Гетти изображения | Всякая Фотография
Прошло более полувека с тех пор, как печально известные российские хакеры, известные как Sandworm, атаковали станцию электропередачи к северу от Киева за неделю до Рождества 2016 года, используя уникальный автоматизированный фрагмент кода для прямого взаимодействия с автоматическими выключателями станции и отключения электроэнергии. освещает часть столицы Украины. Этот беспрецедентный образец вредоносного программного обеспечения для систем промышленного контроля никто больше не видел — до сих пор: в разгар жестокого вторжения России в Украину Sandworm, похоже, использует свои старые трюки.
Во вторник Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) и словацкая фирма по кибербезопасности ESET опубликовали сообщения о том, что хакерская группа Sandworm, подтверждённая как подразделение 74455 российской военной разведки ГРУ, атаковала высоковольтные электрические подстанции в Украине, используя разновидность вредоносного ПО, известного как Industroyer или Crash Override. Новое вредоносное ПО, получившее название Industroyer2, может напрямую взаимодействовать с оборудованием в электросетях для отправки команд устройствам подстанции, которые контролируют поток электроэнергии, как и предыдущий образец. Это сигнализирует о том, что самая агрессивная российская команда по кибератакам предприняла третью попытку отключения электроэнергии в Украине спустя годы после ее исторических кибератак на украинскую энергосистему в 2015 и 2016 годах, которые до сих пор являются единственными подтвержденными отключениями электроэнергии, которые, как известно, были вызваны хакерами.
ESET и CERT-UA сообщают, что вредоносное ПО было внедрено в целевые системы региональной украинской энергетической компании в пятницу. CERT-UA сообщает, что атака была успешно обнаружена в процессе и остановлена до того, как можно было вызвать какое-либо фактическое отключение. Но в более раннем частном сообщении CERT-UA на прошлой неделе, впервые опубликованном MIT Technology Review во вторник, говорилось, что электричество было временно отключено на девяти электрических подстанциях.
И CERT-UA, и ESET отказались назвать затронутую утилиту. Но, по словам заместителя министра энергетики Украины Фарида Сафарова, на территории, которую он обслуживает, проживает более 2 миллионов человек.
«Попытка взлома не повлияла на подачу электроэнергии в электроэнергетическую компанию. Она была оперативно обнаружена и устранена», — говорит Виктор Жора, высокопоставленный сотрудник украинского агентства кибербезопасности, известного как Государственная служба специальной связи и защиты информации (ГССЗИ). . «Но запланированный сбой был огромным». Отвечая на вопрос о более раннем отчете, в котором, по-видимому, описывалась атака, которая была, по крайней мере, частично успешной, Жора назвал его «предварительным отчетом» и поддержал последние публичные заявления, сделанные им и CERT-UA.
По данным CERT-UA, хакеры проникли в целевую электроэнергетическую компанию в феврале, а возможно, и раньше — как именно, пока неясно, — но попытались развернуть новую версию «Индустройера» только в пятницу. Хакеры также развернули несколько форм вредоносных программ-«очистителей», предназначенных для уничтожения данных на компьютерах внутри утилиты, в том числе программы очистки, предназначенные для систем на базе Linux и Solaris, а также более распространенные программы очистки Windows, а также фрагмент кода, известный как CaddyWiper. которые были обнаружены в украинских банках в последние недели. Во вторник CERT-UA заявила, что она также смогла поймать это вредоносное ПО, прежде чем его можно было использовать. «Нам очень повезло, что мы смогли своевременно отреагировать на эту кибератаку», — сказал Жора журналистам на брифинге во вторник.
