Компанія ESET спільно з CERT-UA проаналізували нову атаку, спрямовану на українського постачальника електроенергії. Цього разу кіберзлочинці використали нову версію шкідливого програмного забезпечення Industroyer. Цю загрозу в 2016 році застосовувала APT-група Sandworm для вимкнення електроенергії в Україні.
Під час нової атаки кіберзлочинці зробили спробу розгорнути шкідливе програмне забезпечення Industroyer2 на високовольтних електричних підстанціях в Україні. На додаток до Industroyer2, група Sandworm використала декілька сімейств шкідливих програм для знищення даних, зокрема CaddyWiper.
Руйнівні дії були заплановані на 08 квітня 2022 року, але елементи шкідливих програм вказують, що атака планувалася щонайменше два тижні.
У 2017 році дослідники ESET виявили, що шкідливе програмне забезпечення під назвою Industroyer було використано для відключення електроенергії у Києві у грудні 2016 року. Попередня версія Industroyer могла взаємодіяти з промисловими системами управління, які зазвичай використовуються в електричних системах, зокрема IEC-101, IEC-104, IEC 61850 та OPC DA.
Тоді як нова версія загрози, а саме Industroyer2, реалізує лише протокол IEC-104, який використовується в електричних підстанціях для з’єднання з промисловим обладнанням. Це незначна зміна порівняно з Industroyer 2016 року, що є повністю модульною платформою з компонентом для кількох протоколів ICS.
На додаток до запуску Industroyer2 в мережі ICS зловмисники розгорнули нову версію шкідливого програмного забезпечення для знищення інформації ― CaddyWiper. На думку спеціалістів ESET, це було зроблено, щоб уповільнити процес відновлення та не дати операторам постачальника електроенергії відновити контроль над консолями ICS. Крім того, ця шкідлива програма, ймовірно, використовувалася для приховування активності Industroyer2.
Першу версію CaddyWiper дослідники ESET виявили в Україні 14 березня 2022 року під час її розгортання в мережі банку. Ця шкідлива програма знищує дані та інформацію про розділи з підключених дисків, призводячи до припинення роботи системи та неможливості її відновлення.
Крім CaddyWiper та Industroyer, у мережі постачальника електроенергії було виявлено інше шкідливе програмне забезпечення для систем Linux та Solaris (ORCSHRED, SOLOSHRED та AWFULSHRED). Зокрема під час атак використовувався черв’як та руйнівний компонент у всіх доступних системах.
Отже, Україна продовжує залишатися ціллю численних кібератак, спрямованих на її критичну інфраструктуру. Ця нова атака Industroyer передбачає декілька хвиль поширення програм для знищення даних, які були націлені на різні сектори в Україні. Дослідники ESET продовжують слідкувати за ситуацією в кіберпросторі для захисту організацій та вчасного реагування на інциденти кібербезпеки.
Варто зазначити, що унікальність Industroyer полягає у здатності порушувати роботу систем управління виробничими процесами. Кіберзлочинці, які стоять за Industroyer, мають глибокі знання щодо роботи промислових систем управління. Крім цього, для розробки та тестування такого шкідливого програмного забезпечення потрібен доступ до спеціалізованого обладнання, яке використовується у певному промисловому середовищі. Потенційний вплив такої загрози може варіюватися від простого виключення електроенергії, каскадних аварій до більш серйозного пошкодження обладнання. Тоді як припинення роботи таких систем може порушувати функціонування галузі життєво важливих послуг.
Джерело ESET
З питань придбання продуктів ESET зверніться до наших фахівців +380 (44) 383 4410 або sales@softico.ua