Хакерська група Sandworm, підтверджена як підрозділ 74455 російського військового розвідувального управління ГРУ, увечері 8 квітня здійснила атаку на енергосистему України, яка мала на меті блекаут країни за прикладом 2016 року. Про це повідомляє видання Wired з посиланням на інформацію, отриману від Урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA.
"У вівторок Українська група реагування на комп'ютерні надзвичайні ситуації (CERT-UA) і словацька фірма з кібербезпеки ESET опублікували звіт про те, що хакерська група Sandworm, підтверджена як підрозділ 74455 російського військового розвідувального управління ГРУ, зробило спробу вразити високовольтні електричні підстанції в Україні", - пише видання.
Зазначається, що для атаки був використаний фрагмент шкідливого програмного забезпечення, яке російська агресори вже використовували в історичних кібератаках на українську енергосистему в 2015 та 2016 роках. За даними Wired, виявлене шкідливе програмне забезпечення Sandworm Industroyer вперше було використане в кібератаці хакерів на українську компанію "Укренерго" в грудні 2016 року.
"Воно (програмне забезпечення, - ред.) могло безпосередньо взаємодіяти з обладнанням електричних мереж з метою викликати блекаут. Industroyer був здатний відправляти команди автоматичним вимикачам, використовуючи будь-який з чотирьох протоколів промислової системи управління", - йдеться у статті.
Також, видання стверджує, що внаслідок хакерської атаки 8 квітня 2022 року електропостачання було тимчасово відключене на дев'яти підстанціях.
"CERT-UA каже, що атака була успішно виявлена і зупинена до того, як може бути спровоковано будь-яке фактичне відключення електроенергії. Але раніше приватний консультант CERT-UA повідомив MIT Technology Review, що електропостачання було тимчасово відключено на дев'яти електричних підстанціях", - йдеться у статті.
При цьому, вочевидь у цілях безпеки, як CERT-UA, так і ESET відмовилися назвати постраждалу утиліту. Але відомо, що в районі, які обслуговують постраждалі підстанції, проживає понад 2 мільйони осіб.
На сайті CERT-UA справді є повідомлення про хакерську атаку, щоправда, з іншими подробицями, крім тих, які наводить Wired.
Зазначається, що атаку вдалося відбити за сприяння компаній Microsoft та ESET.
"Організація-жертва зазнала двох хвиль атак. Первинна компрометація відбулася не пізніше лютого 2022 року. Відключення електричних підстанцій та виведення з ладу інфраструктури підприємства було заплановане на вечір п’ятниці, 8 квітня 2022 року. Разом з тим, реалізації зловмисного задуму на поточний момент вдалося запобігти", - йдеться в повідомленні CERT-UA.
Задум зловмисників передбачав виведення з ладу декількох інфраструктурних елементів об’єкту атаки, а саме:
- високовольтних електричних підстанцій – за допомогою шкідливої програми INDUSTROYER2; причому, кожен виконуваний файл містив статично вказаний набір унікальних параметрів для відповідних підстанцій (дата компіляції файлів: 23.03.2022);
- електронних обчислювальних машин (ЕОМ) під управлінням операційної системи Windows (комп’ютерів користувачів, серверів, а також автоматизованих робочих місць АСУ ТП) – за допомогою шкідливої програми-деструктора CADDYWIPER; при цьому для дешифрування і запуску останнього передбачено використання лоадеру ARGUEPATCH та шелкоду TAILJUMP;
- серверного обладнання під управлінням операційної систем Linux – за допомогою шкідливих скриптів-деструкторів ORCSHRED, SOLOSHRED, AWFULSHRED;
- активного мережевого обладнання.
"З метою виявлення ознак присутності подібної загрози в інших організаціях України, оперативну інформацію з рівнем обмеження доступу TLP:AMBER, включаючи зразки шкідливих програм, індикатори компрометації та Yara-правила, передано обмеженому колу міжнародних партнерів та підприємствам енергетичного сектору України", - зазначають в CERT-UA.