П’ять років назад компанія ESET опублікувала своє дослідження унікальної шкідливої програми, яка здатна спричинити масове відключення електропостачання. Ця загроза отримала назву Industroyer та стала першим відомим шкідливим програмним забезпеченням, яке було розроблено спеціально для атак на енергетичну інфраструктуру.
За кілька місяців до цього загроза Industroyer спричинила відключення світла у тисячах будинків Києва, атакувавши місцеву електричну підстанцію. Через кілька днів дослідники ESET розпочали аналіз загрози.
Чим особлива загроза Industroyer?
Після встановлення Industroyer поширюється у мережі підстанції у пошуках конкретних пристроїв промислового управління, чиї протоколи зв'язку вона може використати. Потім загроза відключає усі автоматичні вимикачі, не зважаючи на будь-які спроби операторів підстанції відновити контроль. Якщо оператор намагався закрити вимикач, шкідливе програмне забезпечення відкривало його знову.
Щоб видалити всі ознаки зловмисної діяльності, загроза запускала інструмент для знищення даних, який був розроблений для виведення з ладу комп’ютерів підстанції та сповільнення відновлення їх роботи. Цей інструмент не працював належним чином, однак у іншому випадку наслідки могли б бути набагато гіршими – особливо взимку, коли відключення електроенергії може призвести до пошкодження труб з водою через замерзання.
Остання шкідлива дія була здійснена з метою відключення деяких захисних реле на підстанції, однак це здійснити не вдалося. Без функціонуючих захисних реле обладнання підстанції могло б бути пошкоджене, коли оператори зрештою відновили електропостачання.
Як повідомили тоді дослідники ESET, витонченість Industroyer дає змогу адаптувати шкідливе програмне забезпечення до будь-якого середовища. Загроза використовує протоколи промислового зв’язку, які застосовуються не тільки в Україні, а й в інфраструктурі електропостачання, управлінні транспортом та інших критично важливих системах у всьому світі.
З іншого боку, попри складність загрози, вплив Industroyer був мінімальним. Можливо, це була лише перевірка для майбутніх атак або попередження про рівень можливостей кіберзлочинців.
Чи причетна група Sandworm?
Можливості шкідливого програмного забезпечення відображають зловмисні наміри його авторів. Для розробки такої загрози як Industroyer зловмисники мали розуміти архітектуру електромережі, які команди надсилати та як цього досягти. Кіберзлочинці витратили багато часу, щоб створити це шкідливе програмне забезпечення, при цьому їх метою було не лише відключення електроенергії. Деякі моменти у конфігурації Industroyer свідчать про те, що його розробники хотіли спричинити пошкодження обладнання або призвести до його несправності.
Дослідники ESET також зазначили, що розробка такого шкідливого програмного забезпечення без доступу до спеціалізованого обладнання, яке використовується в конкретних промислових системах, малоймовірна. У жовтні 2020 року США пов’язали атаку з офіцерами військової частини 74455 Головного розвідувального управління збройних сил рф, відомих як група Sandworm.
Як кіберзлочинці використали Industroyer у 2022 році?
За тижні до та після вторгнення росії було зафіксовано зростання кібератак в Україні. Серед інших численних загроз 12 квітня 2022 року дослідники ESET разом з CERT-UA виявили нову версію Industroyer. Цього разу, націлившись на українського енергопостачальника, загроза спробувала відключити електроенергію в одній із областей України. Однак атаці вдалося запобігти, перш ніж вона спричинила руйнівні наслідки. Дослідники ESET впевнено заявили, що до нової атаки причетна група Sandworm.
За останні роки стало зрозуміло, що атаки кіберзлочинців можуть перешкоджати роботі критичної інфраструктури у всьому світі. Ряд інцидентів в Україні, а також в інших частинах світу, змушують багатьох замислитись про серйозні наслідки кібератак ― відключення електроенергії, перебої у подачі води, проблеми з паливом та втрата медичних даних, що може бути справді небезпечним для життя.
«Незалежно від того, чи була нещодавня атака на українську електромережу лише спробою, вона має бути попередженням для тих, хто відповідає за безпеку критичних систем у всьому світі», ― прокоментували дослідники ESET у 2017 році.
Дослідники ESET продовжують слідкувати за ситуацією у кіберпросторі з метою захисту організацій та вчасного реагування на інциденти кібербезпеки. У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.
Читайте також:
Історія довжиною у 8 років: Україна як поле кібератак групи хакерів Sandworm
Понад 100 днів війни: як Україна протистояла атакам на кіберфронті
Рейтинг Інтернет-загроз: вплив війни в Україні та найактивніші шкідливі програми