Предотвращена масштабная кибератака на энергетический сектор Украины

Вражеские хакеры планировали вывести из строя несколько инфраструктурных элементов одного из энергетических объектов Украины, но украинские специалисты помешали им в этом.

Источник: Госспецсвязи

Дословно: "Правительственной командой реагирования на компьютерные чрезвычайные события Украины CERT-UA приняты неотложные меры по реагированию на инцидент информационной безопасности, связанный с целевой атакой на объект энергетики Украины".

Детали: Замысел злоумышленников предполагал выведение из строя нескольких инфраструктурных элементов объекта атаки, а именно:

• высоковольтных электрических подстанций – с помощью вредоносной программы INDUSTROYER2; причем каждый исполняемый файл содержал статически указанный набор уникальных параметров для соответствующих подстанций (дата компиляции файлов: 23.03.2022);
• электронных вычислительных машин (ЭВМ) под управлением операционной системы Windows (компьютеров пользователей, серверов, а также автоматизированных рабочих мест АСУ ТП) – с помощью вредоносной программы-деструктора CADDYWIPER; при этом для дешифрования и запуска последнего предусмотрено использование лоадера ARGUEPATCH и шелкода TAILJUMP;
• серверного оборудования под управлением операционной систем Linux – с помощью вредоносных скриптов-деструкторов ORCSHRED, SOLOSHRED, AWFULSHRED;
• активного сетевого оборудования

Централизованное распространение и запуск CADDYWIPER реализовано с помощью механизма групповых политик (GPO), для запуска которого использован PowerShell-скрипт POWERGAP. Для удаленного выполнения команд использован IMPACKET.

Организация-жертва подверглась двум волнам атак.

Первоначальная компрометация состоялась не позже февраля 2022 года.

Отключение электрических подстанций и выведение из строя инфраструктуры предприятия было запланировано на вечер пятницы, 8 апреля 2022 года. Реализацию замысла злоумышленников на текущий момент удалось предотвратить.

С целью выявления признаков присутствия подобной угрозы в других организациях Украины, оперативная информация с уровнем ограничения доступа TLP:AMBER, включая образцы вредоносных программ, индикаторы компрометации и Yara-правила, передана ограниченному кругу международных партнеров и предприятиям энергетического сектора Украины.