Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA при Державній службі спеціального зв’язку та захисту інформації попередила масштабну атаку на об’єкт енергетики України, повідомило відомство.
Згідно з повідомленням, атаку намагались здійснити з використанням шкідливих програм INDUSTROYER2 та CADDYWIPER (CERT-UA#4435)
Задум зловмисників із групи Sandworm (UAC-0082) передбачав виведення з ладу декількох інфраструктурних елементів енергетичного об’єкта. Зокрема:
1. високовольтних електричних підстанцій — за допомогою шкідливої програми INDUSTROYER2; причому, кожен виконуваний файл містив статично вказаний набір унікальних параметрів для відповідних підстанцій (дата компіляції файлів: 23.03.2022);
2. електронних обчислювальних машин (ЕОМ) під управлінням операційної системи Windows (комп’ютерів користувачів, серверів, а також автоматизованих робочих місць АСУ ТП) — за допомогою шкідливої програми-деструктора CADDYWIPER; при цьому для дешифрування і запуску останнього передбачено використання лоадеру ARGUEPATCH та шелкоду TAILJUMP;
3. серверного обладнання під управлінням операційної систем Linux — за допомогою шкідливих скриптів-деструкторів ORCSHRED, SOLOSHRED, AWFULSHRED;
4. активного мережевого обладнання.
«Відомо, що організація-жертва зазнала двох хвиль атак. Первинна компрометація відбулася не пізніше лютого 2022 року. Відключення електричних підстанцій та виведення з ладу інфраструктури підприємства було заплановане на вечір п’ятниці, 8 квітня 2022 року. Разом з тим, реалізації зловмисного задуму на поточний момент вдалося запобігти», — зазначає відомство.
Держспецзв’язку передала інформацію про індикатори компрометації й зразки шкідливих програм обмеженому колу міжнародних партнерів та підприємствам енергетичного сектору України.
