Rosyjski wywiad próbował zaatakować ukraińską sieć energetyczną za pomocą złośliwego oprogramowania Industroyer2

Ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) ujawnił we wtorek , że udaremnił cyberatak Sandworm , grupy hakerskiej powiązanej z rosyjskim wywiadem wojskowym, mającego na celu sabotowanie operacji nieznanego dostawcy energii w tym kraju.

„Atakujący próbowali zniszczyć kilka elementów infrastruktury swojego celu, a mianowicie: podstacje elektryczne, systemy komputerowe działające na systemie Windows, sprzęt serwerowy działający na systemie Linux, [oraz] aktywny sprzęt sieciowy”, Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP) powiedziała w oświadczeniu.

Słowacka firma ESET zajmująca się cyberbezpieczeństwem, która współpracowała z CERT-UA w celu przeanalizowania ataku, powiedziała, że ​​próba włamania obejmowała wykorzystanie szkodliwego oprogramowania obsługującego ICS i zwykłych wymazywaczy dysków, przy czym przeciwnik wypuścił zaktualizowany wariant szkodliwego oprogramowania Industroyer , który został po raz pierwszy wdrożony w atak na ukraińską sieć energetyczną w 2016 roku.

„Atakujący Sandworm podjęli próbę rozmieszczenia szkodliwego oprogramowania Industroyer2 na podstacjach elektrycznych wysokiego napięcia na Ukrainie” – wyjaśnił ESET . „Oprócz Industroyer2, Sandworm używał kilku rodzin destrukcyjnych złośliwych programów, w tym CaddyWiper , OrcShred, SoloShred i AwfulShred”.

Uważa się, że sieć energetyczna ofiary została zinfiltrowana w dwóch falach, przy czym początkowy atak nastąpił nie później niż w lutym 2022 r., zbiegając się z rosyjską inwazją na Ukrainę, oraz następną infiltracją w kwietniu, która umożliwiła atakującym wgranie Industroyera2.

Industroyer, znany również jako „CrashOverride” i nazywany „największym zagrożeniem dla przemysłowych systemów sterowania od czasów Stuxnet ”, jest zarówno modułowy, jak i zdolny do uzyskania bezpośredniego sterowania przełącznikami i wyłącznikami w podstacji dystrybucji energii elektrycznej.

Nowa wersja wyrafinowanego i wysoce konfigurowalnego złośliwego oprogramowania, podobnie jak jego poprzednik, wykorzystuje przemysłowy protokół komunikacyjny o nazwie IEC-104 do sterowania sprzętem przemysłowym, takim jak przekaźniki zabezpieczające stosowane w podstacjach elektrycznych.

Analiza kryminalistyczna artefaktów pozostawionych przez Industroyer2 ujawniła znacznik czasu kompilacji z 23 marca 2022 r., wskazujący, że atak był planowany na co najmniej dwa tygodnie. To powiedziawszy, nadal nie jest jasne, w jaki sposób docelowy obiekt zasilania został początkowo naruszony ani w jaki sposób intruzi przenieśli się z sieci IT do sieci Industrial Control System (ICS).

Firma ESET poinformowała, że ​​destrukcyjne działania przeciwko infrastrukturze firmy miały odbyć się 8 kwietnia 2022 r., ale ostatecznie zostały udaremnione. Miało to nastąpić po 10 minutach od uruchomienia narzędzia do usuwania danych o nazwie CaddyWiper na tym samym komputerze w celu usunięcia śladów złośliwego oprogramowania Industroyer2.

Oprócz Industroyer2 i CaddyWiper, sieć docelowego dostawcy energii została również zainfekowana robakiem linuksowym o nazwie OrcShred, który jest następnie wykorzystywany do rozprzestrzeniania dwóch różnych złośliwych programów do usuwania danych, wymierzonych w systemy Linux i Solaris — AwfulShred i SoloShred — co uniemożliwia działanie maszyn .

Odkrycia zbliżają się do autoryzowanego przez sąd usunięcia Cyclops Blink , zaawansowanego modułowego botnetu kontrolowanego przez grupę Sandworm, w zeszłym tygodniu.

Ze swojej strony CERT-UA ostrzegł również przed szeregiem kampanii phishingowych prowadzonych przez Armageddon, inną rosyjską grupę powiązaną z Federalną Służbą Bezpieczeństwa (FSB), która atakowała ukraińskie podmioty od co najmniej 2013 roku.

„Ukraina ponownie znalazła się w centrum cyberataków wymierzonych w ich krytyczną infrastrukturę” – powiedział ESET. „Ta nowa kampania Industroyer podąża za wieloma falami tego typu ataków, które są wymierzone w różne sektory na Ukrainie”.

Podziel się postem:

Najnowsze:

Mobilne

Gemini Live już dostępne po polsku!

Google nieustannie rozwija swoje produkty i usługi, a jednym z najciekawszych jest Gemini – zaawansowany model sztucznej inteligencji, który oferuje szeroki wachlarz możliwości. Od niedawna Gemini Live, czyli funkcja umożliwiająca swobodną rozmowę z AI, jest dostępna w języku polskim! Co to oznacza dla polskich użytkowników i jak można wykorzystać tę nową funkcjonalność?

Bezpieczeństwo

Luka w zabezpieczeniach BitLockera w Windows 11: Czy Twoje dane są bezpieczne?

Szyfrowanie dysków to jedna z podstawowych metod ochrony danych w erze cyfrowej. Użytkownicy systemów Windows często korzystają z wbudowanego narzędzia BitLocker, aby zabezpieczyć swoje poufne informacje przed niepowołanym dostępem. Jednak ostatnie doniesienia z Chaos Communication Congress (CCC) w Niemczech wskazują na poważną lukę w zabezpieczeniach BitLockera w systemie Windows 11, która może narazić dane użytkowników na ryzyko.

Bezpieczeństwo

Złamanie Enigmy: Przełomowy moment w historii kryptologii

Złamanie szyfru Enigmy przez polskich kryptologów na przełomie grudnia 1932 i stycznia 1933 roku to jedno z najważniejszych wydarzeń w historii kryptologii i II wojny światowej. Ten artykuł skupia się na wydarzeniach z tego okresu, które doprowadziły do przełomowego momentu w dekryptażu niemieckiej maszyny szyfrującej. Niemcy, przekonani o niemożliwości złamania Enigmy, używali jej do zabezpieczania tajnej korespondencji wojskowej i dyplomatycznej. Sukces polskich matematyków, Mariana Rejewskiego, Jerzego Różyckiego i Henryka Zygalskiego, dał aliantom ogromną przewagę, umożliwiając odczytywanie niemieckich komunikatów i przewidywanie ich ruchów.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *