Разработчик антивирусного программного обеспечения ESET совместно с правительственной командой реагирования на компьютерные чрезвычайные события Украины CERT-UA раскрыли детали масштабной кибератаки на украинский энергетический сектор, реализации которой удалось помешать.
Как отмечают специалисты в сфере кибербезопасности, на этот раз киберпреступники использовали новую версию вредоносного программного обеспечения Industroyer, которая уже применялась в 2016 году APT-группой Sandworm для отключения электроэнергии в Украине.
"В ходе новой атаки киберпреступники совершили попытку развернуть вредоносное программное обеспечение Industroyer2 на высоковольтных электрических подстанциях в Украине. В дополнение к Industroyer2, в ходе атаки группа Sandworm использовала несколько семейств вредоносных программ для уничтожения данных, в том числе CaddyWiper", - сообщают в ESET.
Согласно сообщению, разрушительные действия были запланированы на 8 апреля 2022 года, но элементы вредоносных программ указывают, что атака планировалась не менее двух недель.
По данным ESET, вредоносное программное обеспечение под названием Industroyer было использовано для отключения электроэнергии в Киеве в декабре 2016 года. Предыдущая версия Industroyer могла взаимодействовать с промышленными системами управления, которые, как правило, используются в электрических системах, в частности IEC-101, IEC-104, IEC 61850 и OPC DA.
В то время как новая версия угрозы - Industroyer2, реализует только протокол IEC-104, который используется в электрических подстанциях для соединения с промышленным оборудованием.
В дополнение к запуску Industroyer2 в сети ICS злоумышленники развернули новую версию вредоносного программного обеспечения для уничтожения информации ― CaddyWiper. По мнению специалистов ESET, это было сделано для того, чтобы замедлить процесс восстановления и не дать операторам поставщика электроэнергии восстановить контроль над консолями ICS. Кроме того, эта вредоносная программа, вероятно, использовалась для скрытия активности Industroyer2.
Первую версию CaddyWiper исследователи ESET обнаружили в Украине 14 марта 2022 во время ее развертывания в сети банка. Эта вредоносная программа уничтожает данные и информацию о разделах с подключенных дисков, приводя к прекращению работы системы и невозможности ее восстановления.
Кроме CaddyWiper та Industroyer, в сети поставщика электроэнергии было обнаружено дополнительное вредоносное программное обеспечение для систем Linux и Solaris (ORCSHRED, SOLOSHRED и AWFULSHRED). В частности, во время атак использовался червь и разрушительный компонент во всех доступных системах.
Таким образом, в компании ESET отмечают, что Украина продолжает оставаться целью многочисленных кибератак, направленных на ее критическую инфраструктуру.
Специалисты в сфере кибербезопасности добавляют, что уникальность Industroyer заключается в способности нарушать работу систем управления производственными процессами.
"Киберпреступники, которые стоят за Industroyer, имеют глубокие знания о работе промышленных систем управления. Кроме того, для разработки и тестирования такого вредоносного программного обеспечения требуется доступ к специализированному оборудованию, которое используется в определенной промышленной среде. Потенциальное воздействие такой угрозы может варьироваться от простого отключения электроэнергии, каскадных аварий до более серьезного повреждения оборудования. В то время как прекращение работы таких систем может нарушать функционирование отрасли жизненно важных услуг", - подытожили в ESET.
Как сообщал УНИАН, 12 апреля 2022 года специалисты по кибербезопасности предотвратили масштабную кибератаку на украинский энергетический сектор.
