Industroyer2 Malware

I servizi infrastrutturali critici in Ucraina sono stati presi di mira da attacchi informatici, prima e dopo l'invasione russa del paese. Sembra che i criminali informatici stiano ancora lanciando più operazioni di attacco con uno degli ultimi obiettivi che è un fornitore di energia ucraino.

La campagna minacciosa ha tentato di implementare un nuovo malware chiamato Industroyer2, in grado di danneggiare o interrompere gli ICS (Industrial Control Systems) della vittima. L'operazione era mirata a una sottostazione elettrica ad alta tensione e, secondo quanto riferito, non è riuscita a raggiungere i suoi nefasti obiettivi. Il Computer Emergency Response Team (CERT-UA) ucraino, Microsoft e la società di sicurezza informatica ESET stanno analizzando l'attacco. Finora il probabile colpevole è il gruppo di minaccia Sandworm, che si ritiene operi su ordine dell'agenzia di intelligence russa GRU.

Caratteristiche minacciose

La minaccia Industroyer2 sembra essere una versione nuova e migliorata del malware noto come Industroyer ( CRASHOVERRIDE ). Nel dicembre 2016, l'Industroyer originale è stato schierato come parte di un attacco contro una sottostazione elettrica in Ucraina che è riuscita a causare un'interruzione di corrente di breve durata. Ora, la minaccia Industroyer2 viene utilizzata in modo simile. Viene distribuito sui sistemi di destinazione come eseguibile di Windows che doveva essere eseguito l'8 aprile tramite un'attività pianificata.

Per comunicare con le apparecchiature industriali del target, Industroyer2 utilizza il protocollo IEC-104 (IEC 60870-5-104). Ciò significa che può influenzare i relè di protezione nelle sottostazioni elettriche. Al contrario, la vecchia minaccia Industroyer era completamente modulare e poteva distribuire payload per diversi protocolli ICS. Un'altra differenza è stata rilevata nei dati di configurazione. Mentre la minaccia originale utilizzava un file separato per archiviare queste informazioni, Industroyer2 ha i suoi dati di configurazione hardcoded nel suo corpo. Di conseguenza, ogni campione della minaccia deve essere specificamente adattato all'ambiente della vittima prescelta.