Industroyer2 rosszindulatú program

Ukrajnában a kritikus infrastrukturális szolgáltatásokat kibertámadások célozták az ország orosz inváziója előtt és után. Úgy tűnik, hogy a kiberbűnözők még mindig újabb támadásokat indítanak, és az egyik legújabb célpont egy ukrán energiaszolgáltató.

A fenyegető kampány egy új, Industroyer2 nevű rosszindulatú programot próbált bevetni, amely képes károsítani vagy megzavarni az áldozat ICS-ét (Industrial Control Systems). A művelet egy nagyfeszültségű elektromos alállomásra irányult, és a hírek szerint nem érte el aljas céljait. Az ukrán Computer Emergency Response Team (CERT-UA), a Microsoft és az ESET kiberbiztonsági cég elemzi a támadást. Eddig a valószínű tettes a Sandworm fenyegető csoport, amelyről azt feltételezik, hogy az orosz GRU hírszerző ügynökség parancsára működik.

Veszélyes jellemzők

Úgy tűnik, hogy az Industroyer2 fenyegetés az Industroyer ( CRASHOVERRIDE ) néven ismert rosszindulatú program új és továbbfejlesztett változata. Még 2016 decemberében az eredeti Industroyert egy ukrajnai elektromos alállomás elleni támadás részeként vetették be, amely rövid ideig tartó áramkimaradást okozott. Most az Industroyer2 fenyegetést hasonló módon használják. A megcélzott rendszereken Windows végrehajtható fájlként kerül telepítésre, amelyet április 8-án kellett volna végrehajtani egy ütemezett feladaton keresztül.

A cél ipari berendezéseivel való kommunikációhoz az Industroyer2 az IEC-104 (IEC 60870-5-104) protokollt használja. Ez azt jelenti, hogy hatással lehet az elektromos alállomások védelmi relékére. Ezzel szemben a régebbi Industroyer fenyegetés teljesen moduláris volt, és számos ICS-protokollhoz tudott hasznos adatokat telepíteni. Egy másik különbséget fedeztek fel a konfigurációs adatokban. Míg az eredeti fenyegetés egy külön fájlt használt ezeknek az információknak a tárolására, az Industroyer2 konfigurációs adatai a törzsbe vannak kódolva. Ennek eredményeként a fenyegetés minden egyes mintáját kifejezetten a kiválasztott áldozat környezetéhez kell igazítani.