Drošības kompānija ESET sadarbībā ar Ukrainas kiberkomandu CERT-UA ir atklājusi uzbrukumu, izmantojot Industroyer2 un CaddyWipper ļaunprātīgos kodus. Saskaņā ar līdz šim iegūtajiem datiem uzbrukuma autors ir krievvalodīgais uzbrukumu grupējums Sandworm, kas saistīts ar Krievijas izlūkdienestu GRU. Uzbrukuma mērķis bija liels enerģētikas uzņēmums, kas nodarbojas ar elektroenerģijas sadali Ukrainā.
Saskaņā ar pirmajiem secinājumiem uzbrukums tika veikts piektdien, 8. aprīlī, plkst. 16.20 pēc vietējā laika. Tomēr sagatavošanās tam ilga divas nedēļas pirms tā uzsākšanas. Tāpat kā iepriekšējos gadījumos destruktīvā ļaunprogrammatūra izdzēsa datus inficētajās ierīcēs, kurās tika izmantotas Windows, Linux un Solaris operētājsistēmas.
“Pamatojoties uz sākotnējo analīzi, mēs saskatām saistību ar 2016. gada uzbrukumiem Ukrainas elektrotīklam, kas izraisīja masveida elektroenerģijas padeves pārtraukumus. Tagad tika izmantoti modernizēti uzbrukuma rīki, jo īpaši Industroyer ļaunprogrammatūra jaunā versijā, taču vainīgais, visticamāk, bija tas pats - krievvalodīgais uzbrukumu grupējums Sandworm, kas ir saistīts ar Krievijas izlūkdienestu GRU," norāda ESET draudu izpētes direktors Žans Īans Butēns.
Sandworm ir grupa, kas tiek klasificēta kā APT jeb progresīvs noturīgs apdraudējums. Ar šo terminu apzīmē uzbrucējus vai uzbrucēju grupas, kas piekļūst datortīkliem, parasti lielām privātām vai valdības organizācijām, kur tie var palikt ilgstoši jo netiek atklāti. Daudzos gadījumos viņu darbību finansē valstis.
"Papildus Industroyer2 uzbrukumā tika izmantoti arī citi ļaunprātīgi kodi. Mēs atklājām ļaunprogrammatūras paraugus, tostarp CaddyWiper, ar kuru mēs saskārāmies uzbrukumos Ukrainas finanšu iestādēm marta vidū. Pašlaik mēs nezinām, kā tieši inficētā organizācija tika inficēta, tas ir turpmākas izmeklēšanas objekts," piebilda Boutins.
ESET publicēs papildu informāciju, tiklīdz tas būs iespējams.
Vairāk informācijas:
Analīzes atjauninājumi ir publicēti ESET drošības blogā šeit.
CERT-UA ir Ukrainas valdības kibernegadījumu reaģēšanas komanda, kas darbojas Valsts kiberdrošības centra ietvaros. Sākotnējais CERT-UA ziņojums ir publicēts šeit.
Sīkāks Industroyer ļaunprogrammatūras apraksts, kuras uzlabotā versija tika izmantota šajā uzbrukumā, ir pieejams šeit.
IoC:
FD9C17C35A68FC505235E20C6E50C622AED8DEA0
6FA04992C0624C7AA3CA80DA6A30E6DE91226A16
9CE1491CE69809F92AE1FE8D4C0783BD1D11FBE7
0090CB4DE31D2D3BCA55FD4A36859921B5FC5DAE
D27D0B9BB57B2BAB881E0EFB97C740B7E81405DF
3CDBC19BC4F12D8D00B81380F7A2504D08074C15
8FC7646FA14667D07E3110FE754F61A78CFDE6BC
Piezīme: IoC, kompromitēšanas indikators, ir termins, ko lieto, lai apzīmētu pierādījumus par drošības incidentu un nepārprotamu apdraudējuma identifikāciju. Pamatojoties uz to, drošības kopiena var labāk novērst draudus.