ESET tyrėjai aptiko kibernetinę ataką prieš Ukrainos elektros tinklus

Kitas straipsnis

Kibernetinio saugumo bendrovė „ESET“, bendradarbiaudama su Ukrainos kibernetine komanda „CERT-UA“, užfiksavo ataką, kurios metu buvo naudojami kenkėjiški kodai „Industroyer2“ ir „CaddyWipper“. Remiantis iki šiol gautais duomenimis, atakos autorius yra rusakalbė atakų grupė „Sandworm“, susijusi su Rusijos žvalgybos tarnyba „GRU“. Ataka buvo nukreipta į vieną stambią energetikos bendrovę, skirstančią elektros energiją Ukrainoje.

Pirminiais duomenimis, ataka įvykdyta balandžio 8 d., penktadienį, 16:20 val. vietos laiku. Tačiau manoma, kad pasirengimas šiai atakai truko dvi savaites iki jos pradžios. Tai ne pirmas atvejis, kuomet nusikalstama grupuotė „Sandworm“ kėsinasi į Ukrainoje esančias kritines infrastruktūras. Kaip ir ankstesniais atvejais, destruktyvi kenkėjiška programa ištrynė duomenis užkrėstuose įrenginiuose su „Windows“, „Linux“ ir „Solaris“ operacinėmis sistemomis.

„Remdamiesi pirmosiomis analizėmis, matome aiškų ryšį su 2016 m. įvykdytomis atakomis prieš Ukrainos elektros tinklus, dėl kurių buvo nutrauktas elektros energijos tiekimas didžiuosiuose Ukrainos miestuose. Dabar buvo naudojami tobulesni atakos įrankiai, nauja kenkėjiškos programos „Industroyer“ versija, tačiau vykdytojas greičiausiai buvo tas pats - rusakalbė atakų grupė „Sandworm“, susijusi su Rusijos žvalgybos tarnyba „GRU“, - sakė „ESET“ saugumo analitikas Michal Cebák.

Kibernetinio saugumo ekspertai Lietuvoje, remdamiesi „ESET Telemetrijos“ duomenimis, įvertino, ar tokia grėsmė šiuo metu negresia Lietuvoje veikiančioms kritinėms infrastruktūroms. Pasak „ESET Lietuva“ IT inžinieriaus ir kibernetinio saugumo specialisto Luko Apynio, ši grupuotė, taip pat kaip ir Ukrainoje, gali bandyti atakuoti energijos tinklus, interneto tiekėjus, oro uostus ir kitas kritinės svarbos sistemas norint sustabdyti arba sutrikdyti jų veiklą. Anot specialisto, kai kurios organizacijos nėra pasiruošusios tokioms atakoms. Šiuo metu Lietuvoje kenkėjiškos veiklos, susijusios su „Industroyer2“ ir „CaddyWipper“, nepastebėta.

“Šis virusas yra kitoks. Jis yra destruktyvus, o „Industroyer2“ ir „CaddyWipper“ naudojamas „Wiper“ nėra įprasta kenkėjiška programa. Ši kenkėjiška programa sunaikina viską, kas pasitaiko jos kelyje. Vienintelis šios kenkėjiškos programos tikslas yra sugadinti ir sunaikinti savo aukas. Nors tai gali sukelti didelių finansinių nuostolių nukentėjusioms šalims, pagrindinis jos tikslas yra ne vogti pinigus ar parduoti informaciją kibernetiniams nusikaltėliams, o pats sunaikinimas. Dauguma „Wiper“ virusų neperrašo visų diskų įrenginių, o atsitiktinai tam tikrais intervalais įrašo nedidelį kiekį duomenų, kad sunaikintų failus. Daugeliu atvejų „Wiper“ pirmiausia nukreipiama į svarbiausių sistemos atkūrimo įrankių failus, kad įsitikintų, jog nebėra atkūrimo parinkties. Šis virusas perrašo diskus ir tada išvalo pagrindinį įkrovos įrašą (MBR).“ - komentuoja L. Apynis.

„Sandworm yra grupė, kuri priskiriama vadinamosioms APT, t.y. pažangioms nuolatinėms grėsmėms. Šiuo terminu vadinami įsilaužėliai ar jų grupės, kurios įgyja prieigą prie kompiuterių tinklų, dažniausiai didelių privačių ar vyriausybinių organizacijų, kur jų ilgą laiką niekas nepastebi. Daugeliu atvejų jų veiklą finansuoja valstybės. „Industroyer2“ išpuoliui buvo naudojami ne tik „Industroyer2“, bet ir kiti kenkėjiški kodai. Aptikome kenkėjiškų programų pavyzdžių, įskaitant „CaddyWiper“, su kuriais susidūrėme per kovo viduryje įvykdytas atakas prieš Ukrainos finansų įstaigas. Šiuo metu tiksliai nežinome, kaip buvo užkrėsta organizacija, tai yra tolesnio tyrimo objektas", - priduria „ESET“ atstovas Michal Cebák.

Pasak Luko Apynio, nestebina ir tai, kad „Industroyer2“ ir „CaddyWipper“ virusai Ukrainoje veikia jau ne pirmą kartą, o programišiai nekuria naujo kenkėjiško kodo. „Šio viruso programinį kodą programišiai naudoja dažnai, kadangi jis yra gana veiksmingas ir greitai veikia. Daugelis organizacijų numoja ranka, neatkreipia dėmesio į jo pavojingumą ir galvoja, kad jų ši ataka nepasieks. Kitos organizacijos dažnai net nėra girdėjusios apie šias atakas ir grėsmes. Jei manote, kad išpirkos reikalaujančios programos atakos yra pavojingiausios, pagalvokite dar kartą. Nors tai labai pražūtinga, daugeliu atvejų bent jau galite atkurti užšifruotus failus po atsarginių kopijų atstatymo. To, deja, nepavyks padaryti susidūrus su „Wiper“ kenkėjišką programą naudojančiais virusais.“ - priduria L. Apynis.

CERT-UA yra Ukrainos vyriausybinė kibernetinių ekstremalių situacijų reagavimo komanda, veikianti Valstybiniame kibernetinės gynybos centre. Originali CERT-UA ataskaita.

Išsamų kenkėjiškos programos "Industroyer", kurios atnaujinta versija buvo panaudota dabartinei atakai, aprašymą galima rasti čia.

Daugiau informacijos galima rasti čia.

Pastaba: IoC, kompromitavimo indikatorius, - tai terminas, vartojamas saugumo incidento įrodymams apibūdinti ir vienareikšmiškai grėsmei identifikuoti. Juo remdamasi saugumo bendruomenė gali geriau atremti grėsmę.

IoC:
FD9C17C35A68FC505235E20C6E50C622AED8DEA0
6FA04992C0624C7AA3CA80DA6A30E6DE91226A16
9CE1491CE69809F92AE1FE8D4C0783BD1D11FBE7
0090CB4DE31D2D3BCA55FD4A36859921B5FC5DAE
D27D0B9BB57B2BAB881E0EFB97C740B7E81405DF
3CDBC19BC4F12D8D00B81380F7A2504D08074C15
8FC7646FA14667D07E3110FE754F61A78CFDE6BC