To wirus Industroyer może zakłócać instalacje przemysłowe (stąd jego nazwa). Oprogramowanie zostało po raz pierwszy użyte w 2016 roku przez grupę Sandworm APT, za którą stanęli oficerowie z rosyjskiej jednostki wojskowej 74455 Głównego Zarządu Wywiadu (GRU). Już wtedy konsekwencje ataku były bardzo dotkliwe, gdyż działania hakerów doprowadziły do zaprzestania dostaw energii na Ukrainę.
Ukraina pod groźbą poważnego cyberataku przez oprogramowanie Industroyer
Badacze z ESET i ukraińskiego CERT odkryli niedawno nowy wariant złośliwego oprogramowania o nazwie Industroyer2. Nowa wersja może być lepiej dopasowana do scenariusza ataku, a oprogramowanie zawiera szczegółową, zakodowaną na sztywno konfigurację, która kontroluje jego działania.
Ta kompilacja stwarza pewne ograniczenia dla atakujących, którzy muszą ponownie skompilować Industroyer2 dla każdej nowej ofiary lub środowiska. Jednak biorąc pod uwagę, że rodzina Industroyer była używana do tej pory tylko dwa razy, z pięcioletnią przerwą między poszczególnymi wersjami, prawdopodobnie nie jest to ograniczenie dla operatorów grupy Sandworm, mówi Kamil Sadkowski, starszy specjalista ds. bezpieczeństwa cybernetycznego ESET. „ W tej chwili nie wiemy, w jaki sposób atakujący przedostali się z sieci IT do sieci ICS ” – dodaje.
Szkodliwy „Industroy” został rozmieszczony na podstacjach wysokiego napięcia, co powinno doprowadzić do znacznie większych problemów niż w 2016 roku. Warto dodać, że osoby atakujące wykorzystały tutaj również inne narzędzia (m.in. CaddyWiper, program do kasowania zawartości dysków twardych). ), które miały spowolnić proces odzyskiwania i doprowadzić do jeszcze większych szkód. Atak miał się rozpocząć 8 kwietnia 2022 roku.
Uważamy, że użycie CaddyWiper miało na celu spowolnienie procesu odzyskiwania systemu i uniemożliwienie operatorom narzędzi odzyskania kontroli nad konsolami ICS. CaddyWiper został również umieszczony na maszynie, na której działał program Industroyer2, prawdopodobnie w celu zatarcia wszelkich śladów – podsumowuje Kamil Sadkowski.
Nie jest tajemnicą, że atak na podstacje wysokiego napięcia był planowany od dawna. Zdaniem ekspertów ESET, stworzenie Industroyera wymagało dobrej znajomości systemu, który miał stać się jego ofiarą. Ponadto analiza kodu wykazała, że ta wersja Industroyer2 została skompilowana 23 marca 2022 r., co sugeruje, że atakujący planowali atak od ponad dwóch tygodni. Kto stoi za atakiem? Wszystko wskazuje na to, że znowu mówimy o rosyjskiej grupie APT Sandworm.
Źródło: ESET, CERTUA
Dodaj komentarz