Розробник антивірусного програмного забезпечення ESET спільно з урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA розкрили деталі масштабної кібератаки на український енергетичний сектор, реалізації якої вдалося перешкодити.
Як відзначають фахівці в сфері кібербезпеки, цього разу кіберзлочинці використовували нову версію шкідливого програмного забезпечення Industroyer, яка вже застосовувалася в 2016 році APT-групою Sandworm для відключення електроенергії в Україні.
"В ході нової атаки кіберзлочинці здійснили спробу розгорнути шкідливе програмне забезпечення Industroyer2 на високовольтних електричних підстанціях в Україні. На додаток до Industroyer2, в ході атаки група Sandworm використовувала кілька сімейств шкідливих програм для знищення даних, у тому числі CaddyWiper", - повідомляють в ESET.
Згідно з повідомленням, руйнівні дії були заплановані на 8 квітня 2022 року, але елементи шкідливих програм вказують, що атака планувалася не менше двох тижнів.
За даними ESET, шкідливе програмне забезпечення під назвою Industroyer було використано для відключення електроенергії в Києві у грудні 2016 року. Попередня версія Industroyer могла взаємодіяти з промисловими системами управління, які, як правило, використовуються в електричних системах, зокрема IEC-101, IEC-104, IEC 61850 і OPC DA.
У той час як нова версія загрози - Industroyer2, реалізує тільки протокол IEC-104, який використовується в електричних підстанціях для з'єднання з промисловим обладнанням.
На додаток до запуску Industroyer2 у мережі ICS зловмисники розгорнули нову версію шкідливого програмного забезпечення для знищення інформації ― CaddyWiper. На думку фахівців ESET, це було зроблено для того, щоб уповільнити процес відновлення і не дати операторам постачальника електроенергії відновити контроль над консолями ICS. Крім того, ця шкідлива програма, імовірно, використовувалася для приховування активності Industroyer2.
Першу версію CaddyWiper дослідники ESET виявили в Україні 14 березня 2022 року під час її розгортання в мережі банку. Ця шкідлива програма знищує дані та інформацію про розділи з підключених дисків, приводячи до припинення роботи системи і неможливості її відновлення.
Крім CaddyWiper та Industroyer, у мережі постачальника електроенергії було виявлено додаткове шкідливе програмне забезпечення для систем Linux і Solaris (ORCSHRED, SOLOSHRED і AWFULSHRED). Зокрема, під час атак використовувався черв'як і руйнівний компонент у всіх доступних системах.
Таким чином, в компанії ESET відзначають, що Україна продовжує залишатися ціллю численних кібератак, спрямованих на її критичну інфраструктуру.
Фахівці в сфері кібербезпеки додають, що унікальність Industroyer полягає в здатності порушувати роботу систем управління виробничими процесами.
"Кіберзлочинці, які стоять за Industroyer, мають глибокі знання про роботу промислових систем управління. Крім того, для розробки та тестування такого шкідливого програмного забезпечення потрібен доступ до спеціалізованого обладнання, яке використовується в певному промисловому середовищі. Потенційний вплив такої загрози може варіюватися від простого відключення електроенергії, каскадних аварій до більш серйозного пошкодження обладнання. У той час як припинення роботи таких систем може порушувати функціонування галузі життєво важливих послуг", - підсумували в ESET.
Як повідомляв УНІАН, 12 квітня 2022 року фахівці з кібербезпеки запобігли масштабній кібератаці на український енергетичний сектор.
