Попереджена масштабна кібератака на енергетичний сектор України – AgroNews
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA вжито невідкладних заходів з реагування на інцидент інформаційної безпеки, пов’язаний з цільовою атакою на об’єкт енергетики України. Про це повідомляє cert.gov.uа, пише agronews.ua.
Задум зловмисників передбачав виведення з ладу декількох інфраструктурних елементів об’єкту атаки, а саме:
високовольтних електричних підстанцій – за допомогою шкідливої програми INDUSTROYER2; причому, кожен виконуваний файл містив статично вказаний набір унікальних параметрів для відповідних підстанцій (дата компіляції файлів:
Централізоване розповсюдження і запуск CADDYWIPER реалізовано за допомогою механізму групових політик (GPO). З метою додавання групової політики, що передбачає завантаження компонентів файлового деструктору з контролеру домену, а також створення запланованого завдання на ЕОМ, використано PowerShell-скрипт POWERGAP.
Можливість горизонтального переміщення між сегментами локальної обчислювальної мережі забезпечено шляхом створення ланцюгів SSH-тунелів. Для віддаленого виконання команд використано IMPACKET.
Відомо, що організація-жертва зазнала двох хвиль атак. Первинна компрометація відбулася не пізніше лютого 2022 року. Відключення електричних підстанцій та виведення з ладу інфраструктури підприємства було заплановане на вечір п’ятниці, 8 квітня 2022 року. Разом з тим, реалізації зловмисного задуму на поточний момент вдалося запобігти.
З метою виявлення ознак присутності подібної загрози в інших організаціях України, оперативну інформацію з рівнем обмеження доступу TLP:AMBER, включаючи зразки шкідливих програм, індикатори компрометації та Yara-правила, передано обмеженому колу міжнародних партнерів та підприємствам енергетичного сектору України.
Окрему вдячність висловлюємо компаніям Microsoft та ESET.