Специалисты на днях отразили масштабную кибератаку на украинскую энергосеть. Она стала первой за пять лет, в которой использовали вредоносное программное обеспечение семейства Sandworm Industroyer. Оно предназначено для автоматического инициирования перебоев в подаче электроэнергии. В недавней атаке использовали новую версию этого вируса.
Прошло более пяти лет с тех пор как хакеры, известные как Sandworm, атаковали электростанцию к северу от Киева за неделю до Рождества 2016 года. Они использовали уникальный код, который непосредственно взаимодействовал с выключателями на электроподстанции.
Этот образец вредоносного программного обеспечения для взлома промышленной системы контроля больше никогда не встречался. К апрелю 2022 года, когда в разгар военного вторжения России в Украину Sandworm снова атаковали электрические сети Украины.
Украинская группа реагирования на чрезвычайные компьютерные события (CERT-UA) и словацкая компания по кибербезопасности ESET сообщили, что хакерская группа Sandworm, которая, как подтверждено, является подразделением 74455 российского военного разведывательного агентства ГРУ, атаковала высоковольтные электрические подстанции в Украине. Атака происходила посредством вариации Industroyer.
Новое вредоносное программное обеспечение, названное Industroyer2, может напрямую взаимодействовать с оборудованием в электрических сетях, чтобы отправлять команды на устройства, контролирующие поток электроэнергии, как и в предыдущем образце.ESET и CERT-UA утверждают, что злонамеренное программное обеспечение заложили в целевые системы региональной украинской энергетической компании в пятницу. CERT-UA сообщает, что атаку успешно обнаружили в процессе и остановили до того, как могло произойти фактическое отключение.
CERT-UA и ESET отказались назвать название пострадавшей подстанции. Но, по словам заместителя министра энергетики Украины Фарида Сафарова, на территории, которую она обслуживает, проживает более 2 миллионов человек.
«Попытка взлома не повлияла на обеспечение электроэнергией. Ее оперативно обнаружили и смягчили», – говорит Виктор Жора, старший сотрудник Государственной службы специальной связи и защиты информации (ГССИП). – Но предполагаемый срыв был огромным».
По данным CERT-UA, хакеры проникли в целевую электрическую компанию в феврале или, возможно, раньше. Пока не ясно, как именно, но они попытались развернуть новую версию Industroyer только в пятницу.
Хакеры также развернули другие вредоносные приложения, включая программы для уничтожения данных на компьютерах под управлением операционных систем Linux, Solaris, Windows. Эксперты также нашли фрагмент кода CaddyWiper, который был замечен в системах украинских банках в течение последних недель.
«Нам очень повезло, что мы смогли вовремя отреагировать на эту кибератаку», — сказал Жора журналистам на брифинге во вторник.Оригинальная версия вредителя Sandworm Industroyer, которую обнаружили после кибератаки хакеров на украинскую коммунальную компанию «Укрэнерго» в декабре 2016 года, стала первым случаем, когда получили доказательства, что вредоносное программное обеспечение, которое могло напрямую взаимодействовать с оборудованием электросети, использовалось с
Industroyer был способен отправлять команды автоматическим выключателям с помощью одного из четырех протоколов промышленной системы управления. Это позволило заменять компоненты кода, чтобы злонамеренное программное обеспечение можно было повторно использовать для нацеливания на разное оборудование.
Вредоносное программное обеспечение также содержало компонент для отключения устройств безопасности, а именно – защитных реле. Без этих устройств безопасности могли произойти потенциально катастрофические физические повреждения оборудования электрических сетей, когда операторы Укрэнерго снова включили питание.
И Жора, и ESET говорят, что новая версия Industroyer имела возможность посылать команды автоматическим выключателям, чтобы вызвать отключение так же, как и оригинальная.
ESET также обнаружила, что злонамеренное программное обеспечение имеет возможность отправлять команды на защитные реле. Эксперты компании рассказывают о явной схожести между компонентами нового Industroyer2 и оригиналом. Это дало им «высокую уверенность», что новую версию создали те же авторы.
Но точные возможности нового вредителя остаются далеки от ясности. «Тот факт, что эта группа все еще использует и поддерживает этот инструмент и использование его против промышленных систем контроля является значимым, – говорит руководитель отдела исследования угроз ESET Жан-Иан Бутин. – Это значит, что они разрабатывают инструменты, которые позволят им фактически вмешиваться в такие вещи, как энергетические системы. Это, безусловно, угроза и для других стран мира».
Вторжение России в Украину сопровождалось мощной кибератакой, которую ощутил весь мир. Тогда 24 февраля злоумышленники вывели из строя десятки модемов спутникового оператора Viasat. Это привело к значительным нарушениям военной связи Украины.
