В Україні попередили кібератаку на енергетичний сектор

Ворожі хакери планували вивести з ладу декілька інфраструктурних елементів одного з енергетичних об’єктів України, але українські фахівці завадили їм в цьому. 

Про це пише TrueUA із посиланням на Держспецзв’язку.

"Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA вжито невідкладних заходів з реагування на інцидент інформаційної безпеки, пов’язаний з цільовою атакою на об’єкт енергетики України", – йдеться у повідомленні відомства.

Задум зловмисників передбачав виведення з ладу декількох інфраструктурних елементів об’єкту атаки, а саме:

• високовольтних електричних підстанцій – за допомогою шкідливої програми INDUSTROYER2; причому, кожен виконуваний файл містив статично вказаний набір унікальних параметрів для відповідних підстанцій (дата компіляції файлів: 23.03.2022);
• електронних обчислювальних машин (ЕОМ) під управлінням операційної системи Windows (комп’ютерів користувачів, серверів, а також автоматизованих робочих місць АСУ ТП) – за допомогою шкідливої програми-деструктора CADDYWIPER; при цьому для дешифрування і запуску останнього передбачено використання лоадеру ARGUEPATCH та шелкоду TAILJUMP;
• серверного обладнання під управлінням операційної систем Linux – за допомогою шкідливих скриптів-деструкторів ORCSHRED, SOLOSHRED, AWFULSHRED;
• активного мережевого обладнання.

Централізоване розповсюдження і запуск CADDYWIPER реалізовано за допомогою механізму групових політик (GPO), для запуску якого використано PowerShell-скрипт POWERGAP. Для віддаленого виконання команд використано IMPACKET.

Організація-жертва зазнала двох хвиль атак. 

Первинна компрометація відбулася не пізніше лютого 2022 року.

Нагадаємо, кіберфахівці Служби безпеки разом із командами YouControl та Artellence розробили додаток "ТиХто" для перевірки підозрілих осіб, зокрема на блокпостах.