Россия совершила хакерскую атаку на энергосистему Украины, целью которой был блекаут страны по примеру 2016 года

Хакерская группа Sandworm, подтвержденная как подразделение 74455 российского военного разведывательного управления ГРУ, вечером 8 апреля совершила атаку на энергосистему Украины, которая имела целью блекаут страны по примеру 2016 года. Об этом сообщает издание Wired со ссылкой на информацию, полученную от Правительственной команды реагирования на чрезвычайные события Украины CERT-UA.

"Во вторник Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) и словацкая фирма по кибербезопасности ESET опубликовали отчет о том, что хакерская группа Sandworm, подтвержденная как подразделение 74455 российского военного разведывательного управления ГРУ, предприняла попытку поразить высоковольтные электрические подстанции   в Украине", - пишет издание.

Отмечается, что для атаки был использован фрагмент вредоносного ПО, которое российские агрессоры уже использовали в исторических кибератаках на украинскую энергосистему в 2015 и 2016 годах. По данным Wired, обнаруженное вредоносное ПО Sandworm Industroyer впервые было использовано в кибератаке хакеров на украинскую компанию "Укрэнерго" в декабре 2016 года.

"Оно (програмне обеспечение, - ред.) могло напрямую взаимодействовать с оборудованием электрических сетей с целью вызвать блекаут. Industroyer был способен отправлять команды автоматическим выключателям, используя любой из четырех протоколов промышленной системы управления", - говорится в статье.

Также, издание утверждает, что в результате хакерской атаки 8 апреля 2022 электроснабжение было временно отключено на девяти подстанциях.

CERT-UA говорит, что атака была успешно обнаружена и остановлена до того, как смогла  спровоцировать какое-либо фактическое отключение электроэнергии. Но ранее частный консультант CERT-UA сообщил MIT Technology Review, что электроснабжение было временно отключено на девяти электрических подстанциях. ", – говорится в статье.

При этом, очевидно, в целях безопасности, как CERT-UA, так и ESET отказались назвать пострадавшую утилиту. Но известно, что в районе, который обслуживают пострадавшие подстанции, проживает более 2 миллионов человек.

На сайте CERT-UA действительно есть сообщения о хакерской атаке, правда, с другими подробностями, кроме тех, которые приводит Wired.

Отмечается, что атаку удалось отразить благодаря содействию компаний Microsoft и ESET.

"Организация-жертва испытала две волны атак. Первичная компрометация произошла не позднее февраля 2022 года. Отключение электрических подстанций и выведение из строя инфраструктуры предприятия, которое было запланировано на вечер пятницы, 8 апреля 2022 года, удалось предотвратить", - говорится в сообщении CERT-UA.

Замысел злоумышленников предполагал выведение из строя нескольких инфраструктурных элементов объекта атаки, а именно:

• высоковольтных электрических подстанций – с помощью вредоносной программы INDUSTROYER2; причем каждый исполняемый файл содержал статически указанный набор уникальных параметров для соответствующих подстанций (дата компиляции файлов: 23.03.2022);
• электронных вычислительных машин (ЭВМ) под управлением операционной системы Windows (компьютеров пользователей, серверов, а также автоматизированных рабочих мест АСУ ТП) – с помощью вредоносной программы-деструктора CADDYWIPER; при этом для дешифрования и запуска последнего предусмотрено использование лоадера ARGUEPATCH и шелкода TAILJUMP;
• серверного оборудования под управлением операционной систем Linux – с помощью вредоносных скриптов-деструкторов ORCSHRED, SOLOSHRED, AWFULSHRED;
• активного сетевого оборудования

" С целью выявления признаков присутствия подобной угрозы в других организациях Украины, оперативная информация с уровнем ограничения доступа TLP:AMBER, включая образцы вредоносных программ, индикаторы компрометации и Yara-правила, передана ограниченному кругу международных партнеров и предприятиям энергетического сектора Украины ", - отмечают в CERT-UA.