Зловмисне програмне забезпечення Industroyer2

Сервіси критичної інфраструктури в Україні були мішенню кібератак перед і після вторгнення Росії в країну. Схоже, що кіберзлочинці все ще починають атакувати, однією з останніх цілей є український енергопостачальник.

Загрозлива кампанія намагалася розгорнути нову шкідливу програму під назвою Industroyer2, яка здатна пошкодити або порушити ICS (системи промислового контролю) жертви. Операція була спрямована на високовольтну електричну підстанцію і, як повідомляється, не досягла своїх підлих цілей. Українська група реагування на комп’ютерні надзвичайні ситуації (CERT-UA), Microsoft та компанія з кібербезпеки ESET аналізують атаку. Поки що ймовірним винуватцем є угруповання Sandworm , яке, як вважають, діє за наказом російського розвідувального агентства ГРУ.

Загрозливі характеристики

Схоже, загроза Industroyer2 є новою вдосконаленою версією шкідливого програмного забезпечення, відомого як Industroyer ( CRASHOVERRIDE ). Ще в грудні 2016 року оригінальний Industroyer був розгорнутий в рамках атаки на електричну підстанцію в Україні, яка спровокувала короткочасне відключення електроенергії. Тепер загроза Industroyer2 використовується подібним чином. Він розгорнутий у цільових системах як виконуваний файл Windows, який мав бути виконаний 8 квітня за допомогою запланованого завдання.

Для зв’язку з промисловим обладнанням цілі Industroyer2 використовує протокол IEC-104 (IEC 60870-5-104). Це означає, що це може впливати на реле захисту в електричних підстанціях. На відміну від цього, старіша загроза Industroyer була повністю модульною і могла розгортати корисне навантаження для кількох протоколів ICS. Ще одна відмінність була виявлена в даних конфігурації. У той час як початкова загроза використовувала окремий файл для зберігання цієї інформації, Industroyer2 має свої конфігураційні дані жорстко закодовані в його тілі. У результаті кожен зразок загрози має бути спеціально адаптований для середовища обраної жертви.