Programe malware Industroyer2
Serviciile de infrastructură critică din Ucraina au fost vizate de atacuri cibernetice, premergătoare și următoare invaziei rusești a țării. Se pare că infractorii cibernetici lansează încă mai multe operațiuni de atac, una dintre cele mai recente ținte fiind un furnizor de energie ucrainean.
Campania de amenințare a încercat să implementeze un nou program malware numit Industroyer2, care este capabil să deterioreze sau să perturbe ICS (sisteme industriale de control) ale victimei. Operațiunea a vizat o substație electrică de înaltă tensiune și se pare că nu și-a îndeplinit obiectivele nefaste. Echipa Ucrainei de Răspuns la Urgență Informatică (CERT-UA), Microsoft și firma de securitate cibernetică ESET analizează atacul. Până acum, cel mai probabil vinovat este grupul de amenințare Sandworm , despre care se crede că operează la ordinele agenției de informații GRU din Rusia.
Caracteristici amenințătoare
Amenințarea Industroyer2 pare a fi o versiune nouă și îmbunătățită de malware cunoscută sub numele de Industroyer ( CRASHOVERRIDE ). În decembrie 2016, Industroyer-ul original a fost desfășurat ca parte a unui atac împotriva unei substații electrice din Ucraina, care a reușit să provoace o întrerupere de scurtă durată a curentului. Acum, amenințarea Industroyer2 este utilizată într-un mod similar. Este implementat pe sistemele vizate ca un executabil Windows care trebuia să fie executat pe 8 aprilie printr-o sarcină programată.
Pentru a comunica cu echipamentele industriale ale țintei, Industroyer2 utilizează protocolul IEC-104 (IEC 60870-5-104). Aceasta înseamnă că poate afecta releele de protecție din stațiile electrice. În schimb, vechea amenințare Industroyer era complet modulară și putea implementa încărcături utile pentru mai multe protocoale ICS. O altă diferență a fost descoperită în datele de configurare. În timp ce amenințarea inițială a folosit un fișier separat pentru a stoca aceste informații, Industroyer2 are datele de configurare codificate în corpul său. Ca rezultat, fiecare eșantion de amenințare trebuie adaptată în mod specific pentru mediul victimei alese.