ESET i ukraiński CERT ujawniają nową próbę cyberataku na Ukrainę

Ten sam szkodliwy program został po raz pierwszy wykorzystany w 2016 roku przez grupę Sandworm APT do spowodowania przerw w dostawie energii na Ukrainie. Obecnie atakujący podjęli próbę znacznie bardziej rozległego działania — rozmieścili szkodliwego Industroyera na podstacjach wysokiego napięcia na Ukrainie.

- Industroyer2 został zainstalowany jako pojedynczy plik wykonywalny systemu Windows o nazwie 108_100.exe, a jego wykonanie zostało zaplanowane na 08.04.2022 o godzinie 16:10:00 UTC. W pliku Industroyera2 widać, że został on skompilowany 23.03.2022, co sugeruje, że napastnicy planowali atak przez ponad dwa tygodnie — komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET.

Industroyer2 jest wysoce konfigurowalny. Zawiera szczegółową, zakodowaną na sztywno konfigurację, kierującą jego działaniami. Różni go to od pierwotnej wersji Industroyera, który przechowuje konfigurację w osobnym pliku.INI.

Taka budowa generuje pewne ograniczenia dla atakujących, którzy muszą rekompilować Industroyer2 dla każdej nowej ofiary lub środowiska. Jednak biorąc pod uwagę, że rodzina Industroyer została dotychczas użyta jedynie dwukrotnie, z pięcioletnią przerwą między każdą wersją, prawdopodobnie nie jest to ograniczenie dla operatorów grupy Sandworm — ocenia ekspert ESET. W tym momencie nie wiemy, w jaki sposób atakujący przedostali się z sieci IT do sieci Industrial Control System (ICS) — dodaje.

Tego jeszcze nie było. Fałszywe reklamy Orlenu wykupione w Google, lepiej uważaćMikołaj Frączak

Atakujący z Sandworm do realizacji celu, oprócz Industroyer2, wykorzystali kilka rodzin destrukcyjnych złośliwych programów, w tym CaddyWiper (program do kasowania zawartości dysków twardych), ORCSHRED, SOLOSHRED i AWFULSHRED. Użycie pierwszego z wymienionych (CaddyWiper) zaobserwowano po raz pierwszy w marcu br. i było ono skierowane przeciwko ukraińskiemu bankowi. Wariant ten został ponownie użyty w opisywanym przypadku, 8 kwietnia o godzinie 14:58 przeciwko dostawcy energii.

- Uważamy, że użycie CaddyWiper miało na celu spowolnić proces odzyskiwania systemów i uniemożliwić operatorom firmy energetycznej odzyskanie kontroli nad konsolami ICS. CaddyWiper został umieszczony również na maszynie, na której zainstalowano program Industroyer2, prawdopodobnie w celu zatarcia śladów — podsumowuje Kamil Sadkowski.

Jak wskazują eksperci ESET, Industroyer to szkodliwy program przygotowany z myślą o atakach na ściśle określony rodzaj celów, a stworzenie go wymagało dobrej znajomości systemu, który miał stać się jego ofiarą.

Wydaje się bardzo mało prawdopodobne, aby ktokolwiek mógł napisać i przetestować takie złośliwe oprogramowanie jak Industroyer bez dostępu do specjalistycznego sprzętu używanego w konkretnym, docelowym środowisku przemysłowym — komentuje Kamil Sadkowski.

Potwierdził to w 2020 r. rząd Stanów Zjednoczonych, gdy sześciu funkcjonariuszy Rosyjskiej Jednostki Wojskowej 74455 Głównego Zarządu Wywiadu (GRU) zostało oskarżonych o udział w wielu cyberatakach, w tym Industroyer i NotPetya.

Źródło: ESET

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.