• benchmark.pl
  • Ciekawostki
  • Rosjanie próbowali zaatakować Ukrainę groźnym oprogramowaniem - to mogło się źle skończyć
Ciekawostki

Rosjanie próbowali zaatakować Ukrainę groźnym oprogramowaniem - to mogło się źle skończyć

przeczytasz w 2 min.

Konflikt pomiędzy Rosją a Ukrainą toczy się także w cyberprzestrzeni, a my dowiadujemy się o kolejnych atakach na ukraińskie systemy informatyczne. Badacze niedawno odkryli nowy wariant złośliwego oprogramowania, który miał zakłócać działanie instalacji przemysłowych.

Chodzi o wirusa Industroyer, który potrafi zakłócać działanie instalacji przemysłowych (stąd jego nazwa). Oprogramowanie po raz pierwszy zostało wykorzystane w 2016 roku przez grupę Sandworm APT, za którą stali funkcjonariusze Rosyjskiej Jednostki Wojskowej 74455 Głównego Zarządu Wywiadu (GRU). Już wtedy skutki ataku były bardzo dotkliwe, bo efektem działań hakerów była przerwa w dostawie energii na Ukrainę.

Ukraina zagrożona poważnym cyberatakiem oprogramowaniem Industroyer

Badacze z ESET i ukraińskiego CERTu niedawno odkryli nowy wariant złośliwego oprogramowania – Industroyer2. Nowa wersja może być lepiej dostosowana do scenariusza ataku, a oprogramowanie zawiera szczegółową, zakodowaną na sztywno konfigurację, kierującą jego działaniami.

Taka budowa generuje pewne ograniczenia dla atakujących, którzy muszą rekompilować Industroyer2 dla każdej nowej ofiary lub środowiska. Jednak biorąc pod uwagę, że rodzina Industroyer została dotychczas użyta jedynie dwukrotnie, z pięcioletnią przerwą między każdą wersją, prawdopodobnie nie jest to ograniczenie dla operatorów grupy Sandworm – ocenia Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET. – W tym momencie nie wiemy, w jaki sposób atakujący przedostali się z sieci IT do sieci Industrial Control System (ICS) – dodaje. 

Szkodliwy Industroyer został rozmieszczony na podstacjach wysokiego napięcia, co miało doprowadzić do znacznie bardziej rozległych problemów niż w przypadku 2016 roku. Warto dodać, że atakujący posłużyli się tutaj także innymi narzędziami (m.in.  CaddyWiper - program do kasowania zawartości dysków twardych), które miały spowolnić proces odzyskiwania i doprowadzić do jeszcze większych szkód. Wykonanie ataku zostało zaplanowane na 08 kwietnia 2022 roku.

Uważamy, że użycie CaddyWiper miało na celu spowolnić proces odzyskiwania systemów i uniemożliwić operatorom firmy energetycznej odzyskanie kontroli nad konsolami ICS. CaddyWiper został umieszczony również na maszynie, na której zainstalowano program Industroyer2, prawdopodobnie w celu zatarcia śladów – podsumowuje Kamil Sadkowski.

Nie jest tajemnicą, że atak na podstacje wysokiego napięcia był planowany od dłuższego czasu. Jak wskazują eksperci ESET, stworzenie Industroyera wymagało dobrej znajomości systemu, który miał stać się jego ofiarą. Dodatkowo, analiza kodu wykazała, że dana wersja Industroyera2 została skompilowana już 23 marca 2022 roku, co sugeruje, że napastnicy planowali atak przez ponad dwa tygodnie. Kto stoi za atakiem? Wszystko wskazuje, że ponownie chodzi o rosyjską grupę Sandworm APT.

Źródło: ESET, CERT UA

Komentarze

15
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Teodor
    12
    Mało im ludobójstwa? Z przykrością muszę napisać, ale rosyjskich morderców należy odciąć nie tylko od rynku, ale też od sieci.
    • avatar
      Adrianwo
      1
      Zabić Putina!!!
      • avatar
        szymcio30
        -1
        Co jest gorsze dla Ukrainy: ludobójstwo, gwałcenie dzieci czy złośliwe oprogramowanie? Śmiem twierdzić, ze pierwsze dwa argumenty
        • avatar
          chrispata
          -11
          Dzisiaj nikt już nie powinien mieć wątpliwości ze rząd Donalda Von Tuskstlera prowadzil miękka i uległą politykę wobec Rosji.
          Nie tylko wynegocjował z Rosja najwyższe ceny za import gazu ale tez chciał Rusom sprzedać Lotos. Nie mówiąc już o oddaniu śledztwa zamachu Smoleńskiego w ręce rosyjskiej prokuratury która przez lata okłamywała Polska i światowa opinie publiczna i oczerniała sp prezydenta Lecha Kaczyńskiego i polskich pilotów nazywając ich pijakami.
          Polska za rządów Tuska była państwem istniejącym teoretycznie. Dzisja można stwierdzić ze zostaliśmy wymazazani przez 8 lat z mapy świata!!
          Człowiek ktory chciał nas sprzedać Putlerowi i Makreli powinien dzisiaj zostać surowo osadzony i umieszczony w celi dwa metry na dwa metry gdzie spędzi resztę życia i być karmiony suchym chlebem i woda!!!