ESET detekoval destruktivní kybernetický útok na energetickou rozvodnou síť na Ukrajině

12. 04. 2022

Praha, 12. dubna 2022 – Bezpečnostní společnost ESET ve spolupráci s ukrajinským kybernetickým týmem CERT-UA odhalila útok prostřednictvím škodlivých kódů Industroyer2 a CaddyWipper. Podle dosavadních zjištění je autorem útoku ruskojazyčná útočná skupina Sandworm s vazbami na ruskou zpravodajskou službu GRU. Cílem byla významná energetická společnost distribuující elektřinu na území Ukrajiny.

Podle prvních zjištění byl útok realizován v pátek 8. dubna v 16.20 místního času. Přípravy na něj však trvaly dva týdny před jeho zahájením. Destruktivní malware stejně jako v předchozích případech mazal data na napadených zařízeních, které používaly operační systému Windows, Linux a Solaris.

„Na základě prvních analýz vidíme jasnou souvislost s útoky na ukrajinskou rozvodnou síť z roku 2016, jejichž následkem došlo k masivním výpadkům elektřiny. Nyní byly použity inovované útočné nástroje, zejména malware Industroyer v nové verzi, ale pachatel byl s největší pravděpodobností totožný - ruskojazyčná útočná skupina Sandworm, která je spojována s ruskou zpravodajskou službou GRU,“ říká Michal Cebák, bezpečnostní analytik společnosti ESET.

Sandworm je skupina, která je řazena mezi tzv. APT, tedy pokročilé trvalé hrozby. Tímto termínem jsou označováni útočníci nebo skupiny útočníků, které získávají přístupy do počítačových sítí zpravidla významných soukromých či vládních organizací, kde bývají delší dobu nepozorovány. V mnohých případech je jejich aktivita financována státy.

„Kromě Industroyeru2 byly pro útok použity další škodlivé kódy. Detekovali jsme vzorky malware zahrnující mimo jiné i CaddyWiper, se kterým jsme se setkali při útocích na ukrajinské finanční instituce v polovině března. V tuto chvíli nevíme, jak přesně došlo k infikování napadené organizace, to je předmětem dalšího vyšetřování,“ dodává Cebák ze společnosti ESET.

Společnost ESET v co nejkratší době zveřejní další informace.

Více informací:

Aktuální informace z analýzy jsou publikovány na bezpečnostním blogu společnosti ESET zde: https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/.

CERT-UA je ukrajinský vládní tým pro reakci na mimořádné kybernetické události, jež působí v rámci Státního centra pro kybernetickou obranu. Původní zpráva CERT-UA je publikována zde: https://cert.gov.ua/article/39518.

Detailní popis malwaru Industroyer, jehož inovovaná verze byla použita pro aktuální útok, se nachází zde: https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/

IoC:

FD9C17C35A68FC505235E20C6E50C622AED8DEA0
6FA04992C0624C7AA3CA80DA6A30E6DE91226A16
9CE1491CE69809F92AE1FE8D4C0783BD1D11FBE7
0090CB4DE31D2D3BCA55FD4A36859921B5FC5DAE
D27D0B9BB57B2BAB881E0EFB97C740B7E81405DF
3CDBC19BC4F12D8D00B81380F7A2504D08074C15
8FC7646FA14667D07E3110FE754F61A78CFDE6BC

Poznámka: IoC, Indicator of compromise, představuje termín, kterým se označuje důkaz o bezpečnostním incidentu a jednoznačnou identifikaci hrozby. Bezpečnostní komunita na jeho základě může hrozbě lépe čelit.

O společnosti ESET:

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.

ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.