Українським фахівцям вдалося запобігти атаці російських хакерів на об’єкти енергетики України

ТехнологіїНовиниУкраїна
sundries 73

Урядова команда реагування на надзвичайні події України CERT-UA відбила цільову атаку на об’єкти енергетики. Її метою було виведення з ладу кількох інфраструктурних елементів:

  • високовольтних електричних підстанцій — за допомогою шкідливої ​​програми INDUSTROYER2; причому кожен файл, що виконується, містив статично зазначений набір унікальних параметрів для відповідних підстанцій (дата компіляції файлів: 23.03.2022);
  • електронних обчислювальних машин (ЕОМ) під управлінням операційної системи Windows (комп’ютерів користувачів, серверів, а також автоматизованих робочих місць автоматизованої системи управління технологічним процесом) – за допомогою шкідливої ​​програми-деструктора CADDYWIPER; при цьому для дешифрування та запуску останнього передбачено використання лоадера ARGUEPATCH та шовкоду TAILJUMP;
  • серверного обладнання під управлінням операційної системи Linux – за допомогою шкідливих скриптів-деструкторів ORCSHRED, SOLOSHRED, AWFULSHRED;
    активного мережного устаткування.

«Централізоване поширення та запуск CADDYWIPER реалізовано за допомогою механізму групових політик (GPO). Для додавання групової політики, що передбачає завантаження компонентів файлового деструктора з контролера домену, а також створення запланованого завдання на ЕОМ, використаний PowerShell-скрипт POWERGAP. Можливість горизонтального переміщення між сегментами локальної обчислювальної мережі забезпечена шляхом створення ланцюгів SSH-тунелів. Для віддаленого виконання команд використано IMPACKET», – сказано в публікації.

Українські кіберфахівці повідомили, що організація-жертва зазнала двох хвиль атак. Початкова компрометація відбулася пізніше лютого 2022 року. Відключення електричних підстанцій та виведення з ладу інфраструктури було заплановано на вечір 8 квітня 2022 року. Кібератаку вдалося запобігти.

Оперативну інформацію про інцидент передали обмеженому колу міжнародних партнерів та підприємствам енергетичного сектору України. Також CERT-UA висловив подяку компаніям Microsoft та ESET.

За даними експертів, за спробою нападу стоять хакери Sandworm (UAC-0082). Їх пов’язують із російським ГРУ. Це Юрій Сергійович Андрієнко, Сергій Володимирович Детистов, Павло Валерійович Фролов, Анатолій Сергійович Ковальов, Артем Валерійович Очиченко та Петро Миколайович Пліскін.

Джерело itc
Читайте нас в Google Новинах
Читайте нас в Telegram
Читайте нас в Twitter (X)
Читайте нас у Facebook

Ви читаєте незалежне україномовне видання "SUNDRIES". Ми не належимо ні олігархам, ні депутатам. Отож ми потребуємо Вашої підтримки для розвитку та збереження незалежності. Підтримайте нас!

Цей веб-сайт використовує файли cookie, щоб покращити ваш досвід. Ми припустимо, що ви з цим згодні, але ви можете відмовитися, якщо хочете. Прийняти Читати більше