Новини Новини 12.04.2022 о 14:59 comment views icon

Українським фахівцям вдалося запобігти атаці російських хакерів на об’єкти енергетики

author avatar

Тетяна Нечет

Автор новин

Тиждень ШІ на ITC.ua за підтримки

На ITC.ua Тиждень ШІ. Ми досліджуємо, як саме ШІ покращує життя мільйонів людей прямо зараз і що чекає нас у майбутньому. Партнер проєкту – компанія Favbet Tech, яка активно інтегрує ШІ у свої продукти.

Урядова команда реагування на надзвичайні події України CERT-UA змогла відбити цільову атаку на об’єкти енергетики.

Її метою було виведення з ладу кількох інфраструктурних елементів:

  • високовольтних електричних підстанцій — за допомогою шкідливої ​​програми INDUSTROYER2; причому кожен файл, що виконується, містив статично зазначений набір унікальних параметрів для відповідних підстанцій (дата компіляції файлів: 23.03.2022);
  • електронних обчислювальних машин (ЕОМ) під управлінням операційної системи Windows (комп’ютерів користувачів, серверів, а також автоматизованих робочих місць автоматизованої системи управління технологічним процесом) — за допомогою шкідливої ​​програми-деструктора CADDYWIPER; при цьому для дешифрування та запуску останнього передбачено використання лоадера ARGUEPATCH та шовкоду TAILJUMP;
  • серверного обладнання під управлінням операційної системи Linux — за допомогою шкідливих скриптів-деструкторів ORCSHRED, SOLOSHRED, AWFULSHRED;
  • активного мережного устаткування.

Українські кіберфахівці повідомили, що організація-жертва зазнала двох хвиль атак. Початкова компрометація відбулася не пізніше лютого 2022 року. Відключення електричних підстанцій та виведення з ладу інфраструктури було заплановано на вечір 8 квітня 2022 року. Кібератаці вдалося запобігти.

«Централізоване поширення та запуск CADDYWIPER реалізовано за допомогою механізму групових політик (GPO). Для додавання групової політики, що передбачає завантаження компонентів файлового деструктора з контролера домену, а також створення запланованого завдання на ЕОМ, використано PowerShell-скрипт POWERGAP. Можливість горизонтального переміщення між сегментами локальної обчислювальної мережі забезпечена шляхом створення ланцюгів SSH-тунелів. Для віддаленого виконання команд використано IMPACKET», — сказано в публікації.

Оперативну інформацію про інцидент передали обмеженому колу міжнародних партнерів та підприємствам енергетичного сектору України. Також CERT-UA висловив подяку компаніям Microsoft та ESET.

За даними експертів, за спробою нападу стоять хакери Sandworm (UAC-0082). Їх пов’язують із російським ГРУ. Це Юрій Сергійович Андрієнко, Сергій Володимирович Детистов, Павло Валерійович Фролов, Анатолій Сергійович Ковальов, Артем Валерійович Очиченко та Петро Миколайович Пліскін.

У 2020 році Міністерство юстиції США звинуватило хакерів цієї групи у низці злочинів, серед яких напади на енергосистему України у 2015-2016 роках з використанням сімейства вірусів Black Energy, поширення вірусу NotPetya тощо.

Favbet Tech — українська продуктова компанія, розробник iGaming-рішень. Входить до топ-50 найбільших IT-компаній України за версією DOU.Спеціалізується на високонавантажених системах, хмарній інфраструктурі та штучному інтелекті. У 2025 стала ініціатором створення АІ-комітету Асоціації «ІТ Ukrainе» — першого галузевого об’єднання, що займається питаннями розвитку АІ на рівні бізнесу й держави.

Що думаєте про цю статтю?
Голосів:
Файно є
Файно є
Йой, най буде!
Йой, най буде!
Трясця!
Трясця!
Ну такої...
Ну такої...
Бісить, аж тіпає!
Бісить, аж тіпає!
Loading comments...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: