Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA отбила целевую атаку на объекты энергетики. Ее целью которых было выведение из строя нескольких инфраструктурных элементов:
- высоковольтных электрических подстанций — с помощью вредоносной программы INDUSTROYER2; причем каждый исполняемый файл содержал статически указанный набор уникальных параметров для соответствующих подстанций (дата компиляции файлов: 23.03.2022);
- электронных вычислительных машин (ЭВМ) под управлением операционной системы Windows (компьютеров пользователей, серверов, а также автоматизированных рабочих мест автоматизированной системы управления технологическим процессом) — с помощью вредоносной программы-деструктора CADDYWIPER; при этом для дешифрования и запуска последнего предусмотрено использование лоадера ARGUEPATCH и шелкода TAILJUMP;
- серверного оборудования под управлением операционной систем Linux — с помощью вредоносных скриптов-деструкторов ORCSHRED, SOLOSHRED, AWFULSHRED;
- активного сетевого оборудования.
«Централизованное распространение и запуск CADDYWIPER реализовано посредством механизма групповых политик (GPO). С целью добавления групповой политики, предусматривающей загрузку компонентов файлового деструктора из контроллера домена, а также создания запланированного задания на ЭВМ, использован PowerShell-скрипт POWERGAP. Возможность горизонтального перемещения между сегментами локальной вычислительной сети обеспечена путем создания цепей SSH-тоннелей. Для удаленного выполнения команд использован IMPACKET», — сказано в публикации.
Украинские киберспециалисты сообщили, что что организация-жертва подверглась двум волнам атак. Первоначальная компрометация состоялась не позже февраля 2022 года. Отключение электрических подстанций и выведение из строя инфраструктуры было запланировано на вечер 8 апреля 2022 года. Кибератаку удалось предотвратить.
Оперативную информацию об инциденте передали ограниченному кругу международных партнеров и предприятиям энергетического сектора Украины. Также CERT-UA выразил благодарность компаниям Microsoft и ESET.
По данным экспертов, за попыткой нападения стоят хакеры Sandworm (UAC-0082). Их связывают с российским ГРУ. Это Юрий Сергеевич Андриенко, Сергей Владимирович Детистов, Павел Валерьевич Фролов, Анатолий Сергеевич Ковалев, Артем Валерьевич Очиченко и Петр Николаевич Плискин.
В 2020 году Министерство юстиции США обвинило хакеров из этой группы в ряде преступлений, среди которых нападения на энергосистему Украины в 2015-2016 годах с использованием семейством вирусов Black Energy, распространение вируса NotPetya и т. д.