Malware Industroyer2

Služby kritické infrastruktury na Ukrajině byly terčem kybernetických útoků, které předcházely i po ruské invazi do země. Zdá se, že kyberzločinci stále zahajují další útočné operace, přičemž jedním z nejnovějších cílů je ukrajinský poskytovatel energie.

Hrozivá kampaň se pokusila nasadit nový malware nazvaný Industroyer2, který je schopen poškodit nebo narušit ICS (Industrial Control Systems) oběti. Operace byla zaměřena na vysokonapěťovou elektrickou rozvodnu a údajně nedokázala dosáhnout svých hanebných cílů. Ukrajinský tým Computer Emergency Response Team (CERT-UA), Microsoft a firma ESET pro kybernetickou bezpečnost útok analyzují. Zatím je pravděpodobným viníkem skupina pro hrozba Sandworm , o níž se předpokládá, že působí na základě rozkazů ruské zpravodajské agentury GRU.

Ohrožující vlastnosti

Hrozba Industroyer2 se zdá být novou a vylepšenou verzí malwaru známého jako Industroyer ( CRASHOVERRIDE ). Ještě v prosinci 2016 byl původní Industroyer nasazen v rámci útoku proti elektrické rozvodně na Ukrajině, kterému se podařilo způsobit krátkodobý výpadek proudu. Nyní se podobným způsobem používá hrozba Industroyer2. Je nasazen na cílové systémy jako spustitelný soubor Windows, který měl být spuštěn 8. dubna prostřednictvím naplánované úlohy.

Pro komunikaci s průmyslovým zařízením cíle využívá Industroyer2 protokol IEC-104 (IEC 60870-5-104). To znamená, že může ovlivnit ochranná relé v elektrických rozvodnách. Naproti tomu starší hrozba Industroyer byla plně modulární a mohla nasadit užitečné zatížení pro několik protokolů ICS. Další rozdíl byl objeven v konfiguračních datech. Zatímco původní hrozba používala k ukládání těchto informací samostatný soubor, Industroyer2 má svá konfigurační data pevně zakódovaná ve svém těle. V důsledku toho musí být každý vzorek hrozby specificky přizpůsoben prostředí vybrané oběti.