Третий в истории Украины блекаут из-за кибератаки был запланирован на 8 апреля, но его удалось предотвратить.
Команда реагирования на компьютерные чрезвычайные ситуации Украины CERT-UA приняла ряд неотложных мер по реагированию на попытку кибератаки на объект критической инфраструктуры. Целью атаки было выведение из строя высоковольтных электрических подстанций, компьютеров, серверов, сетевого оборудования и АСУ ТП украинской электроэнергетической компании.
Как сообщают специалисты CERT-UA и ИБ-компании ESET, которые помогли отразить и проанализировать атаку, злоумышленники намеревались вывести из строя электроподстанции с помощью вредоносного ПО Industroyer2. По их словам, вредоносные действия были запланированы на 8 апреля 2022 года, но судя по дате компиляции файлов, атака готовилась как минимум за две недели до этого срока.
"В ходе новой атаки киберпреступники совершили попытку развернуть вредоносное программное обеспечение Industroyer2 на высоковольтных электрических подстанциях в Украине. В дополнение к Industroyer2, в ходе атаки группа Sandworm использовала несколько семейств вредоносных программ для уничтожения данных, в том числе CaddyWiper", - сообщают в ESET.
По данным ESET, вредоносное программное обеспечение под названием Industroyer было использовано для отключения электроэнергии в Киеве в декабре 2016 года. Предыдущая версия Industroyer могла взаимодействовать с промышленными системами управления, которые, как правило, используются в электрических системах, в частности IEC-101, IEC-104, IEC 61850 и OPC DA.
Для атаки на компьютеры, серверы и АСУ ТП под управлением ОС Windows злоумышленники планировали использовать деструктивное вредоносное ПО (вайпер) CaddyWiper, предназначенное для удаления всех данных с зараженных систем. Как ранее сообщал SecurityLab, CaddyWiper является одним из четырех обнаруженных вайперов, применявшихся в атаках на Украину с начала текущего года.
Серверы под управлением Linux хакеры намеревались атаковать с помощью вредоносных скриптов-деструкторов ORCSHRED, SOLOSHRED и AWFULSHRED.
«Известно, что организация-жертва подверглась двум волнам атак. Первичная компрометация произошла не позднее февраля 2022 года. Отключение электрических подстанций и выведения из строя инфраструктуры предприятия было запланировано на вечер пятницы 8 апреля 2022 года. Однако реализацию вредоносного плана на текущий момент удалось предотвратить», - сообщила CERT-UA.
Храним важное в надежном месте