Rosjanie próbowali zaatakować Ukrainę groźnym oprogramowaniem - to mogło się źle skończyć
Konflikt pomiędzy Rosją a Ukrainą toczy się także w cyberprzestrzeni, a my dowiadujemy się o kolejnych atakach na ukraińskie systemy informatyczne. Badacze niedawno odkryli nowy wariant złośliwego oprogramowania, który miał zakłócać działanie instalacji przemysłowych.
Chodzi o wirusa Industroyer, który potrafi zakłócać działanie instalacji przemysłowych (stąd jego nazwa). Oprogramowanie po raz pierwszy zostało wykorzystane w 2016 roku przez grupę Sandworm APT, za którą stali funkcjonariusze Rosyjskiej Jednostki Wojskowej 74455 Głównego Zarządu Wywiadu (GRU). Już wtedy skutki ataku były bardzo dotkliwe, bo efektem działań hakerów była przerwa w dostawie energii na Ukrainę.
Ukraina zagrożona poważnym cyberatakiem oprogramowaniem Industroyer
Badacze z ESET i ukraińskiego CERTu niedawno odkryli nowy wariant złośliwego oprogramowania – Industroyer2. Nowa wersja może być lepiej dostosowana do scenariusza ataku, a oprogramowanie zawiera szczegółową, zakodowaną na sztywno konfigurację, kierującą jego działaniami.
Taka budowa generuje pewne ograniczenia dla atakujących, którzy muszą rekompilować Industroyer2 dla każdej nowej ofiary lub środowiska. Jednak biorąc pod uwagę, że rodzina Industroyer została dotychczas użyta jedynie dwukrotnie, z pięcioletnią przerwą między każdą wersją, prawdopodobnie nie jest to ograniczenie dla operatorów grupy Sandworm – ocenia Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET. – W tym momencie nie wiemy, w jaki sposób atakujący przedostali się z sieci IT do sieci Industrial Control System (ICS) – dodaje.
Szkodliwy Industroyer został rozmieszczony na podstacjach wysokiego napięcia, co miało doprowadzić do znacznie bardziej rozległych problemów niż w przypadku 2016 roku. Warto dodać, że atakujący posłużyli się tutaj także innymi narzędziami (m.in. CaddyWiper - program do kasowania zawartości dysków twardych), które miały spowolnić proces odzyskiwania i doprowadzić do jeszcze większych szkód. Wykonanie ataku zostało zaplanowane na 08 kwietnia 2022 roku.
Uważamy, że użycie CaddyWiper miało na celu spowolnić proces odzyskiwania systemów i uniemożliwić operatorom firmy energetycznej odzyskanie kontroli nad konsolami ICS. CaddyWiper został umieszczony również na maszynie, na której zainstalowano program Industroyer2, prawdopodobnie w celu zatarcia śladów – podsumowuje Kamil Sadkowski.
Nie jest tajemnicą, że atak na podstacje wysokiego napięcia był planowany od dłuższego czasu. Jak wskazują eksperci ESET, stworzenie Industroyera wymagało dobrej znajomości systemu, który miał stać się jego ofiarą. Dodatkowo, analiza kodu wykazała, że dana wersja Industroyera2 została skompilowana już 23 marca 2022 roku, co sugeruje, że napastnicy planowali atak przez ponad dwa tygodnie. Kto stoi za atakiem? Wszystko wskazuje, że ponownie chodzi o rosyjską grupę Sandworm APT.
Źródło: ESET, CERT UA
Komentarze
15Nie tylko wynegocjował z Rosja najwyższe ceny za import gazu ale tez chciał Rusom sprzedać Lotos. Nie mówiąc już o oddaniu śledztwa zamachu Smoleńskiego w ręce rosyjskiej prokuratury która przez lata okłamywała Polska i światowa opinie publiczna i oczerniała sp prezydenta Lecha Kaczyńskiego i polskich pilotów nazywając ich pijakami.
Polska za rządów Tuska była państwem istniejącym teoretycznie. Dzisja można stwierdzić ze zostaliśmy wymazazani przez 8 lat z mapy świata!!
Człowiek ktory chciał nas sprzedać Putlerowi i Makreli powinien dzisiaj zostać surowo osadzony i umieszczony w celi dwa metry na dwa metry gdzie spędzi resztę życia i być karmiony suchym chlebem i woda!!!