Industroyer2 البرامج الضارة

تم استهداف خدمات البنية التحتية الحيوية في أوكرانيا بالهجمات الإلكترونية ، قبل وبعد الغزو الروسي للبلاد. يبدو أن مجرمي الإنترنت ما زالوا يشنون المزيد من عمليات الهجوم مع كون أحد أحدث الأهداف هو مزود الطاقة الأوكراني.

حاولت حملة التهديد نشر قطعة جديدة من البرمجيات الخبيثة تسمى Industroyer2 ، والتي تكون قادرة على إتلاف أو تعطيل ICS (أنظمة التحكم الصناعية) الخاصة بالضحية. كانت العملية تستهدف محطة كهربائية فرعية ذات جهد عالٍ ، وبحسب ما ورد فشلت في تحقيق أهدافها الشائنة. يقوم فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA) و Microsoft وشركة الأمن السيبراني ESET بتحليل الهجوم. الجاني المحتمل حتى الآن هو مجموعة تهديد Sandworm ، والتي يعتقد أنها تعمل بموجب أوامر من وكالة المخابرات الروسية GRU.

خصائص التهديد

يبدو أن تهديد Industroyer2 هو نسخة جديدة ومحسنة من البرامج الضارة المعروفة باسم Industroyer ( CRASHOVERRIDE ). مرة أخرى في ديسمبر 2016 ، تم نشر Industroyer الأصلي كجزء من هجوم ضد محطة فرعية كهربائية في أوكرانيا التي تمكنت من التسبب في انقطاع التيار الكهربائي لفترة قصيرة. الآن ، يتم استخدام تهديد Industroyer2 بطريقة مماثلة. يتم نشره على الأنظمة المستهدفة كملف Windows قابل للتنفيذ كان من المفترض أن يتم تنفيذه في 8 أبريل عبر مهمة مجدولة.

للتواصل مع المعدات الصناعية للهدف ، تستخدم Industroyer2 بروتوكول IEC-104 (IEC 60870-5-104). هذا يعني أنه يمكن أن يؤثر على مرحلات الحماية في المحطات الكهربائية الفرعية. في المقابل ، كان التهديد الأقدم لشركة Industroyer نمطيًا بالكامل ويمكنه نشر الحمولات للعديد من بروتوكولات ICS. تم اكتشاف اختلاف آخر في بيانات التكوين. بينما استخدم التهديد الأصلي ملفًا منفصلاً لتخزين هذه المعلومات ، فإن Industroyer2 لديها بيانات التكوين الخاصة به مشفرة في هيكلها. نتيجة لذلك ، يجب أن تكون كل عينة من التهديد مصممة خصيصًا لبيئة الضحية المختارة.