Industroyer2 มัลแวร์

บริการโครงสร้างพื้นฐานที่สำคัญในยูเครนตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ ก่อนหน้าและหลังการรุกรานของรัสเซีย ดูเหมือนว่าอาชญากรไซเบอร์ยังคงเริ่มปฏิบัติการโจมตีเพิ่มขึ้น โดยมีเป้าหมายล่าสุดคือผู้ให้บริการพลังงานของยูเครน

แคมเปญที่คุกคามพยายามที่จะปรับใช้มัลแวร์ตัวใหม่ที่เรียกว่า Industroyer2 ซึ่งสามารถทำลายหรือรบกวน ICS (ระบบควบคุมอุตสาหกรรม) ของเหยื่อได้ การดำเนินการมุ่งเป้าไปที่สถานีไฟฟ้าแรงสูงและมีรายงานว่าล้มเหลวในการบรรลุเป้าหมายที่เลวร้าย ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA), Microsoft และบริษัทรักษาความปลอดภัยทางไซเบอร์ ESET กำลังวิเคราะห์การโจมตี จนถึงตอนนี้ ผู้ร้ายน่าจะเป็นกลุ่มภัยคุกคาม Sandworm ซึ่งเชื่อกันว่าปฏิบัติการภายใต้คำสั่งจากหน่วยข่าวกรอง GRU ของรัสเซีย

ลักษณะการคุกคาม

ภัยคุกคาม Industroyer2 ดูเหมือนจะเป็นมัลแวร์เวอร์ชันใหม่ที่ได้รับการปรับปรุงที่เรียกว่า Industroyer ( CRASHOVERRIDE ) ย้อนกลับไปในเดือนธันวาคม 2559 Industroyer ดั้งเดิมถูกนำไปใช้เป็นส่วนหนึ่งของการโจมตีสถานีไฟฟ้าย่อยในยูเครนที่สามารถทำให้ไฟฟ้าดับได้ในระยะเวลาอันสั้น ขณะนี้มีการใช้ภัยคุกคาม Industroyer2 ในลักษณะเดียวกัน มันถูกปรับใช้บนระบบเป้าหมายเป็นไฟล์ปฏิบัติการ Windows ที่ควรจะดำเนินการในวันที่ 8 เมษายนผ่านงานที่กำหนดเวลาไว้

ในการสื่อสารกับอุปกรณ์อุตสาหกรรมของเป้าหมาย Industroyer2 ใช้โปรโตคอล IEC-104 (IEC 60870-5-104) ซึ่งหมายความว่าอาจส่งผลต่อรีเลย์ป้องกันในสถานีไฟฟ้าย่อย ในทางตรงกันข้าม ภัยคุกคามของ Industroyer รุ่นเก่าเป็นแบบโมดูลาร์อย่างสมบูรณ์ และสามารถปรับใช้ payloads สำหรับโปรโตคอล ICS ต่างๆ ได้ พบความแตกต่างอีกประการหนึ่งในข้อมูลการกำหนดค่า แม้ว่าภัยคุกคามดั้งเดิมจะใช้ไฟล์แยกต่างหากเพื่อจัดเก็บข้อมูลนี้ Industroyer2 มีข้อมูลการกำหนดค่าที่ฮาร์ดโค้ดไว้ในเนื้อหา ด้วยเหตุนี้ แต่ละตัวอย่างของภัยคุกคามจึงต้องได้รับการปรับแต่งให้เหมาะกับสภาพแวดล้อมของเหยื่อที่เลือกโดยเฉพาะ