Industroyer2 Malware

Kritiska infrastrukturtjänster i Ukraina har varit föremål för cyberattacker, före och efter den ryska invasionen av landet. Det verkar som att cyberkriminella fortfarande inleder fler attackoperationer med ett av de senaste målen som en ukrainsk energileverantör.

Den hotfulla kampanjen försökte distribuera en ny skadlig programvara som heter Industroyer2, som kan skada eller störa offrets ICS (Industrial Control Systems). Operationen var inriktad på en elektrisk högspänningstransformatorstation och enligt uppgift misslyckades de med sina skändliga mål. Ukrainas Computer Emergency Response Team (CERT-UA), Microsoft och cybersäkerhetsföretaget ESET analyserar attacken. Hittills är den troliga boven den skyldiga hotgruppen Sandworm, som tros verka under order från Rysslands underrättelsetjänst GRU.

Hotande egenskaper

Industroyer2-hotet verkar vara en ny och förbättrad version av skadlig programvara känd som Industroyer ( CRASHOVERRIDE ). Tillbaka i december 2016 sattes den ursprungliga Industroyer ut som en del av en attack mot en elektrisk transformatorstation i Ukraina som lyckades orsaka ett kortvarigt strömavbrott. Nu används Industroyer2-hotet på liknande sätt. Den distribueras på de riktade systemen som en Windows-körbar fil som var tänkt att köras den 8 april via en schemalagd uppgift.

För att kommunicera med målets industriella utrustning använder Industroyer2 protokollet IEC-104 (IEC 60870-5-104). Det gör att det kan påverka skyddsreläer i elstationer. Däremot var det äldre Industroyer-hotet helt modulärt och kunde distribuera nyttolaster för flera ICS-protokoll. En annan skillnad upptäcktes i konfigurationsdata. Medan det ursprungliga hotet använde en separat fil för att lagra denna information, har Industroyer2 sin konfigurationsdata hårdkodad i sin kropp. Som ett resultat måste varje prov av hotet skräddarsys specifikt för det valda offrets miljö.