Sprečen napad ruskih hakera na elektroenergetsku mrežu Ukrajine

Vesti, 14.04.2022, 09:30 AM

Ukrajinski zvaničnici su saopštili da je sajber napad na ukrajinsku elektroenergetsku mrežu sprečen uz pomoć stručnjaka iz ESET-a i Microsofta koji su u procesu zaustavljanja napada otkrili novu varijantu Industroyera, poznatog malvera koji je APT grupa Sandworm koristila u uspešnom sajber napadu 2016. godine zbog koga su delovi Kijeva ostali bez struje.

Nakon istrage o metodama i softveru koji su koristili napadači, slovačka kompanija za sajber bezbednost ESET koja je sarađivala sa CERT-UA, je saopštila da je napad koji je osujećen verovatno izvela grupa Sandworm, koja je navodno povezana sa ruskim vojnom obaveštajnom službom.

Grupa je planirala da isključi računare koji kontrolišu podstanice i infrastrukturu koja pripada neimenovanoj elektroenergetskoj kompaniji, saopštio je tim za kompjuterske hitne slučajeve Ukrajine (CERT-UA). Hakeri su nameravali da isključe struju 8. aprila, i istovremeno obrišu računare koji bi se koristili za ponovno uspostavljanje mreže.

CERT-UA je rekao da su napadači koristili Industroyer za napad na „nekoliko infrastrukturnih elemenata“ uključujući visokonaponske elektroenergetske podstanice, računare u objektu, mrežnu opremu i serversku opremu koja koristi operativni sistem Linux.

ESET je rekao da su napadači koristili širok spektar malvera, uključujući nedavno otkriveni CaddyWiper, OrcShred, SoloShred, AwfulShred i ažuriranu varijantu malvera Industroyer - Industroyer2. ESET napominje da je Industroyer korišćen samo dva puta (ranije ovog meseca i 2016.), što implicira da je razvijen za vrlo specifične namene.

Industroyer, takođe poznat i pod nazivom „CrashOverride", smatra se „najvećom pretnjom industrijskim kontrolnim sistemima od Stuxneta". Radi se o modularnom malveru koji je sposoban da ostvari direktnu kontrolu nad prekidačima u trafostanici za distribuciju električne energije.

CERT-UA kaže da su hakeri provalili u sisteme kompanije pre marta, i da su čekali svoje vreme.

Nejasno je kako su hakeri ušli u mrežu kompanije ili kako su dobili pristup mreži koja kontroliše industrijsku opremu poput ciljanih trafostanica. Analiza je pokazala da su napadači planirali da prikriju svoje tragove nakon napada uz pomoć CaddyWipera.

Portparol ukrajinske vlade Viktor Žora rekao je Rojtersu da je napad osmišljen da „onesposobi niz objekata, uključujući električne podstanice“, i pripisao ga akterima koji podržavaju invaziju Rusije na Ukrajinu.

„Ovo je vojni hakerski tim“, rekao je Žora.

Ukrajina i njena infrastruktura su bili na meti hakera od pre početka ruske invazije. Verovatno je da ovo neće biti poslednji napad na njenu elektroenergetsku mrežu.