Ten sam szkodliwy program został już raz wykorzystany - w 2016 r. uderzyła z jego pomocą grupa Sandworm APT. Wówczas doszło do głośnej awarii, która spowodowała przerwy w dostawie energii na Ukrainie.
Obecnie atakujący podjęli próbę znacznie bardziej rozległego działania - rozmieścili szkodliwego Industroyera na podstacjach wysokiego napięcia na Ukrainie. Wirusa z „zapalnikiem czasowym”, który miał zaatakować 8 kwietnia, umieszczono prawdopodobnie 23 marca. Eksperci firmy Eset i ukraińskich instytucji dbających o cyberbezpieczeństwo, którzy wykryli wirusa, twierdzą, że napastnicy planowali atak przez ponad dwa tygodnie. Na szczęście udało się go odeprzeć.
Industroyer2 to dość zaawansowana cyberbroń, ale – jak zauważa Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w Eset – jego budowa generuje pewne ograniczenia dla atakujących, którzy muszą rekompilować oprogramowanie dla każdej nowej ofiary lub środowiska.
- Biorąc pod uwagę, że rodzina Industroyer została dotychczas użyta jedynie dwukrotnie, z pięcioletnią przerwą między każdą wersją, prawdopodobnie nie jest to ograniczenie dla operatorów grupy Sandworm - ocenia ekspert. I zastanawia się jak przestępcom udało się wpuścić wirusa do wewnętrznej sieci. - W tym momencie nie wiemy, w jaki sposób atakujący przedostali się z sieci IT do sieci Industrial Control System (ICS) - podkreśla.
Czytaj więcej
Rosyjskie strony rządowe zmagają się z bezprecedensowymi cyberatakami – donosi agencja informacyjna TASS. Szczegóły nie są znane, ale agencja wskazuje, że ruch destabilizujący systemy informatyczne pochodzi z zagranicy.
Wiadomo, że, gdyby udało się przeprowadzić tę hakerską kampanię, bez prądu mogłyby zostać miliony mieszkańców Ukrainy. Analitycy wskazują, że grupa Sandworm oprócz Industroyer2 do ataku wykorzystała też kilka rodzin destrukcyjnych złośliwych programów, w tym CaddyWiper (program do kasowania zawartości dysków twardych). Ten już raz był użyty w marcu br. do uderzenia w jeden z ukraińskich banków. Wariant ten ponownie miał być aktywowany przy okazji paraliżu dostawcy energii. – Uważamy, że użycie CaddyWiper miało na celu spowolnić proces odzyskiwania systemów i uniemożliwić operatorom firmy energetycznej odzyskanie kontroli nad konsolami ICS. CaddyWiper został umieszczony również na maszynie, na której zainstalowano program Industroyer2, prawdopodobnie w celu zatarcia śladów – dodaje Sadkowski.
Fachowcy nie mają wątpliwości, że za próbą ataku stała grupa wspierana przez Kreml, która miała możliwości, by wcześniej testować wirusa w środowisku przemysłowym. Już w 2020 r. rząd USA informował, że oskarżono sześciu funkcjonariuszy Rosyjskiej Jednostki Wojskowej 74455 Głównego Zarządu Wywiadu (GRU) o udział w wielu cyberatakach, w tym właśnie z użyciem Industroyera.
