Ten sam szkodliwy program został już raz wykorzystany - w 2016 r. uderzyła z jego pomocą grupa Sandworm APT. Wówczas doszło do głośnej awarii, która spowodowała przerwy w dostawie energii na Ukrainie.

Obecnie atakujący podjęli próbę znacznie bardziej rozległego działania - rozmieścili szkodliwego Industroyera na podstacjach wysokiego napięcia na Ukrainie. Wirusa z „zapalnikiem czasowym”, który miał zaatakować 8 kwietnia, umieszczono prawdopodobnie 23 marca. Eksperci firmy Eset i ukraińskich instytucji dbających o cyberbezpieczeństwo, którzy wykryli wirusa, twierdzą, że napastnicy planowali atak przez ponad dwa tygodnie. Na szczęście udało się go odeprzeć.

Industroyer2 to dość zaawansowana cyberbroń, ale – jak zauważa Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w Eset – jego budowa generuje pewne ograniczenia dla atakujących, którzy muszą rekompilować oprogramowanie dla każdej nowej ofiary lub środowiska.

- Biorąc pod uwagę, że rodzina Industroyer została dotychczas użyta jedynie dwukrotnie, z pięcioletnią przerwą między każdą wersją, prawdopodobnie nie jest to ograniczenie dla operatorów grupy Sandworm - ocenia ekspert. I zastanawia się jak przestępcom udało się wpuścić wirusa do wewnętrznej sieci. - W tym momencie nie wiemy, w jaki sposób atakujący przedostali się z sieci IT do sieci Industrial Control System (ICS) - podkreśla.

Czytaj więcej

Hakerzy bombardują Rosję. Rekordowa siła ataku

Wiadomo, że, gdyby udało się przeprowadzić tę hakerską kampanię, bez prądu mogłyby zostać miliony mieszkańców Ukrainy. Analitycy wskazują, że grupa Sandworm oprócz Industroyer2 do ataku wykorzystała też kilka rodzin destrukcyjnych złośliwych programów, w tym CaddyWiper (program do kasowania zawartości dysków twardych). Ten już raz był użyty w marcu br. do uderzenia w jeden z ukraińskich banków. Wariant ten ponownie miał być aktywowany przy okazji paraliżu dostawcy energii. – Uważamy, że użycie CaddyWiper miało na celu spowolnić proces odzyskiwania systemów i uniemożliwić operatorom firmy energetycznej odzyskanie kontroli nad konsolami ICS. CaddyWiper został umieszczony również na maszynie, na której zainstalowano program Industroyer2, prawdopodobnie w celu zatarcia śladów – dodaje Sadkowski.

Fachowcy nie mają wątpliwości, że za próbą ataku stała grupa wspierana przez Kreml, która miała możliwości, by wcześniej testować wirusa w środowisku przemysłowym. Już w 2020 r. rząd USA informował, że oskarżono sześciu funkcjonariuszy Rosyjskiej Jednostki Wojskowej 74455 Głównego Zarządu Wywiadu (GRU) o udział w wielu cyberatakach, w tym właśnie z użyciem Industroyera.