Фахівці днями відбили масштабну кібератаку на українську енергомережу. Вона стала першою за п’ять років, у якій використали шкідливе програмне забезпечення сімейства Sandworm Industroyer. Воно призначене для автоматичного ініціювання перебоїв у подачі електроенергії. У нещодавній атаці використали нову версію цього віруса.
Минуло більше п’яти років з тих пір, як хакери, відомі як Sandworm, атакували електростанцію на північ від Києва за тиждень до Різдва 2016 року. Вони використовували унікальний код, який для безпосередньо взаємодіяв з вимикачами на електропідстанції.
Той зразок зловмисного програмного забезпечення для зламу промислової системи контролю більше ніколи не зустрічався. До квітня 2022 року, коли у розпал військового вторгнення Росії в Україну Sandworm знову атакували електричні мережі України.
Українська група реагування на надзвичайні комп’ютерні події (CERT-UA) та словацька компанія з кібербезпеки ESET повідомили про те, що хакерська група Sandworm, яка, як підтверджено, є підрозділом 74455 російського військового розвідувального агентства ГРУ, атакувала високовольтні електричні підстанції в Україні. Атака відбувалася за допомогою варіації Industroyer.
Нове шкідливе програмне забезпечення, назване Industroyer2, може безпосередньо взаємодіяти з обладнанням в електричних мережах, щоб надсилати команди на пристрої, які контролюють потік електроенергії, як і в попередньому зразку.
ESET і CERT-UA стверджують, що зловмисне програмне забезпечення заклали в цільові системи регіональної української енергетичної компанії в п’ятницю. CERT-UA повідмляє, що атаку успішно виявили в процесі та зупинили до того, як могло статися фактичне відключення.
CERT-UA і ESET відмовилися назвати назву підстанції, яка постраждала. Але, за словами заступника міністра енергетики України Фарида Сафарова, на території, яку вона обслуговує, проживає понад 2 мільйони людей.
«Спроба злому не вплинула на забезпечення електроенергією. Її оперативно виявили та пом’якшили», – каже Віктор Жора, старший співробітник Державної служби спеціального зв’язку та захисту інформації (ДССЗІП). – Але передбачуваний зрив був величезним».
За даними CERT-UA, хакери проникли в цільову електричну компанію в лютому або, можливо, раніше. Поки не зрозуміло, як саме, але вони спробували розгорнути нову версію Industroyer лише у п’ятницю.
Хакери також розгорнули інші шкідливі додатки, включаючи програми для знищення даних на комп’ютерах на під управлінням операційних систем Linux, Solaris, Windows. Експерти також знайшли фрагмент коду CaddyWiper, який помітили в системах українських банках протягом останніх тижнів.
«Нам дуже пощастило, що ми змогли вчасно відреагувати на цю кібератаку», – сказав Жора журналістам на брифінгу у вівторок.
Оригінальна версія шкідника Sandworm Industroyer, яку виявили після кібератаки хакерів на українську комунальну компанію «Укренерго» у грудні 2016 року, стала першим випадком, коли отримали докази, що шкідливе програмне забезпечення, яке могло безпосередньо взаємодіяти з обладнанням електромережі, використовувалося з наміром викликати відключення.
Industroyer був здатний надсилати команди автоматичним вимикачам за допомогою одного з чотирьох протоколів промислової системи керування. Це дозволило замінювати компоненти коду, щоб зловмисне програмне забезпечення можна було повторно використовувати для націлювання на різне обладнання.
Зловмисне програмне забезпечення також містило компонент для відключення пристроїв безпеки, а саме – захисних реле. Без цих пристроїв безпеки могли статися потенційно катастрофічні фізичні пошкодження обладнання електричних мереж, коли оператори «Укренерго» знову ввімкнули живлення.
І Жора, і ESET кажуть, що нова версія Industroyer мала можливість надсилати команди автоматичним вимикачам, щоб викликати відключення, так само, як і оригінальна.
ESET також виявила, що зловмисне програмне забезпечення має можливість надсилати команди на захисні реле. Експерти компанії розповідають про явну схожість між компонентами нового Industroyer2 та оригіналом. Це дало їм «високу впевненість», що нову версію створили ті ж самі автори.
Але точні можливості нового шкідника залишаються далекими від ясності. «Той факт, що ця група все ще використовує та підтримує цей інструмент і використання його проти промислових систем контролю є значущим, – каже керівник відділу дослідження загроз ESET Жан-Іан Бутін. – Це означає, що вони розробляють інструменти, які дозволять їм фактично втручатися в такі речі, як енергетичні системи. Тож це, безперечно, загроза і для інших країн світу».
Вторгнення Росії в Україну супроводжувалося потужною кібератакою, яку відчув увесь світ. Тоді 24 лютого зловмисники вивели з ладу десятки модемів супутникового оператора Viasat. Це спричинило значні порушення військового зв’язку України.
За матеріалами: Wired
