Компания ESET совместно с CERT-UA проанализировала новую атаку, направленную на украинского постащика електроенергии. На этот раз киберпреступники использовали новую версию вредоносного програмного обеспечения Industroyer. Эту угрозу в 2016 году применяла APT-группа Sandworm для отключения электроэнергии в Украине.
В ходе новой атаки киберпреступники совершили попытку развернуть вредоносное программное обеспечение Industroyer2 на высоковольтных электрических подстанциях в Украине. В дополнение к Industroyer2, в ходе атаки группа Sandworm использовала несколько семейств вредоносных программ для уничтожения данных, в том числе CaddyWiper.
Разрушительные действия были запланированы на 08 апреля 2022 года, но элементы вредоносных программ указывают, что атака планировалась не менее двух недель.
В 2017 году исследователи ESET обнаружили, что вредоносное программное обеспечение под названием Industroyer было использовано для отключения электроэнергии в Киеве в декабре 2016 года. Предидущая версия Industroyer могла взаимодействовать с промышленными системами управления, которые, как правило, использутся в электрических системах, в частности IEC-101, IEC-104, IEC 61850 и OPC DA.
В то время как новая версия угрозы, а именно Industroyer2, реализует только протокол IEC-104, которое используется в электрических подстанциях для соединения с промышленным оборудованием. Это незначительное изменение по сравнению с Industroyer 2016, которое является полностью модульной платформой с компонентом для нескольких протоколов ICS.
В дополнение к запуску Industroyer2 в сети ICS злоумышленники развернули новую версию вредоносного программного обеспечения для уничтожения информации ― CaddyWiper. По мнению специалистов ESET, это было сделано, чтобы замедлить процесс восстановления и не дать операторам поставщика електроэнергии восстановить контроль над консолями ICS. Кроме того, эта вредоносная программа, вероятно, использовалась для скрытия активности Industroyer2.
Первую версию CaddyWiper исследователи ESET обнаружили в Украине 14 марта 2022 во время ее развертывания в сети банка. Эта вредоносная программа уничтожает данные и информацию о разделах с подключенных дисков, приводя к прекращению работы системы и невозможности ее восстановления.
Кроме CaddyWiper та Industroyer, в сети поставщика електроэнергии было обнаружено дополнительное вредоносное программное обеспечение для систем Linux и Solaris (ORCSHRED, SOLOSHRED и AWFULSHRED). В частности, во время атак использовался червь и разрушительный компонент во всех доступных системах.
Следовательно, Украина продолжает оставаться целью многочисленных кибератак, направленных на ее критическую инфраструктуру. Эта новая атака Industroyer предусматривает несколько волн распространения программ для уничтожения данных, которые были нацелены на разные сектора в Украине. Исследователи ESET продолжают следить за ситуацией в киберпространстве для защиты организаций и своевременного реагирования на инциденты кибербезопасности.
Стоит отметить, что уникальность Industroyer заключается в способности нарушать работу систем управления производственными процессами. Киберпреступники, которые стоят за Industroyer, имеют глубокие знания о работе промышленных систем управления. Кроме того, для разработки и тестирования такого вредоносного программного обеспечения требуется доступ к специализированному оборудованию, которое используется в определенной промышленной среде. Потенциальное воздействие такой угрозы может варьироваться от простого отключения электроэнергии, каскадных аварий до более серьезного повреждения оборудования. В то время как прекращение работы таких систем может нарушать функционирование отрасли жизненно важных услуг.
Источник ESET
По вопросам приобретения продуктов ESET обращайтесь к нашим специалистам +380 (44) 383 4410 или sales@softico.ua