Badacze ESET i ukrai?skiego CERTu odkryli nowy wariant z?o?liwego oprogramowania Industroyer, który potrafi zak?óca? dzia?anie instalacji przemys?owych. Ten sam szkodliwy program zosta? po raz pierwszy wykorzystany w 2016 roku przez grup? Sandworm APT do spowodowania przerw w dostawie energii na Ukrainie. Obecnie atakuj?cy podj?li prób? znacznie bardziej rozleg?ego dzia?ania – rozmie?cili szkodliwego Industroyera na podstacjach wysokiego napi?cia na Ukrainie.
Industroyer2 zosta? zainstalowany jako pojedynczy plik wykonywalny systemu Windows o nazwie 108_100.exe, a jego wykonanie zosta?o zaplanowane na 08.04.2022 o godzinie 16:10:00 UTC. W pliku Industroyera2 wida?, ?e zosta? on skompilowany 23.03.2022, co sugeruje, ?e napastnicy planowali atak przez ponad dwa tygodnie – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpiecze?stwa ESET.
Industroyer2 jest wysoce konfigurowalny. Zawiera szczegó?ow?, zakodowan? na sztywno konfiguracj?, kieruj?c? jego dzia?aniami. Ró?ni go to od pierwotnej wersji Industroyera, który przechowuje konfiguracj? w osobnym pliku .INI.
Taka budowa generuje pewne ograniczenia dla atakuj?cych, którzy musz? rekompilowa? Industroyer2 dla ka?dej nowej ofiary lub ?rodowiska. Jednak bior?c pod uwag?, ?e rodzina Industroyer zosta?a dotychczas u?yta jedynie dwukrotnie, z pi?cioletni? przerw? mi?dzy ka?d? wersj?, prawdopodobnie nie jest to ograniczenie dla operatorów grupy Sandworm – ocenia ekspert ESET. W tym momencie nie wiemy, w jaki sposób atakuj?cy przedostali si? z sieci IT do sieci Industrial Control System (ICS) – dodaje.
Atakuj?cy z Sandworm do realizacji celu, oprócz Industroyer2, wykorzystali kilka rodzin destrukcyjnych z?o?liwych programów, w tym CaddyWiper (program do kasowania zawarto?ci dysków twardych), ORCSHRED, SOLOSHRED i AWFULSHRED. U?ycie pierwszego z wymienionych (CaddyWiper) zaobserwowano po raz pierwszy w marcu br. i by?o ono skierowane przeciwko ukrai?skiemu bankowi. Wariant ten zosta? ponownie u?yty w opisywanym przypadku, 8 kwietnia o godzinie 14:58 przeciwko dostawcy energii.
Uwa?amy, ?e u?ycie CaddyWiper mia?o na celu spowolni? proces odzyskiwania systemów i uniemo?liwi? operatorom firmy energetycznej odzyskanie kontroli nad konsolami ICS. CaddyWiper zosta? umieszczony równie? na maszynie, na której zainstalowano program Industroyer2, prawdopodobnie w celu zatarcia ?ladów– podsumowuje Kamil Sadkowski.
Jak wskazuj? eksperci ESET, Industroyer to szkodliwy program przygotowany z my?l? o atakach na ?ci?le okre?lony rodzaj celów, a stworzenie go wymaga?o dobrej znajomo?ci systemu, który mia? sta? si? jego ofiar?.
Wydaje si? bardzo ma?o prawdopodobne, aby ktokolwiek móg? napisa? i przetestowa? takie z?o?liwe oprogramowanie jak Industroyer bez dost?pu do specjalistycznego sprz?tu u?ywanego w konkretnym, docelowym ?rodowisku przemys?owym – komentuje Kamil Sadkowski.
Potwierdzi? to w 2020 r. rz?d Stanów Zjednoczonych, gdy sze?ciu funkcjonariuszy Rosyjskiej Jednostki Wojskowej 74455 G?ównego Zarz?du Wywiadu (GRU) zosta?o oskar?onych o udzia? w wielu cyberatakach, w tym Industroyer i NotPetya.
Kalendarium dzia?a? cybernetycznych przeciwko Ukrainie
23.02.2022
Cyberatak z wykorzystaniem z?o?liwego oprogramowania HermeticWiper, które uszkadza dane na dysku zainfekowanego komputera, zosta? przeprowadzony 23 lutego 2022 r. Atak by? wymierzony w ukrai?skie organizacje pa?stwowe, kluczowe z punktu funkcjonowania kraju i o kilka godzin poprzedzi? rozpocz?cie inwazji si? Federacji Rosyjskiej. ?lady dotycz?ce z?o?liwego oprogramowania HermeticWiper sugeruj?, ?e atak ten by? planowany od kilku miesi?cy.
24.02.2022
Rozpocz?? si? drugi atak na ukrai?sk? sie? rz?dow?, tym razem przy u?yciu IsaacWiper. IsaacWiper wyst?powa? jako biblioteka DLL systemu Windows lub plik wykonywalny EXE i nie posiada? podpisu Authenticode (weryfikuj?cego autentyczno?? wydawcy aplikacji). IsaacWiper nie ma podobie?stw w kodzie do HermeticWiper i jest znacznie mniej wyrafinowany. Bior?c pod uwag? o? czasu, mo?liwe jest, ?e oba s? ze sob? powi?zane, ale na ten moment nie zosta?o to potwierdzone.
Badacze ESET zaobserwowali równie? oprogramowanie ransomware, nazwane HermeticRansom, napisane w j?zyku programowania Go i rozpowszechniane w tym samym czasie w ukrai?skiej sieci. HermeticRansom zosta? po raz pierwszy zg?oszony we wczesnych godzinach 24 lutego 2022 UTC na Twitterze.
25.02.2022
Pojawi?a si? nowa wersja IsaacWipera, która zapisywa?a efekty dzia?ania Wipera do dziennika logowania. Zdaniem ekspertów ESET zmiana mo?e sugerowa?, ?e atakuj?cy nie byli w stanie usun?? danych z niektórych zaatakowanych maszyn i dodali komunikaty dziennika, aby zrozumie?, dlaczego tak si? dzieje. Odkryty zosta? tak?e robak u?ywany do rozprzestrzeniania Wipera, na inne komputery po??czone w sieci lokalnej.
14.03.2022
Odnotowano pojawienie si? CaddyWiper. Trzeci “wiper” wykorzystywany do cyberataku na Ukrain?. Oprogramowania usuwa dane, co uniemo?liwia normalne funkcjonowanie komputera.
12.04.2022
Pojawienie si? Industroyer2.
