Threat Database Malware Industroyer2 haittaohjelma

Industroyer2 haittaohjelma

Ukrainan kriittiset infrastruktuuripalvelut ovat joutuneet kyberhyökkäysten kohteeksi ennen Venäjän hyökkäystä maahan ja sen jälkeen. Vaikuttaa siltä, että kyberrikolliset käynnistävät yhä lisää hyökkäysoperaatioita, ja yksi viimeisimmistä kohteista on ukrainalainen energiantoimittaja.

Uhkailukampanjalla yritettiin ottaa käyttöön uusi haittaohjelma nimeltä Industroyer2, joka pystyy vahingoittamaan tai häiritsemään uhrin ICS-järjestelmää (Industrial Control Systems). Operaatio oli suunnattu korkeajännitteiselle sähköasemalle, eikä se onnistunut saavuttamaan ilkeitä tavoitteitaan. Ukrainan Computer Emergency Response Team (CERT-UA), Microsoft ja kyberturvallisuusyritys ESET analysoivat hyökkäystä. Toistaiseksi todennäköinen syyllinen on Sandworm -uhkaryhmä, jonka uskotaan toimivan Venäjän tiedustelupalvelun GRU:n käskystä.

Uhkaavat ominaisuudet

Industroyer2-uhka näyttää olevan uusi ja parannettu versio haittaohjelmasta, joka tunnetaan nimellä Industroyer ( CRASHOVERRIDE ). Joulukuussa 2016 alkuperäinen Industroyer otettiin käyttöön osana hyökkäystä Ukrainan sähköasemaa vastaan, joka onnistui aiheuttamaan lyhytaikaisen sähkökatkon. Nyt Industroyer2-uhkaa käytetään samalla tavalla. Se otetaan käyttöön kohdejärjestelmissä Windows-suoritustiedostona, joka oli tarkoitus suorittaa 8. huhtikuuta ajoitetun tehtävän kautta.

Industroyer2 käyttää IEC-104 (IEC 60870-5-104) protokollaa viestiäkseen kohteen teollisuuslaitteiden kanssa. Tämä tarkoittaa, että se voi vaikuttaa sähköasemien suojareleisiin. Sitä vastoin vanhempi Industroyer-uhka oli täysin modulaarinen ja pystyi käyttämään hyötykuormia useille ICS-protokolloille. Toinen ero havaittiin konfigurointitiedoissa. Vaikka alkuperäinen uhka käytti erillistä tiedostoa näiden tietojen tallentamiseen, Industroyer2:n määritystiedot on koodattu runkoonsa. Tämän seurauksena jokainen uhkanäyte on räätälöitävä valitun uhrin ympäristöön sopivaksi.

Trendaavat

Eniten katsottu

Ladataan...