Eksperci ujawnili nową próbę cyberataku na Ukrainę. „Napastnicy planowali atak przez ponad dwa tygodnie”. O co chodzi?

OPRAC.: MB
Atakujący z Sandworm do realizacji celu, oprócz Industroyer2, wykorzystali kilka rodzin destrukcyjnych złośliwych programów.
Atakujący z Sandworm do realizacji celu, oprócz Industroyer2, wykorzystali kilka rodzin destrukcyjnych złośliwych programów. pixabay
Udostępnij:
Badacze ESET i ukraińskiego CERTu odkryli nowy wariant złośliwego oprogramowania Industroyer, który potrafi zakłócać działanie instalacji przemysłowych. Jak wskazano, atakujący rozmieścili szkodliwego Industroyera na podstacjach wysokiego napięcia na Ukrainie. – Napastnicy planowali atak przez ponad dwa tygodnie – tłumaczy ekspert.

– Industroyer2 został zainstalowany jako pojedynczy plik wykonywalny systemu Windows o nazwie 108_100.exe, a jego wykonanie zostało zaplanowane na 08.04.2022 o godzinie 16:10:00 UTC. W pliku Industroyera2 widać, że został on skompilowany 23.03.2022, co sugeruje, że napastnicy planowali atak przez ponad dwa tygodnie – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET, cytowany w przesłanym komunikacie.

Jak wyjaśniono, Industroyer2 jest wysoce konfigurowalny – zawiera szczegółową, zakodowaną na sztywno konfigurację, kierującą jego działaniami. – Taka budowa generuje pewne ograniczenia dla atakujących, którzy muszą rekompilować Industroyer2 dla każdej nowej ofiary lub środowiska. Jednak biorąc pod uwagę, że rodzina Industroyer została dotychczas użyta jedynie dwukrotnie, z pięcioletnią przerwą między każdą wersją, prawdopodobnie nie jest to ograniczenie dla operatorów grupy Sandworm – ocenia eksper. – W tym momencie nie wiemy, w jaki sposób atakujący przedostali się z sieci IT do sieci Industrial Control System (ICS) – dodaje.

Wykorzystano także kilka rodzin destrukcyjnych złośliwych programów

Atakujący z Sandworm do realizacji celu, oprócz Industroyer2, wykorzystali kilka rodzin destrukcyjnych złośliwych programów, w tym CaddyWiper (program do kasowania zawartości dysków twardych), ORCSHRED, SOLOSHRED i AWFULSHRED. Użycie pierwszego z wymienionych (CaddyWiper) zaobserwowano po raz pierwszy w marcu br. i było ono skierowane przeciwko ukraińskiemu bankowi. Wariant ten został ponownie użyty w opisywanym przypadku, 8 kwietnia o godzinie 14:58 przeciwko dostawcy energii.

– Uważamy, że użycie CaddyWiper miało na celu spowolnić proces odzyskiwania systemów i uniemożliwić operatorom firmy energetycznej odzyskanie kontroli nad konsolami ICS. CaddyWiper został umieszczony również na maszynie, na której zainstalowano program Industroyer2, prawdopodobnie w celu zatarcia śladów – podsumowuje Sadkowski.

Działanie profesjonalistów

Jak wskazują eksperci ESET, Industroyer to szkodliwy program przygotowany z myślą o atakach na ściśle określony rodzaj celów, a stworzenie go wymagało dobrej znajomości systemu, który miał stać się jego ofiarą.

– Wydaje się bardzo mało prawdopodobne, aby ktokolwiek mógł napisać i przetestować takie złośliwe oprogramowanie jak Industroyer bez dostępu do specjalistycznego sprzętu używanego w konkretnym, docelowym środowisku przemysłowym – komentuje Sadkowski.

Potwierdził to w 2020 r. rząd Stanów Zjednoczonych, gdy sześciu funkcjonariuszy Rosyjskiej Jednostki Wojskowej 74455 Głównego Zarządu Wywiadu (GRU) zostało oskarżonych o udział w wielu cyberatakach, w tym Industroyer i NotPetya.

Dołącz do nas na Facebooku!

Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!

Polub nas na Facebooku!

Kontakt z redakcją

Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?

Napisz do nas!

Materiał oryginalny: Eksperci ujawnili nową próbę cyberataku na Ukrainę. „Napastnicy planowali atak przez ponad dwa tygodnie”. O co chodzi? - Strefa Biznesu

Komentarze

Komentowanie artykułów jest możliwe wyłącznie dla zalogowanych Użytkowników. Cenimy wolność słowa i nieskrępowane dyskusje, ale serdecznie prosimy o przestrzeganie kultury osobistej, dobrych obyczajów i reguł prawa. Wszelkie wpisy, które nie są zgodne ze standardami, proszę zgłaszać do moderacji. Zaloguj się lub załóż konto

Nie hejtuj, pisz kulturalne i zgodne z prawem komentarze! Jeśli widzisz niestosowny wpis - kliknij „zgłoś nadużycie”.

Podaj powód zgłoszenia

Nikt jeszcze nie skomentował tego artykułu.
Więcej informacji na stronie głównej Tygodnik Ostrołęcki
Dodaj ogłoszenie