Rosyjski wywiad próbował zaatakować ukraińską sieć energetyczną za pomocą złośliwego oprogramowania Industroyer2

Ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) ujawnił we wtorek , że udaremnił cyberatak Sandworm , grupy hakerskiej powiązanej z rosyjskim wywiadem wojskowym, mającego na celu sabotowanie operacji nieznanego dostawcy energii w tym kraju.

„Atakujący próbowali zniszczyć kilka elementów infrastruktury swojego celu, a mianowicie: podstacje elektryczne, systemy komputerowe działające na systemie Windows, sprzęt serwerowy działający na systemie Linux, [oraz] aktywny sprzęt sieciowy”, Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP) powiedziała w oświadczeniu.

Słowacka firma ESET zajmująca się cyberbezpieczeństwem, która współpracowała z CERT-UA w celu przeanalizowania ataku, powiedziała, że ​​próba włamania obejmowała wykorzystanie szkodliwego oprogramowania obsługującego ICS i zwykłych wymazywaczy dysków, przy czym przeciwnik wypuścił zaktualizowany wariant szkodliwego oprogramowania Industroyer , który został po raz pierwszy wdrożony w atak na ukraińską sieć energetyczną w 2016 roku.

„Atakujący Sandworm podjęli próbę rozmieszczenia szkodliwego oprogramowania Industroyer2 na podstacjach elektrycznych wysokiego napięcia na Ukrainie” – wyjaśnił ESET . „Oprócz Industroyer2, Sandworm używał kilku rodzin destrukcyjnych złośliwych programów, w tym CaddyWiper , OrcShred, SoloShred i AwfulShred”.

Uważa się, że sieć energetyczna ofiary została zinfiltrowana w dwóch falach, przy czym początkowy atak nastąpił nie później niż w lutym 2022 r., zbiegając się z rosyjską inwazją na Ukrainę, oraz następną infiltracją w kwietniu, która umożliwiła atakującym wgranie Industroyera2.

Industroyer, znany również jako „CrashOverride” i nazywany „największym zagrożeniem dla przemysłowych systemów sterowania od czasów Stuxnet ”, jest zarówno modułowy, jak i zdolny do uzyskania bezpośredniego sterowania przełącznikami i wyłącznikami w podstacji dystrybucji energii elektrycznej.

Nowa wersja wyrafinowanego i wysoce konfigurowalnego złośliwego oprogramowania, podobnie jak jego poprzednik, wykorzystuje przemysłowy protokół komunikacyjny o nazwie IEC-104 do sterowania sprzętem przemysłowym, takim jak przekaźniki zabezpieczające stosowane w podstacjach elektrycznych.

Analiza kryminalistyczna artefaktów pozostawionych przez Industroyer2 ujawniła znacznik czasu kompilacji z 23 marca 2022 r., wskazujący, że atak był planowany na co najmniej dwa tygodnie. To powiedziawszy, nadal nie jest jasne, w jaki sposób docelowy obiekt zasilania został początkowo naruszony ani w jaki sposób intruzi przenieśli się z sieci IT do sieci Industrial Control System (ICS).

Firma ESET poinformowała, że ​​destrukcyjne działania przeciwko infrastrukturze firmy miały odbyć się 8 kwietnia 2022 r., ale ostatecznie zostały udaremnione. Miało to nastąpić po 10 minutach od uruchomienia narzędzia do usuwania danych o nazwie CaddyWiper na tym samym komputerze w celu usunięcia śladów złośliwego oprogramowania Industroyer2.

Oprócz Industroyer2 i CaddyWiper, sieć docelowego dostawcy energii została również zainfekowana robakiem linuksowym o nazwie OrcShred, który jest następnie wykorzystywany do rozprzestrzeniania dwóch różnych złośliwych programów do usuwania danych, wymierzonych w systemy Linux i Solaris — AwfulShred i SoloShred — co uniemożliwia działanie maszyn .

Odkrycia zbliżają się do autoryzowanego przez sąd usunięcia Cyclops Blink , zaawansowanego modułowego botnetu kontrolowanego przez grupę Sandworm, w zeszłym tygodniu.

Ze swojej strony CERT-UA ostrzegł również przed szeregiem kampanii phishingowych prowadzonych przez Armageddon, inną rosyjską grupę powiązaną z Federalną Służbą Bezpieczeństwa (FSB), która atakowała ukraińskie podmioty od co najmniej 2013 roku.

„Ukraina ponownie znalazła się w centrum cyberataków wymierzonych w ich krytyczną infrastrukturę” – powiedział ESET. „Ta nowa kampania Industroyer podąża za wieloma falami tego typu ataków, które są wymierzone w różne sektory na Ukrainie”.

Tagi:

Podziel się postem :)

Najnowsze:

Bezpieczeństwo

Kolejna fala oszustw ,,na PGE”

SMS od PGE z informacją o zaplanowanym odłączeniu energii elektrycznej to popularna metoda cyberprzestępców. Oszuści, podszywając się pod Polską Grupę Energetyczną, chcą podstępem pozyskać nasze dane. Cel jest jeden.

Militaria

Alrosa – symbol rosyjskiej floty wraca na morze

Jedyny w swoim rodzaju rosyjski okręt podwodny o nazwie “Alrosa” powrócił na morze. Po modernizacji i zainstalowaniu nowego uzbrojenia ma być głównym elementem floty biorącej udział w agresji na Ukrainę. Rosjanie chwalą się, że jest w stanie zastąpić sześć okrętów. Dlaczego jest tak wyjątkowy?

Bezpieczeństwo

Blisko 66 000 złotych straciła 55- letnia mieszkanka Staszowa w wyniku oszustwa

Blisko 66 000 złotych straciła 55- letnia mieszkanka Staszowa w wyniku oszustwa. Kobieta była przekonana, że odebrała połączenie od pracownika banku, a kolejno od stołecznego policjanta. Otworzyła przesłany za pomocą komunikatora link, i to wystarczyło, aby w efekcie końcowym oszuści wypłacili z jej rachunku bankowego zgromadzone środki oraz zaciągnęli pożyczkę.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.