Урядова команда реагування на надзвичайні події України CERT-UA змогла відбити цільову атаку на об’єкти енергетики.
Її метою було виведення з ладу кількох інфраструктурних елементів:
Українські кіберфахівці повідомили, що організація-жертва зазнала двох хвиль атак. Початкова компрометація відбулася не пізніше лютого 2022 року. Відключення електричних підстанцій та виведення з ладу інфраструктури було заплановано на вечір 8 квітня 2022 року. Кібератаці вдалося запобігти.
«Централізоване поширення та запуск CADDYWIPER реалізовано за допомогою механізму групових політик (GPO). Для додавання групової політики, що передбачає завантаження компонентів файлового деструктора з контролера домену, а також створення запланованого завдання на ЕОМ, використано PowerShell-скрипт POWERGAP. Можливість горизонтального переміщення між сегментами локальної обчислювальної мережі забезпечена шляхом створення ланцюгів SSH-тунелів. Для віддаленого виконання команд використано IMPACKET», — сказано в публікації.
Оперативну інформацію про інцидент передали обмеженому колу міжнародних партнерів та підприємствам енергетичного сектору України. Також CERT-UA висловив подяку компаніям Microsoft та ESET.
За даними експертів, за спробою нападу стоять хакери Sandworm (UAC-0082). Їх пов’язують із російським ГРУ. Це Юрій Сергійович Андрієнко, Сергій Володимирович Детистов, Павло Валерійович Фролов, Анатолій Сергійович Ковальов, Артем Валерійович Очиченко та Петро Миколайович Пліскін.
У 2020 році Міністерство юстиції США звинуватило хакерів цієї групи у низці злочинів, серед яких напади на енергосистему України у 2015-2016 роках з використанням сімейства вірусів Black Energy, поширення вірусу NotPetya тощо.