Ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) ujawnił we wtorek , że udaremnił cyberatak Sandworm , grupy hakerskiej powiązanej z rosyjskim wywiadem wojskowym, mającego na celu sabotowanie operacji nieznanego dostawcy energii w tym kraju.
„Atakujący próbowali zniszczyć kilka elementów infrastruktury swojego celu, a mianowicie: podstacje elektryczne, systemy komputerowe działające na systemie Windows, sprzęt serwerowy działający na systemie Linux, [oraz] aktywny sprzęt sieciowy”, Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP) powiedziała w oświadczeniu.
Słowacka firma ESET zajmująca się cyberbezpieczeństwem, która współpracowała z CERT-UA w celu przeanalizowania ataku, powiedziała, że próba włamania obejmowała wykorzystanie szkodliwego oprogramowania obsługującego ICS i zwykłych wymazywaczy dysków, przy czym przeciwnik wypuścił zaktualizowany wariant szkodliwego oprogramowania Industroyer , który został po raz pierwszy wdrożony w atak na ukraińską sieć energetyczną w 2016 roku.
„Atakujący Sandworm podjęli próbę rozmieszczenia szkodliwego oprogramowania Industroyer2 na podstacjach elektrycznych wysokiego napięcia na Ukrainie” – wyjaśnił ESET . „Oprócz Industroyer2, Sandworm używał kilku rodzin destrukcyjnych złośliwych programów, w tym CaddyWiper , OrcShred, SoloShred i AwfulShred”.
Uważa się, że sieć energetyczna ofiary została zinfiltrowana w dwóch falach, przy czym początkowy atak nastąpił nie później niż w lutym 2022 r., zbiegając się z rosyjską inwazją na Ukrainę, oraz następną infiltracją w kwietniu, która umożliwiła atakującym wgranie Industroyera2.
Industroyer, znany również jako „CrashOverride” i nazywany „największym zagrożeniem dla przemysłowych systemów sterowania od czasów Stuxnet ”, jest zarówno modułowy, jak i zdolny do uzyskania bezpośredniego sterowania przełącznikami i wyłącznikami w podstacji dystrybucji energii elektrycznej.
Nowa wersja wyrafinowanego i wysoce konfigurowalnego złośliwego oprogramowania, podobnie jak jego poprzednik, wykorzystuje przemysłowy protokół komunikacyjny o nazwie IEC-104 do sterowania sprzętem przemysłowym, takim jak przekaźniki zabezpieczające stosowane w podstacjach elektrycznych.
Analiza kryminalistyczna artefaktów pozostawionych przez Industroyer2 ujawniła znacznik czasu kompilacji z 23 marca 2022 r., wskazujący, że atak był planowany na co najmniej dwa tygodnie. To powiedziawszy, nadal nie jest jasne, w jaki sposób docelowy obiekt zasilania został początkowo naruszony ani w jaki sposób intruzi przenieśli się z sieci IT do sieci Industrial Control System (ICS).
Firma ESET poinformowała, że destrukcyjne działania przeciwko infrastrukturze firmy miały odbyć się 8 kwietnia 2022 r., ale ostatecznie zostały udaremnione. Miało to nastąpić po 10 minutach od uruchomienia narzędzia do usuwania danych o nazwie CaddyWiper na tym samym komputerze w celu usunięcia śladów złośliwego oprogramowania Industroyer2.
Oprócz Industroyer2 i CaddyWiper, sieć docelowego dostawcy energii została również zainfekowana robakiem linuksowym o nazwie OrcShred, który jest następnie wykorzystywany do rozprzestrzeniania dwóch różnych złośliwych programów do usuwania danych, wymierzonych w systemy Linux i Solaris — AwfulShred i SoloShred — co uniemożliwia działanie maszyn .
Odkrycia zbliżają się do autoryzowanego przez sąd usunięcia Cyclops Blink , zaawansowanego modułowego botnetu kontrolowanego przez grupę Sandworm, w zeszłym tygodniu.
Ze swojej strony CERT-UA ostrzegł również przed szeregiem kampanii phishingowych prowadzonych przez Armageddon, inną rosyjską grupę powiązaną z Federalną Służbą Bezpieczeństwa (FSB), która atakowała ukraińskie podmioty od co najmniej 2013 roku.
„Ukraina ponownie znalazła się w centrum cyberataków wymierzonych w ich krytyczną infrastrukturę” – powiedział ESET. „Ta nowa kampania Industroyer podąża za wieloma falami tego typu ataków, które są wymierzone w różne sektory na Ukrainie”.