Industroyer2 ļaunprātīga programmatūra

Kritiskās infrastruktūras pakalpojumi Ukrainā ir bijuši kiberuzbrukumu mērķi pirms un pēc Krievijas iebrukuma valstī. Šķiet, ka kibernoziedznieki joprojām sāk vairāk uzbrukumu, un viens no jaunākajiem mērķiem ir Ukrainas enerģijas piegādātājs.

Draudošā kampaņa mēģināja izvietot jaunu ļaunprogrammatūru ar nosaukumu Industroyer2, kas spēj sabojāt vai izjaukt upura ICS (Industrial Control Systems). Operācija bija vērsta pret augstsprieguma elektrisko apakšstaciju, un tiek ziņots, ka tai neizdevās sasniegt savus nežēlīgos mērķus. Ukrainas datoru ārkārtas reaģēšanas komanda (CERT-UA), Microsoft un kiberdrošības uzņēmums ESET analizē uzbrukumu. Pagaidām iespējamais vaininieks ir draudu grupējums Sandworm , kas, domājams, darbojas saskaņā ar Krievijas izlūkošanas aģentūras GRU rīkojumu.

Bīstamās īpašības

Šķiet, ka Industroyer2 draudi ir jauna un uzlabota ļaunprogrammatūras versija, kas pazīstama kā Industroyer ( CRASHOVERRIDE ). 2016. gada decembrī oriģinālais Industroyer tika izvietots kā daļa no uzbrukuma elektrības apakšstacijai Ukrainā, kas spēja izraisīt īslaicīgu strāvas padeves pārtraukumu. Tagad Industroyer2 draudi tiek izmantoti līdzīgā veidā. Tas tiek izvietots mērķa sistēmās kā Windows izpildāms fails, kas bija jāizpilda 8. aprīlī, izmantojot ieplānotu uzdevumu.

Lai sazinātos ar mērķa rūpniecisko aprīkojumu, Industroyer2 izmanto protokolu IEC-104 (IEC 60870-5-104). Tas nozīmē, ka tas var ietekmēt aizsardzības relejus elektriskajās apakšstacijās. Turpretim vecākais Industroyer drauds bija pilnībā modulārs un varēja izvietot lietderīgās slodzes vairākiem ICS protokoliem. Vēl viena atšķirība tika atklāta konfigurācijas datos. Lai gan sākotnējais apdraudējums šīs informācijas glabāšanai izmantoja atsevišķu failu, Industroyer2 konfigurācijas dati ir iekodēti tā pamattekstā. Rezultātā katrs apdraudējuma paraugs ir īpaši jāpielāgo izvēlētā upura videi.