Українським фахівцям вдалося запобігти атаці російських хакерів на об’єкти енергетики України

Урядова команда реагування на надзвичайні події України CERT-UA відбила цільову атаку на об’єкти енергетики. Її метою було виведення з ладу кількох інфраструктурних елементів:

  • високовольтних електричних підстанцій — за допомогою шкідливої ​​програми INDUSTROYER2; причому кожен файл, що виконується, містив статично зазначений набір унікальних параметрів для відповідних підстанцій (дата компіляції файлів: 23.03.2022);
  • електронних обчислювальних машин (ЕОМ) під управлінням операційної системи Windows (комп’ютерів користувачів, серверів, а також автоматизованих робочих місць автоматизованої системи управління технологічним процесом) – за допомогою шкідливої ​​програми-деструктора CADDYWIPER; при цьому для дешифрування та запуску останнього передбачено використання лоадера ARGUEPATCH та шовкоду TAILJUMP;
  • серверного обладнання під управлінням операційної системи Linux – за допомогою шкідливих скриптів-деструкторів ORCSHRED, SOLOSHRED, AWFULSHRED;
    активного мережного устаткування.

«Централізоване поширення та запуск CADDYWIPER реалізовано за допомогою механізму групових політик (GPO). Для додавання групової політики, що передбачає завантаження компонентів файлового деструктора з контролера домену, а також створення запланованого завдання на ЕОМ, використаний PowerShell-скрипт POWERGAP. Можливість горизонтального переміщення між сегментами локальної обчислювальної мережі забезпечена шляхом створення ланцюгів SSH-тунелів. Для віддаленого виконання команд використано IMPACKET», – сказано в публікації.

Українські кіберфахівці повідомили, що організація-жертва зазнала двох хвиль атак. Початкова компрометація відбулася пізніше лютого 2022 року. Відключення електричних підстанцій та виведення з ладу інфраструктури було заплановано на вечір 8 квітня 2022 року. Кібератаку вдалося запобігти.

Оперативну інформацію про інцидент передали обмеженому колу міжнародних партнерів та підприємствам енергетичного сектору України. Також CERT-UA висловив подяку компаніям Microsoft та ESET.

За даними експертів, за спробою нападу стоять хакери Sandworm (UAC-0082). Їх пов’язують із російським ГРУ. Це Юрій Сергійович Андрієнко, Сергій Володимирович Детистов, Павло Валерійович Фролов, Анатолій Сергійович Ковальов, Артем Валерійович Очиченко та Петро Миколайович Пліскін.

Джерело itc

Ви читаєте незалежне україномовне видання "SUNDRIES". Ми не належимо ні олігархам, ні депутатам. Отож ми потребуємо Вашої підтримки для розвитку та збереження незалежності. Підтримайте нас!

Цей веб-сайт використовує файли cookie, щоб покращити ваш досвід. Ми припустимо, що ви з цим згодні, але ви можете відмовитися, якщо хочете. Прийняти Читати більше