Новости Новости 12.04.2022 в 14:59 comment views icon

Украинским специалистам удалось предотвратить атаку российских хакеров на объекты энергетики Украины

author avatar
https://secure.gravatar.com/avatar/b303a3ef67b301f02882656cb7a9184b?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://secure.gravatar.com/avatar/b303a3ef67b301f02882656cb7a9184b?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://itc.ua/wp-content/themes/ITC_6.0/images/no-avatar.svg

Тетяна Нечет

Автор новостей

Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA отбила целевую атаку на объекты энергетики. Ее целью которых было выведение из строя нескольких инфраструктурных элементов:

  • высоковольтных электрических подстанций — с помощью вредоносной программы INDUSTROYER2; причем каждый исполняемый файл содержал статически указанный набор уникальных параметров для соответствующих подстанций (дата компиляции файлов: 23.03.2022);
  • электронных вычислительных машин (ЭВМ) под управлением операционной системы Windows (компьютеров пользователей, серверов, а также автоматизированных рабочих мест автоматизированной системы управления технологическим процессом) — с помощью вредоносной программы-деструктора CADDYWIPER; при этом для дешифрования и запуска последнего предусмотрено использование лоадера ARGUEPATCH и шелкода TAILJUMP;
  • серверного оборудования под управлением операционной систем Linux — с помощью вредоносных скриптов-деструкторов ORCSHRED, SOLOSHRED, AWFULSHRED;
  • активного сетевого оборудования.

«Централизованное распространение и запуск CADDYWIPER реализовано посредством механизма групповых политик (GPO). С целью добавления групповой политики, предусматривающей загрузку компонентов файлового деструктора из контроллера домена, а также создания запланированного задания на ЭВМ, использован PowerShell-скрипт POWERGAP. Возможность горизонтального перемещения между сегментами локальной вычислительной сети обеспечена путем создания цепей SSH-тоннелей. Для удаленного выполнения команд использован IMPACKET», — сказано в публикации.

Украинские киберспециалисты сообщили, что что организация-жертва подверглась двум волнам атак. Первоначальная компрометация состоялась не позже февраля 2022 года. Отключение электрических подстанций и выведение из строя инфраструктуры было запланировано на вечер 8 апреля 2022 года. Кибератаку удалось предотвратить.

Оперативную информацию об инциденте передали ограниченному кругу международных партнеров и предприятиям энергетического сектора Украины. Также CERT-UA выразил благодарность компаниям Microsoft и ESET.

По данным экспертов, за попыткой нападения стоят хакеры Sandworm (UAC-0082). Их связывают с российским ГРУ. Это Юрий Сергеевич Андриенко, Сергей Владимирович Детистов, Павел Валерьевич Фролов, Анатолий Сергеевич Ковалев, Артем Валерьевич Очиченко и Петр Николаевич Плискин.

В 2020 году Министерство юстиции США обвинило хакеров из этой группы в ряде преступлений, среди которых нападения на энергосистему Украины в 2015-2016 годах с использованием семейством вирусов Black Energy, распространение вируса NotPetya и т. д.

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: