, że sieć energetyczna ofiary została zinfiltrowana w dwóch falach, przy czym początkowy atak nastąpił nie później niż w lutym 2022 r., zbiegając się z rosyjską inwazją na Ukrainę, oraz następną infiltracją w kwietniu, która umożliwiła atakującym wgranie Industroyera2.

Industroyer, znany również jako „CrashOverride” i nazywany „największym zagrożeniem dla przemysłowych systemów sterowania od czasów Stuxnet ”, jest zarówno modułowy, jak i zdolny do uzyskania bezpośredniego sterowania przełącznikami i wyłącznikami w podstacji dystrybucji energii elektrycznej.

Nowa wersja wyrafinowanego i wysoce konfigurowalnego złośliwego oprogramowania, podobnie jak jego poprzednik, wykorzystuje przemysłowy protokół komunikacyjny o nazwie IEC-104 do sterowania sprzętem przemysłowym, takim jak przekaźniki zabezpieczające stosowane w podstacjach elektrycznych.

Analiza kryminalistyczna artefaktów pozostawionych przez Industroyer2 ujawniła znacznik czasu kompilacji z 23 marca 2022 r., wskazujący, że atak był planowany na co najmniej dwa tygodnie. To powiedziawszy, nadal nie jest jasne, w jaki sposób docelowy obiekt zasilania został początkowo naruszony ani w jaki sposób intruzi przenieśli się z sieci IT do sieci Industrial Control System (ICS).

Firma ESET poinformowała, że ​​destrukcyjne działania przeciwko infrastrukturze firmy miały odbyć się 8 kwietnia 2022 r., ale ostatecznie zostały udaremnione. Miało to nastąpić po 10 minutach od uruchomienia narzędzia do usuwania danych o nazwie CaddyWiper na tym samym komputerze w celu usunięcia śladów złośliwego oprogramowania Industroyer2.

Oprócz Industroyer2 i CaddyWiper, sieć docelowego dostawcy energii została również zainfekowana robakiem linuksowym o nazwie OrcShred, który jest następnie wykorzystywany do rozprzestrzeniania dwóch różnych złośliwych programów do usuwania danych, wymierzonych w systemy Linux i Solaris — AwfulShred i SoloShred — co uniemożliwia działanie maszyn .

Odkrycia zbliżają się do autoryzowanego przez sąd usunięcia Cyclops Blink , zaawansowanego modułowego botnetu kontrolowanego przez grupę Sandworm, w zeszłym tygodniu.

Ze swojej strony CERT-UA ostrzegł również przed szeregiem kampanii phishingowych prowadzonych przez Armageddon, inną rosyjską grupę powiązaną z Federalną Służbą Bezpieczeństwa (FSB), która atakowała ukraińskie podmioty od co najmniej 2013 roku.

„Ukraina ponownie znalazła się w centrum cyberataków wymierzonych w ich krytyczną infrastrukturę” – powiedział ESET. „Ta nowa kampania Industroyer podąża za wieloma falami tego typu ataków, które są wymierzone w różne sektory na Ukrainie”.

Podziel się postem:

Najnowsze:

Bezpieczeństwo

CSIRT KNF ostrzega. Cyberprzestępcy podszywają się pod PKO BP

Klienci PKO Banu Polskiego muszą mieć się na baczności. CSIRT KNF ostrzega przed nową kampanią phishingową, w której cyberprzestępcy wykorzystują wizerunek największego polskiego banku. Kampanię przygotowano z dbałością o szczegóły, więc łatwo się nabrać.

Nauka

Nowy model OpenAI ,,Orion” zadebiutuje jeszcze w 2024 roku

OpenAI planuje wydanie następcy obecnych modeli GPT-4o i o1. Jak donosi redakcja The Verge, nowy model ma nosić nazwę Orion. Z przekazanych informacji wynika, że model ten początkowo nie będzie powszechnie dostępny. OpenAI ma w pierwszej kolejności przyznać dostęp do Oriona firmom, z którymi ściśle współpracuje.

Mobilne

Android 15 wreszcie wydany! Oto główne nowości

Google wystartował z procesem aktualizacyjnym do Androida 15 dokładnie 63 dni po premierze smartfonów z linii Pixel 9 oraz 42 dni po upublicznieniu kodu źródłowego. Tak długiego poślizgu nie było jeszcze nigdy, ale można mieć nadzieję, że oprogramowanie przynajmniej zostało solidnie doszlifowane. Sam spędziłem z nim już kilkanaście godzin (wkrótce pierwsze wrażenia) i póki co nie uświadczyłem żadnych błędów.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *