CERT-UA in raziskovalci kibernetske varnosti pri ESET-u podrobno opisujejo, kako napadi zlonamerne programske opreme hekerske skupine Sandworm poskušajo posegati v industrijske nadzorne sisteme in električna omrežja.
Hekerji so uporabili novo obliko zlonamerne programske opreme v napadu, katerega cilj je bil motiti energetski objekt v Ukrajini.
Po podatkih vladne ekipe za odzivanje na računalniške nujne primere Ukrajine (CERT-UA), so bili sprejeti "nujni ukrepi", potem ko so zlonamerni hekerji sprožili a napad zlonamerne programske opreme zasnovan za odklop in razgradnjo industrijske infrastrukture, ki krmili visokonapetostne električne transformatorske postaje.
CERT-UA pravi, da je bil napad, namenjen razgradnji infrastrukture, načrtovan za večer v petek, 8. aprila, vendar je bil ta preprečen.
Analiza raziskovalcev kibernetske varnosti pri ESET, ki je CERT-UA pomagal pri boju proti napadu, je kampanjo povezal s hekersko skupino Peščeni črv.
ZDNET Priporoča
- Najboljše storitve VPN
- Najboljši varnostni ključi
- Najboljša protivirusna programska oprema
- Najhitrejši VPN-ji
Agencije za kibernetsko varnost – vključno z Nacionalnim centrom za kibernetsko varnost Združenega kraljestva (NCSC), Agencijo za kibernetsko varnost in varnost infrastrukture (CISA) in Agencijo za nacionalno varnost (NSA) – so predhodno pripisane akcije Sandworm in druge akcije Sandworm GRU, ki je del Ruska vojska.
GLEJ: Bela hiša opozarja: Naredite teh 8 stvari zdaj, da povečate svojo varnost pred morebitnimi ruskimi kibernetskimi napadi
Napad uporablja posodobljeno različico Industroyer, obliko zlonamerne programske opreme, ki jo je v prejšnjih kampanjah uporabljal Sandworm, ki je zloglasno leta 2015 povzročil izpad električne energije v Ukrajini. Analiza odtisa, ki ga je za seboj pustil Industroyer2, ki je zasnovan za industrijska okolja, kaže, da je bil napad na elektroenergetske sisteme načrtovan več tednov.
Še vedno ni jasno, kako je bil ciljni elektroenergetski objekt prvotno ogrožen ali kako so se vsiljivci premaknili iz omrežja IT v omrežja Industrial Control System (ICS), vendar so po podatkih CERT-UA napadalci prvič vstopili v omrežje kot celoto najpozneje februarja 2022.
Poleg dokazov o Industroyerju v omrežju so napadalci uvedli tudi novo različico CaddyWiper uničujoča zlonamerna programska oprema. Raziskovalci verjamejo, da je bilo to podtaknjeno z namenom upočasnitve procesov okrevanja energetske družbe od ponovnega prevzema nadzora nad konzolami ICS po načrtovanem napadu.
CaddyWiper je bil nameščen tudi na stroju, okuženem z Industroyer2, kar je bil verjetno poskus prikrivanja sledi napada.
"Ukrajina je znova v središču kibernetskih napadov, katerih tarča je njihova kritična infrastruktura. Ta nova kampanja Industroyer sledi številnim valovom brisalcev, ki ciljajo na različne sektorje v Ukrajini," so povedali raziskovalci ESET v objavi na spletnem dnevniku.
Raziskovalci kibernetske varnosti so prej identificiral več oblik zlonamerne programske opreme uporabljen pri kibernetskih napadih na ukrajinske organizacije pred in med rusko invazijo na Ukrajino.
VEČ O KIBERNETSKI VARNOSTI
- Uporaba ruske tehnologije? Čas je, da ponovno pogledamo tveganja, pravi vodja kibernetske varnosti
- CISA opozarja - nadgradite svojo kibernetsko varnost zdaj za obrambo pred "potencialnimi kritičnimi grožnjami"
- Ukrajina gradi 'IT-vojsko' prostovoljcev, kar še ni bilo poskuseno
- Ukrajinska kriza: ruski kibernetski napadi bi lahko prizadeli organizacije po vsem svetu, zato ukrepajte zdaj
- Google: Več hekerskih skupin uporablja vojno v Ukrajini kot vabo pri poskusih lažnega predstavljanja