Industroyer2 Malware

Usługi infrastruktury krytycznej na Ukrainie stały się celem cyberataków poprzedzających rosyjską inwazję na ten kraj i po niej. Wygląda na to, że cyberprzestępcy wciąż przeprowadzają więcej operacji ataków, a jednym z najnowszych celów jest ukraiński dostawca energii.

W ramach groźnej kampanii próbowano wdrożyć nowy szkodliwy program o nazwie Industroyer2, który może uszkodzić lub zakłócić działanie systemów ICS (Industrial Control Systems) ofiary. Operacja była wycelowana w podstację elektryczną wysokiego napięcia i podobno nie osiągnęła swoich nikczemnych celów. Ukraiński zespół reagowania na incydenty komputerowe (CERT-UA), Microsoft i firma zajmująca się cyberbezpieczeństwem ESET analizują atak. Jak dotąd prawdopodobnym winowajcą jest grupa Sandworm, która prawdopodobnie działa na polecenie rosyjskiej agencji wywiadowczej GRU.

Charakterystyka zagrożenia

Zagrożenie Industroyer2 wydaje się być nową i ulepszoną wersją złośliwego oprogramowania znanego jako Industroyer ( CRASHOVERRIDE ). W grudniu 2016 r. oryginalny Industroyer został wdrożony w ramach ataku na podstację elektryczną na Ukrainie, która zdołała spowodować krótkotrwałą przerwę w dostawie prądu. Teraz zagrożenie Industroyer2 jest wykorzystywane w podobny sposób. Jest wdrażany w docelowych systemach jako plik wykonywalny Windows, który miał zostać uruchomiony 8 kwietnia za pomocą zaplanowanego zadania.

Do komunikacji ze sprzętem przemysłowym celu, Industroyer2 wykorzystuje protokół IEC-104 (IEC 60870-5-104). Oznacza to, że może wpływać na przekaźniki zabezpieczeniowe w podstacjach elektrycznych. Natomiast starsze zagrożenie Industroyer było w pełni modułowe i mogło wdrażać ładunki dla kilku protokołów ICS. Kolejna różnica została odkryta w danych konfiguracyjnych. Podczas gdy pierwotne zagrożenie używało oddzielnego pliku do przechowywania tych informacji, Industroyer2 ma swoje dane konfiguracyjne zakodowane w swoim ciele. W rezultacie każda próbka zagrożenia musi być specjalnie dostosowana do środowiska wybranej ofiary.