Industroyer2 Malware

Kritiske infrastrukturtjenester i Ukraine er blevet ramt af cyberangreb forud for og efter den russiske invasion af landet. Det ser ud til, at cyberkriminelle stadig lancerer flere angrebsoperationer, hvor et af de seneste mål er en ukrainsk energileverandør.

Den truende kampagne forsøgte at implementere et nyt stykke malware kaldet Industroyer2, som er i stand til at beskadige eller forstyrre ofrets ICS (Industrial Control Systems). Operationen var rettet mod en højspændings-elektrisk transformerstation og formåede efter sigende ikke at nå sine uhyggelige mål. Ukraines Computer Emergency Response Team (CERT-UA), Microsoft og cybersikkerhedsfirmaet ESET analyserer angrebet. Indtil videre er den sandsynlige synder trusselsgruppen Sandworm, som menes at operere efter ordre fra Ruslands GRU-efterretningsagentur.

Truende egenskaber

Industroyer2-truslen ser ud til at være en ny og forbedret version af malware kendt som Industroyer ( CRASHOVERRIDE ). Tilbage i december 2016 blev den originale Industroyer indsat som en del af et angreb mod en elektrisk transformerstation i Ukraine, der formåede at forårsage en kortvarig strømafbrydelse. Nu bliver Industroyer2-truslen brugt på lignende måde. Det er implementeret på de målrettede systemer som en Windows-eksekverbar fil, der skulle udføres den 8. april via en planlagt opgave.

For at kommunikere med målets industrielle udstyr bruger Industroyer2 IEC-104 (IEC 60870-5-104) protokollen. Det betyder, at det kan påvirke beskyttelsesrelæer i elektriske transformerstationer. I modsætning hertil var den ældre Industroyer-trussel fuldt modulopbygget og kunne implementere nyttelast til flere ICS-protokoller. En anden forskel blev opdaget i konfigurationsdataene. Mens den oprindelige trussel brugte en separat fil til at gemme disse oplysninger, har Industroyer2 sine konfigurationsdata hardkodet ind i sin krop. Som følge heraf skal hver prøve af truslen skræddersyes specifikt til miljøet for det valgte offer.