Угроза Industroyer: кибероружие для атак на электросеть

Пять лет назад компания ESET опубликовала свое исследование уникальной вредоносной программы, которая способна вызвать массовое отключение электроснабжения. Эта угроза получила название Industroyer и стала первым известным вредоносным программным обеспечением, разработанным специально для атак на энергетическую инфраструктуру.

За несколько месяцев до этого угроза Industroyer стала причиной отключения света в тысячах домов Киева, атаковав местную электрическую подстанцию. Через несколько дней исследователи ESET начали анализ угрозы.

В чем особенность угрозы Industroyer?

После установки Industroyer распространяется в сети подстанции в поисках конкретных устройств промышленного управления, чьи протоколы связи она может использовать. Затем угроза отключает все автоматические выключатели, несмотря на какие-либо попытки операторов подстанции восстановить контроль. Если оператор пытался закрыть выключатель, вредоносное программное обеспечение открывало его снова.

Чтобы удалить все признаки злонамеренной деятельности, угроза запускала инструмент для уничтожения данных, разработанный для выведения из строя компьютеров подстанции и замедления возобновления их работы. Этот инструмент не работал должным образом, однако в противном случае последствия могли бы быть гораздо хуже ― особенно зимой, когда отключение электроэнергии может привести к повреждению труб с водой из-за замерзания.

Последнее вредоносное действие было совершено с целью отключения некоторых защитных реле на подстанции, однако осуществить это не удалось. Без функционирующих защитных реле оборудование подстанции могло быть повреждено, когда операторы в конце концов возобновили электроснабжение.

Как сообщили тогда исследователи ESET, утонченность Industroyer позволяет адаптировать вредоносное программное обеспечение к любой среде. Угроза использует протоколы промышленной связи, которые применяются не только в Украине, но и в инфраструктуре электроснабжения, управлении транспортом и других критически важных системах по всему миру.

Кроме того, несмотря на сложность угрозы, влияние Industroyer было минимальным. Возможно, это была лишь проверка для будущих атак или предупреждение об уровне возможностей киберпреступников.

Угроза Industroyer использует протоколы промышленной связи. ESET.

Причастна ли группа Sandworm?

Возможности вредоносного программного обеспечения отображают злонамеренные намерения его авторов. Для разработки такой угрозы, как Industroyer, злоумышленники должны понимать архитектуру электросети, какие команды отправлять и как этого достичь. Киберпреступники потратили много времени, чтобы создать это вредоносное программное обеспечение, при этом их целью было не только отключение электроэнергии. Некоторые моменты в конфигурации Industroyer свидетельствуют о том, что его разработчики хотели повредить оборудование или привести к его неисправности.

Исследователи ESET также отметили, что разработка такого вредоносного программного обеспечения без доступа к специализированному оборудованию, которое используется в конкретных промышленных системах, маловероятна. В октябре 2020 года США связали атаку с офицерами воинской части 74455 Главного разведывательного управления вооруженных сил россии, известных как группа Sandworm.

Как киберпреступники использовали Industroyer в 2022 году?

За недели до и после вторжения россии был зафиксирован рост кибератак в Украине. Среди других многочисленных угроз 12 апреля 2022 года исследователи ESET вместе с CERT-UA обнаружили новую версию Industroyer. В этот раз, нацелившись на украинского энергопоставщика, угроза попыталась отключить электроэнергию в одной из областей Украины. Однако атаку удалось предотвратить, прежде чем она повлекла за собой разрушительные последствия. Исследователи ESET уверенно заявили, что к новой атаке причастна группа Sandworm.

За последние годы стало ясно, что атаки киберпреступников могут препятствовать работе критической инфраструктуры по всему миру. Ряд инцидентов в Украине, а также в других частях мира, заставляют многих задуматься о серьезных последствиях кибератак ― отключение электроэнергии, перебои в подаче воды, проблемы с топливом и потеря медицинских данных, что может быть действительно опасно для жизни.

«Независимо от того, была ли недавняя атака на украинскую электросеть только попыткой, она должна быть предупреждением для тех, кто отвечает за безопасность критических систем во всем мире», ― прокомментировали исследователи ESET в 2017 году.

Исследователи ESET продолжают следить за ситуацией в киберпространстве с целью защиты организаций и своевременного реагирования на инциденты кибербезопасности. В случае обнаружения вредоносной деятельности в своих ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.

 

Читайте также:

История длиной в 8 лет: Украина как поле кибератак группы хакеров Sandworm

Более 100 дней войны: как Украина противостояла атакам на киберфронте

Рейтинг Интернет-угроз: влияние войны в Украине и самые активные вредоносные программы