Zlonamerna programska oprema Industroyer2

Kritične infrastrukturne storitve v Ukrajini so bile tarča kibernetskih napadov pred in po ruski invaziji na državo. Zdi se, da kibernetski kriminalci še vedno izvajajo več napadov, pri čemer je ena od zadnjih tarč ukrajinski dobavitelj energije.

Grožnja kampanja je poskušala namestiti nov del zlonamerne programske opreme, imenovan Industroyer2, ki je sposoben poškodovati ali motiti žrtvin ICS (Industrial Control Systems). Operacija je bila namenjena visokonapetostni električni postaji in menda ni dosegla svojih zlobnih ciljev. Ukrajinska ekipa za računalniške nujne primere (CERT-UA), Microsoft in podjetje za kibernetsko varnost ESET analizirajo napad. Zaenkrat je verjetni krivec skupina za grožnjo Sandworm , za katero se domneva, da deluje po ukazih ruske obveščevalne agencije GRU.

Nevarne lastnosti

Zdi se, da je grožnja Industroyer2 nova in izboljšana različica zlonamerne programske opreme, znane kot Industroyer ( CRASHOVERRIDE ). Decembra 2016 je bil prvotni Industroyer nameščen kot del napada na električno postajo v Ukrajini, ki je uspel povzročiti kratkotrajni izpad električne energije. Zdaj se grožnja Industroyer2 uporablja na podoben način. Na ciljne sisteme je nameščen kot izvedljiva datoteka sistema Windows, ki naj bi bila izvedena 8. aprila prek načrtovane naloge.

Za komunikacijo z industrijsko opremo cilja Industroyer2 uporablja protokol IEC-104 (IEC 60870-5-104). To pomeni, da lahko vpliva na zaščitne releje v električnih postajah. V nasprotju s tem je bila starejša grožnja Industroyer popolnoma modularna in je lahko razporedila koristne obremenitve za več protokolov ICS. Druga razlika je bila odkrita v konfiguracijskih podatkih. Medtem ko je prvotna grožnja uporabljala ločeno datoteko za shranjevanje teh informacij, ima Industroyer2 svoje konfiguracijske podatke trdo kodirane v telo. Zato je treba vsak vzorec grožnje posebej prilagoditi okolju izbrane žrtve.