Experţii au dezvăluit detaliile unui atac cibernetic la scară largă asupra sectorului energetic ucrainean
0Ucraina continuă să fie ţinta a numeroase atacuri cibernetice care vizează infrastructura sa critică.Infractorii cibernetici au încercat să atace sectorul energetic ucrainean.
Dezvoltatorul software-ului antivirus ESET împreună cu echipa guvernamentală pentru răspunsul la urgenţe informatice din Ucraina, CERT-UA, au dezvăluit detaliile unui atac cibernetic la scară largă asupra sectorului energetic ucrainean, a cărui implementare a fost împiedicată.
Potrivit experţilor în securitate cibernetică, de data aceasta infractorii cibernetici au folosit o nouă versiune a malware-ului Industroyer, care a fost deja folosită în 2016 de grupul APT Sandworm pentru a întrerupe electricitatea în Ucraina.
Ecran complet
„În timpul noului atac, criminalii cibernetici au încercat să implementeze malware Industroyer2 în staţiile electrice de înaltă tensiune din Ucraina. Pe lângă Industroyer2, Sandworm a folosit mai multe familii de malware pentru a distruge date, inclusiv CaddyWiper, în timpul atacului”, a raportat ESET.
Acţiunea devastatoare ar fi fost programată pentru 8 aprilie 2022, dar elementele malware-ului indică faptul că atacul a fost planificat pentru cel puţin două săptămâni.
Potrivit ESET, software-ul rău intenţionat numit Industroyer a fost folosit pentru a întrerupe electricitatea în Kiev în decembrie 2016. Versiunea anterioară a Industroyer ar putea interacţiona cu sistemele de control industrial, care sunt utilizate de obicei în sistemele electrice, inclusiv IEC-101, IEC-104, IEC 61850 şi OPC DA, în timp ce noua versiune a ameninţării - Industroyer2, implementează doar protocolul IEC-104, care este utilizat în staţiile electrice pentru a se conecta la echipamente industriale.
Pe lângă lansarea Industroyer2 în reţeaua ICS, atacatorii au implementat o nouă versiune de malware pentru a distruge informaţii - CaddyWiper. Potrivit experţilor ESET, acest lucru a fost făcut pentru a încetini procesul de recuperare şi pentru a împiedica furnizorii de energie electrică să recâştige controlul asupra consolelor ICS. În plus, acest malware a fost probabil folosit pentru a ascunde activitatea Industroyer2.
Fals
Prima versiune a CaddyWiper a fost descoperită de cercetătorii ESET în Ucraina pe 14 martie 2022, în timpul implementării sale în reţeaua băncii. Acest program rău intenţionat distruge datele şi informaţiile despre partiţiile de pe discurile conectate, determinând oprirea sistemului şi imposibilitatea de a se recupera.
Pe lângă CaddyWiper şi Industroyer, în reţeaua furnizorului de energie au fost detectate programe malware suplimentare pentru Linux şi Solaris (ORCSHRED, SOLOSHRED şi AWFULSHRED).
ESET notează că Ucraina continuă să fie ţinta a numeroase atacuri cibernetice care vizează infrastructura sa critică. Experţii în securitate cibernetică adaugă că unicitatea Industroyer constă în capacitatea sa de a perturba sistemele de management al producţiei.
„Infractorii cibernetici ai Industroyer au o cunoaştere profundă a sistemelor de management industrial. În plus, dezvoltarea şi testarea unui astfel de software rău intenţionat necesită acces la echipamente specializate utilizate într-un anumit mediu industrial. Impactul potenţial al unei astfel de ameninţări poate varia de la o simplă oprire a energiei electrice, accidente în cascadă, la daune mai grave ale echipamentelor. În timp ce oprirea unor astfel de sisteme poate perturba funcţionarea industriei de servicii vitale, "- rezumat în ESET.
După cum a raportat UNIAN, la 12 aprilie 2022, experţii în securitate cibernetică au prevenit un atac cibernetic la scară largă asupra sectorului energetic ucrainean.