„Industroyer2“ kenkėjiška programa

Kritinės infrastruktūros paslaugos Ukrainoje buvo nukreiptos kibernetinių atakų prieš ir po Rusijos įsiveržimo į šalį. Panašu, kad kibernetiniai nusikaltėliai vis dar pradeda daugiau atakų operacijų, o vienas naujausių taikinių yra Ukrainos energijos tiekėjas.

Grasinančioje kampanijoje buvo bandoma įdiegti naują kenkėjišką programą, pavadintą „Industroyer2“, kuri gali pažeisti arba sutrikdyti aukos ICS (pramoninės valdymo sistemos). Operacija buvo nukreipta į aukštos įtampos elektros pastotę ir, kaip pranešama, nepasiekė savo niekšiškų tikslų. Ukrainos kompiuterių avarijų reagavimo komanda (CERT-UA), „Microsoft“ ir kibernetinio saugumo įmonė ESET analizuoja ataką. Kol kas tikėtinas kaltininkas yra „ Sandworm “ grėsmės grupuotė, kuri, kaip manoma, veikia pagal Rusijos žvalgybos agentūros GRU užsakymus.

Grėsmingos charakteristikos

Atrodo, kad „Industroyer2“ grėsmė yra nauja ir patobulinta kenkėjiškos programos, žinomos kaip „Industroyer“ ( CRASHOVERRIDE ), versija. 2016 m. gruodį originalus „Industroyer“ buvo dislokuotas kaip dalis atakos prieš elektros pastotę Ukrainoje, kuri sugebėjo sukelti trumpalaikį elektros energijos tiekimo nutraukimą. Dabar „Industroyer2“ grėsmė naudojama panašiai. Jis įdiegtas tikslinėse sistemose kaip „Windows“ vykdomasis failas, kuris turėjo būti vykdomas balandžio 8 d., atliekant suplanuotą užduotį.

Norėdami susisiekti su taikinio pramonine įranga, „Industroyer2“ naudoja IEC-104 (IEC 60870-5-104) protokolą. Tai reiškia, kad tai gali paveikti elektros pastočių apsaugos reles. Priešingai, senesnė „Industroyer“ grėsmė buvo visiškai modulinė ir galėjo panaudoti kelių ICS protokolų naudingąsias apkrovas. Kitas skirtumas buvo aptiktas konfigūracijos duomenyse. Nors pradinė grėsmė šiai informacijai saugoti naudojo atskirą failą, „Industroyer2“ konfigūracijos duomenys yra užkoduoti į korpusą. Dėl to kiekvienas grėsmės pavyzdys turi būti specialiai pritaikytas pasirinktos aukos aplinkai.