Industroyer2 תוכנה זדונית

שירותי תשתית קריטיים באוקראינה היו יעד למתקפות סייבר, לפני ואחרי הפלישה הרוסית למדינה. נראה שפושעי סייבר עדיין פותחים בפעולות תקיפה נוספות כאשר אחת המטרות האחרונות היא ספק אנרגיה אוקראינית.

הקמפיין המאיים ניסה לפרוס תוכנה זדונית חדשה בשם Industroyer2, המסוגלת להזיק או לשבש את ה-ICS (Industrial Control Systems) של הקורבן. הפעולה כוונה לתחנת משנה חשמלית במתח גבוה ולפי הדיווחים לא הצליחה להשיג את מטרותיה המרושעות. צוות תגובת המחשוב של אוקראינה (CERT-UA), מיקרוסופט וחברת אבטחת הסייבר ESET מנתחים את המתקפה. עד כה האשם הסביר הוא קבוצת האיום של תולעי החול , שלפי ההערכות פועלת לפי הוראות סוכנות הביון הרוסית GRU.

מאפיינים מאיימים

נראה כי האיום Industroyer2 הוא גרסה חדשה ומשופרת של תוכנות זדוניות המכונה Industroyer ( CRASHOVERRIDE ). עוד בדצמבר 2016, ה-Industroyer המקורי נפרס כחלק מהתקפה נגד תחנת משנה חשמלית באוקראינה שהצליחה לגרום להפסקת חשמל קצרת מועד. כעת, נעשה שימוש באיום Industroyer2 באופן דומה. הוא נפרס על המערכות הממוקדות כקובץ הפעלה של Windows שהיה אמור להתבצע ב-8 באפריל באמצעות משימה מתוזמנת.

כדי לתקשר עם הציוד התעשייתי של המטרה, Industroyer2 משתמש בפרוטוקול IEC-104 (IEC 60870-5-104). המשמעות היא שזה יכול להשפיע על ממסרי הגנה בתחנות חשמל. לעומת זאת, האיום הישן יותר של Industroyer היה מודולרי לחלוטין ויכול היה לפרוס מטענים עבור מספר פרוטוקולי ICS. הבדל נוסף התגלה בנתוני התצורה. בעוד שהאיום המקורי השתמש בקובץ נפרד כדי לאחסן את המידע הזה, ל-Industroyer2 יש את נתוני התצורה שלו מקודדים בגופו. כתוצאה מכך, כל מדגם של האיום צריך להיות מותאם במיוחד עבור הסביבה של הקורבן הנבחר.