Rosyjski wywiad próbował zaatakować ukraińską sieć energetyczną za pomocą złośliwego oprogramowania Industroyer2

Ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) ujawnił we wtorek , że udaremnił cyberatak Sandworm , grupy hakerskiej powiązanej z rosyjskim wywiadem wojskowym, mającego na celu sabotowanie operacji nieznanego dostawcy energii w tym kraju.

„Atakujący próbowali zniszczyć kilka elementów infrastruktury swojego celu, a mianowicie: podstacje elektryczne, systemy komputerowe działające na systemie Windows, sprzęt serwerowy działający na systemie Linux, [oraz] aktywny sprzęt sieciowy”, Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP) powiedziała w oświadczeniu.

Słowacka firma ESET zajmująca się cyberbezpieczeństwem, która współpracowała z CERT-UA w celu przeanalizowania ataku, powiedziała, że ​​próba włamania obejmowała wykorzystanie szkodliwego oprogramowania obsługującego ICS i zwykłych wymazywaczy dysków, przy czym przeciwnik wypuścił zaktualizowany wariant szkodliwego oprogramowania Industroyer , który został po raz pierwszy wdrożony w atak na ukraińską sieć energetyczną w 2016 roku.

„Atakujący Sandworm podjęli próbę rozmieszczenia szkodliwego oprogramowania Industroyer2 na podstacjach elektrycznych wysokiego napięcia na Ukrainie” – wyjaśnił ESET . „Oprócz Industroyer2, Sandworm używał kilku rodzin destrukcyjnych złośliwych programów, w tym CaddyWiper , OrcShred, SoloShred i AwfulShred”.

Uważa się, że sieć energetyczna ofiary została zinfiltrowana w dwóch falach, przy czym początkowy atak nastąpił nie później niż w lutym 2022 r., zbiegając się z rosyjską inwazją na Ukrainę, oraz następną infiltracją w kwietniu, która umożliwiła atakującym wgranie Industroyera2.

Industroyer, znany również jako „CrashOverride” i nazywany „największym zagrożeniem dla przemysłowych systemów sterowania od czasów Stuxnet ”, jest zarówno modułowy, jak i zdolny do uzyskania bezpośredniego sterowania przełącznikami i wyłącznikami w podstacji dystrybucji energii elektrycznej.

Nowa wersja wyrafinowanego i wysoce konfigurowalnego złośliwego oprogramowania, podobnie jak jego poprzednik, wykorzystuje przemysłowy protokół komunikacyjny o nazwie IEC-104 do sterowania sprzętem przemysłowym, takim jak przekaźniki zabezpieczające stosowane w podstacjach elektrycznych.

Analiza kryminalistyczna artefaktów pozostawionych przez Industroyer2 ujawniła znacznik czasu kompilacji z 23 marca 2022 r., wskazujący, że atak był planowany na co najmniej dwa tygodnie. To powiedziawszy, nadal nie jest jasne, w jaki sposób docelowy obiekt zasilania został początkowo naruszony ani w jaki sposób intruzi przenieśli się z sieci IT do sieci Industrial Control System (ICS).

Firma ESET poinformowała, że ​​destrukcyjne działania przeciwko infrastrukturze firmy miały odbyć się 8 kwietnia 2022 r., ale ostatecznie zostały udaremnione. Miało to nastąpić po 10 minutach od uruchomienia narzędzia do usuwania danych o nazwie CaddyWiper na tym samym komputerze w celu usunięcia śladów złośliwego oprogramowania Industroyer2.

Oprócz Industroyer2 i CaddyWiper, sieć docelowego dostawcy energii została również zainfekowana robakiem linuksowym o nazwie OrcShred, który jest następnie wykorzystywany do rozprzestrzeniania dwóch różnych złośliwych programów do usuwania danych, wymierzonych w systemy Linux i Solaris — AwfulShred i SoloShred — co uniemożliwia działanie maszyn .

Odkrycia zbliżają się do autoryzowanego przez sąd usunięcia Cyclops Blink , zaawansowanego modułowego botnetu kontrolowanego przez grupę Sandworm, w zeszłym tygodniu.

Ze swojej strony CERT-UA ostrzegł również przed szeregiem kampanii phishingowych prowadzonych przez Armageddon, inną rosyjską grupę powiązaną z Federalną Służbą Bezpieczeństwa (FSB), która atakowała ukraińskie podmioty od co najmniej 2013 roku.

„Ukraina ponownie znalazła się w centrum cyberataków wymierzonych w ich krytyczną infrastrukturę” – powiedział ESET. „Ta nowa kampania Industroyer podąża za wieloma falami tego typu ataków, które są wymierzone w różne sektory na Ukrainie”.

Podziel się postem :)

Najnowsze:

Bezpieczeństwo

Microsoft został zaatakowany przez rosyjskich hakerów

Niedawno doszło do ataku na systemy Microsoftu, przeprowadzonego przez grupę Midnight Blizzard, znana także jako NOBELIUM, która jest sponsorowana przez rosyjski rząd. Atak ten skutkował przełamaniem zabezpieczeń i nieautoryzowanym dostępem do części korespondencji e-mail firmy.

Oprogramowanie

Nowości w Bardzie – Gemini Pro i generowanie obrazów

Z początkiem lutego Google zapowiedziało kolejne nowości w Bard AI. Narzędzie zyskało dostęp do Gemini Pro w języku polskim (i wielu innych), więc teraz zaawansowany model sztucznej inteligencji może się wykazać także „po naszemu”. A to nie wszystko, bo kolejnym ulepszeniem jest silnik Imagen 2, odpowiedzialny za generatywne tworzenie grafiki.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *