История длиной в 8 лет: Украина как поле кибератак группы хакеров Sandworm

С 2014 года украинские пользователи не раз становились целью масштабных атак вредоносных программ. Среди самых известных – BlackEnergy, TeleBots, GreyEnergy, Industroyer, NotPetya, Exaramel, а уже в 2022 году WhisperGate, HermeticWiper, IsaacWiper и CaddyWiper.

Во всех случаях, кроме последних четырех, специалисты по кибербезопасности обнаружили сходства кода, общую инфраструктуру командного сервера, цепи выполнения вредоносных программ, позволяющих отнести все образцы угроз к одной группе – Sandworm.

Хотя до этого существовали предположения о российском происхождении Sandworm, только в 2020 году Министерство юстиции США определило Sandworm как военную единицу 74455 Главного разведывательного управления генерального штаба вооруженных сил россии.

На протяжении многих лет с группой Sandworm было связано множество атак. Поэтому специалисты ESET подготовили краткий обзор атак, который позволит понять сложные возможности этой группы угроз.

BlackEnergy: от DDoS-атак до промышленных систем контроля (2007–2015)

Первые упоминания о существовании BlackEnergy появились в 2007 году, когда эту вредоносную программу использовали российские хакеры для проведения DDoS-атак на цели в россии. Впоследствии BlackEnergy был продан его разработчиком и использовался для DDoS-атак на грузинские сайты при вторжении российских войск в Грузию в 2008 году.

В 2014 году специалисты ESET обнаружили разновидность этого вредоносного программного обеспечения, которое могло выполнять произвольный код и похищать данные с жестких дисков. Тогда операторы BlackEnergy атаковали более ста целей в Польше и Украине, включая государственные организации.

Снова BlackEnergy возобновила свою активность в ноябре 2015 года, распространяя разрушительный компонент KillDisk во время атак на украинские медиа-компании. KillDisk — это общее название для вредоносного программного обеспечения, которое перезаписывает документы случайными данными и делает операционную систему невозможной для загрузки.

Через месяц в декабре ESET обнаружила еще один вариант KillDisk в системах электрораспределительных компаний. Он и еще 2 дополнительных инструмента 23 декабря 2015 вызвали отключение электроэнергии для около 230 000 человек в Ивано-Франковской области Украины. Это был первый случай в истории, когда кибератака привела к нарушению работы электросети.

Атаки TeleBots на финансовые учреждения (2016)

В 2016 году исследователи ESET обнаружили TeleBots, преемника BlackEnergy, нацеленного на финансовые учреждения в Украине. Как последний этап этих атак, злоумышленники развернули вариант KillDisk, который вместо удаления файлов заменил их новыми файлами.

Отключение электроэнергии в Киеве (2016)

Почти через год после первой атаки, вызвавшей отключение электроэнергии, 17 декабря 2016 года в Украине произошел второй такой случай, но на этот раз в части Киева. Телеметрия ESET обнаружила новое вредоносное программное обеспечение, которое исследователи ESET назвали Industroyer. Вредоносная программа напрямую могла контролировать выключатели и автоматические переключатели электрической подстанции.

Президентские выборы во Франции (2017)

Согласно обвинению Министерства юстиции США, группа киберпреступников Sandworm провела семь мошеннических кампаний против президентских кампаний во Франции в апреле-мае 2017 года. Более 100 членов партии Эммануэля Макрона, а также другие политические партии и органы местного самоуправления оказались под прицелом.

Атаки программ-вымогателей TeleBots перед NotPetya (2017)

Известная всем атака NotPetya была частью серии атак программ-вымогателей, проведенных в Украине TeleBots. В 2017 году ESET обнаружила обновленные версии инструментов TeleBots вместе с двумя программами-вымогателями, которые использовались для атак на финансовые учреждения в Украине.

Атака NotPetya (2017)

В июне 2017 года через месяц после известной атаки WannaCryptor вредоносная программа NotPetya атаковала организации в Украине. Как и WannaCryptor, NotPetya распространялась, используя эксплойт EternalBlue, направленный на критическую уязвимость в устаревшей версии Microsoft Server Message Block (SMB). Специалисты ESET отнесли NotPetya к группе TeleBots.

Olympic Destroyer (2018)

В 2018 году во время открытия зимних олимпийских игр в Пхенчхане состоялась кибератака, которая приостановила работу точек доступа Wi-Fi, телевизионных трансляций, вебсайта и повредила серверы официального приложения олимпиады, не позволяя зрителям загрузить свои билеты.

Чтобы лучше скрыть происхождение угрозы, авторы Olympic Destroyer создали часть кода, которая выглядела как вредоносное программное обеспечение APT-группы Lazarus, ответственное за атаку WannaCryptor. Согласно обвинению Министерства юстиции США, Olympic Destroyer приписывается группе Sandworm, однако некоторые исследователи утверждают о причастности Fancy Bear.

Exaramel: связь Industroyer с TeleBots (2018)

В апреле 2018 года ESET обнаружила новый бэкдор Exaramel, который использувался группой TeleBots. Проанализировав Exaramel, исследователи ESET обнаружили ряд сходств с Industroyer. В частности, обе вредоносные программы группируют свои цели на основе решения по безопасности, которое используется, очень похожую реализацию кода нескольких команд бэкдора, а также используют файл для хранения результатов выполнения shell-команд и запущенных процессов.

В отличие от Industroyer, Exaramel не направлен непосредственно на промышленные системы управления. ESET обнаружил эти бэкдоры для Windows и Linux в украинской организации, которая не являлась промышленным объектом.

Атаки GreyEnergy на энергетический сектор (2015–2018)

В ходе атаки BlackEnergy на электрическую сеть Украины в 2015 году ESET обнаружила вредоносное программное обеспечение GreyEnergy. В то время, как TeleBots сосредоточилась на финансовых учреждениях, GreyEnergy преимущественно ориентировалось на энергетические компании в Украине и Польше.

Активность GreyEnergy специалисты ESET зафиксировали в 2018 году. Операторы этого вредоносного программного обеспечения в течение трех лет занимались шпионажем и разведкой вместо разрушительных атак, таких как NotPetya от TeleBots и Industroyer. В декабре 2016 года специалисты ESET зафиксировали, что GreyEnergy развернула раннюю версию червя NotPetya.

Хотя исследователи ESET не нашли никаких компонентов GreyEnergy, специально нацеленных на промышленные системы управления, злоумышленники нацеливались на серверы с длительным временем бесперебойной работы и рабочие станции, используемые для управления промышленными системами управления.

Вывод

С 24 февраля 2022 года украинские организации атаковали ряд вредоносных программ, в частности HermeticWiper, HermeticWizard, HermeticRansom, IsaacWiper и CaddyWiper. Пока не найдены признаки причастности семейства вредоносных программ Hermetic, IsaacWiper и CaddyWiper к определенной известной группе. В этой связи вопрос о возобновлении активности Sandworm остается открытым.

Поставщики кибербезопасности во всем мире продолжают анализировать вредоносное программное обеспечение в поисках подсказок, ожидая, что части головоломки могут сложиться вместе. Однако может быть и наоборот, а информация только запутает текущие теории. В конце концов, обман является неотъемлемой частью тактики, используемой сложными группами угроз.

В связи с опасностью дальнейших атак на украинских пользователей специалисты ESET рекомендуют соблюдать основные правила кибербезопасности, в частности, использовать надежные пароли и двухфакторную аутентификацию, своевременно обновлять программное обеспечение и обеспечить многоуровневую защиту своих устройств от современных векторов атак.

В случае обнаружения вредной деятельности в собственных IT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.