Новости

Украинским специалистам удалось предотвратить атаку российских хакеров на объекты энергетики Украины

Украинским специалистам удалось предотвратить атаку российских хакеров на объекты энергетики Украины

Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA отбила целевую атаку на объекты энергетики. Ее целью которых было выведение из строя нескольких инфраструктурных элементов:

  • высоковольтных электрических подстанций — с помощью вредоносной программы INDUSTROYER2; причем каждый исполняемый файл содержал статически указанный набор уникальных параметров для соответствующих подстанций (дата компиляции файлов: 23.03.2022);
  • электронных вычислительных машин (ЭВМ) под управлением операционной системы Windows (компьютеров пользователей, серверов, а также автоматизированных рабочих мест автоматизированной системы управления технологическим процессом) — с помощью вредоносной программы-деструктора CADDYWIPER; при этом для дешифрования и запуска последнего предусмотрено использование лоадера ARGUEPATCH и шелкода TAILJUMP;
  • серверного оборудования под управлением операционной систем Linux — с помощью вредоносных скриптов-деструкторов ORCSHRED, SOLOSHRED, AWFULSHRED;
  • активного сетевого оборудования.

«Централизованное распространение и запуск CADDYWIPER реализовано посредством механизма групповых политик (GPO). С целью добавления групповой политики, предусматривающей загрузку компонентов файлового деструктора из контроллера домена, а также создания запланированного задания на ЭВМ, использован PowerShell-скрипт POWERGAP. Возможность горизонтального перемещения между сегментами локальной вычислительной сети обеспечена путем создания цепей SSH-тоннелей. Для удаленного выполнения команд использован IMPACKET», — сказано в публикации.

Украинские киберспециалисты сообщили, что что организация-жертва подверглась двум волнам атак. Первоначальная компрометация состоялась не позже февраля 2022 года. Отключение электрических подстанций и выведение из строя инфраструктуры было запланировано на вечер 8 апреля 2022 года. Кибератаку удалось предотвратить.

Оперативную информацию об инциденте передали ограниченному кругу международных партнеров и предприятиям энергетического сектора Украины. Также CERT-UA выразил благодарность компаниям Microsoft и ESET.

По данным экспертов, за попыткой нападения стоят хакеры Sandworm (UAC-0082). Их связывают с российским ГРУ. Это Юрий Сергеевич Андриенко, Сергей Владимирович Детистов, Павел Валерьевич Фролов, Анатолий Сергеевич Ковалев, Артем Валерьевич Очиченко и Петр Николаевич Плискин.

В 2020 году Министерство юстиции США обвинило хакеров из этой группы в ряде преступлений, среди которых нападения на энергосистему Украины в 2015-2016 годах с использованием семейством вирусов Black Energy, распространение вируса NotPetya и т. д.


Завантаження коментарів...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: