Industroyer2 Malware

यूक्रेन में महत्वपूर्ण बुनियादी ढांचा सेवाओं को देश के रूसी आक्रमण से पहले और बाद में साइबर हमलों द्वारा लक्षित किया गया है। ऐसा प्रतीत होता है कि साइबर अपराधी अभी भी अधिक हमले के संचालन शुरू कर रहे हैं, जिनमें से एक नवीनतम लक्ष्य यूक्रेनी ऊर्जा प्रदाता है।

धमकी देने वाले अभियान ने Industroyer2 नामक मैलवेयर के एक नए टुकड़े को तैनात करने का प्रयास किया, जो पीड़ित के ICS (औद्योगिक नियंत्रण प्रणाली) को नुकसान पहुंचाने या बाधित करने में सक्षम है। ऑपरेशन का उद्देश्य एक उच्च-वोल्टेज विद्युत सबस्टेशन था और कथित तौर पर अपने नापाक लक्ष्यों को प्राप्त करने में विफल रहा। यूक्रेन की कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-यूए), माइक्रोसॉफ्ट और साइबर सुरक्षा फर्म ईएसईटी हमले का विश्लेषण कर रहे हैं। अब तक संभावित अपराधी Sandworm खतरा समूह है, जिसके बारे में माना जाता है कि वह रूस की जीआरयू खुफिया एजेंसी के आदेश के तहत काम करता है।

धमकी के लक्षण

Industroyer2 खतरा मैलवेयर का एक नया और बेहतर संस्करण प्रतीत होता है जिसे Industroyer ( CRASHOVERRIDE ) के नाम से जाना जाता है। दिसंबर 2016 में वापस, मूल Industroyer को यूक्रेन में एक विद्युत सबस्टेशन के खिलाफ हमले के हिस्से के रूप में तैनात किया गया था जो एक अल्पकालिक बिजली आउटेज का कारण बनने में कामयाब रहा। अब, Industroyer2 खतरे का भी इसी तरह इस्तेमाल किया जा रहा है। इसे लक्षित सिस्टम पर एक विंडोज़ निष्पादन योग्य के रूप में तैनात किया गया है जिसे 8 अप्रैल को एक निर्धारित कार्य के माध्यम से निष्पादित किया जाना था।

लक्ष्य के औद्योगिक उपकरणों के साथ संवाद करने के लिए, Industroyer2 IEC-104 (IEC 60870-5-104) प्रोटोकॉल का उपयोग करता है। इसका मतलब है कि यह विद्युत सबस्टेशनों में सुरक्षा रिले को प्रभावित कर सकता है। इसके विपरीत, पुराने उद्योगपति खतरे पूरी तरह से मॉड्यूलर थे और कई आईसीएस प्रोटोकॉल के लिए पेलोड तैनात कर सकते थे। कॉन्फ़िगरेशन डेटा में एक और अंतर खोजा गया था। जबकि मूल खतरे ने इस जानकारी को संग्रहीत करने के लिए एक अलग फ़ाइल का उपयोग किया था, Industroyer2 के पास इसके कॉन्फ़िगरेशन डेटा को इसके शरीर में हार्डकोड किया गया है। नतीजतन, खतरे के प्रत्येक नमूने को विशेष रूप से चुने हुए पीड़ित के पर्यावरण के लिए तैयार किया जाना चाहिए।