Попереджена масштабна кібератака на енергетичний сектор України

Вівторок, 12 квітня 2022, 11:39

Ворожі хакери планували вивести з ладу декілька інфраструктурних елементів одного з енергетичних об’єктів України, але українські фахівці завадили їм в цьому. 

Джерело: Держспецзв’язку 

Дослівно: "Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA вжито невідкладних заходів з реагування на інцидент інформаційної безпеки, пов’язаний з цільовою атакою на об’єкт енергетики України".

Реклама:

Деталі: Задум зловмисників передбачав виведення з ладу декількох інфраструктурних елементів об’єкту атаки, а саме:

  • високовольтних електричних підстанцій – за допомогою шкідливої програми INDUSTROYER2; причому, кожен виконуваний файл містив статично вказаний набір унікальних параметрів для відповідних підстанцій (дата компіляції файлів: 23.03.2022);
  • електронних обчислювальних машин (ЕОМ) під управлінням операційної системи Windows (комп’ютерів користувачів, серверів, а також автоматизованих робочих місць АСУ ТП) – за допомогою шкідливої програми-деструктора CADDYWIPER; при цьому для дешифрування і запуску останнього передбачено використання лоадеру ARGUEPATCH та шелкоду TAILJUMP;
  • серверного обладнання під управлінням операційної систем Linux – за допомогою шкідливих скриптів-деструкторів ORCSHRED, SOLOSHRED, AWFULSHRED;
  • активного мережевого обладнання.

Централізоване розповсюдження і запуск CADDYWIPER реалізовано за допомогою механізму групових політик (GPO), для запуску якого використано PowerShell-скрипт POWERGAP. Для віддаленого виконання команд використано IMPACKET.

Організація-жертва зазнала двох хвиль атак

РЕКЛАМА:

Первинна компрометація відбулася не пізніше лютого 2022 року. 

Відключення електричних підстанцій та виведення з ладу інфраструктури підприємства було заплановане на вечір п’ятниці, 8 квітня 2022 року. Реалізації зловмисного задуму на поточний момент вдалося запобігти.

З метою виявлення ознак присутності подібної загрози в інших організаціях України, оперативну інформацію з рівнем обмеження доступу TLP:AMBER, включаючи зразки шкідливих програм, індикатори компрометації та Yara-правила, передано обмеженому колу міжнародних партнерів та підприємствам енергетичного сектора України.

Реклама:
Шановні читачі, просимо дотримуватись Правил коментування