Российские хакеры снова попытались отключить электричество в Украине — ESET

В Украине предотвратили очередную попытку российских хакеров вывести из строя местную электрическую подстанцию. Предполагается, что вредоносная программа, которая получила название Industroyer2, должна была взять под контроль компьютерные промышленные энергосистемы и отключить их, однако украинское правительство вовремя нейтрализовало угрозу. 

Что известно 

Российское правительство пыталось отключить энергосистему Украины с помощью штамма вредоносной программы для Windows, способной контролировать промышленные системы. Об этом 12 апреля 2022 года сообщил международный разработчик антивирусного программного обеспечения ESET. 

Известно, что вредоносную программу, которая получила название Industroyer2, обнаружили на компьютере одного из поставщиков энергии в Украине. По своей природе зловред был предназначен для связи с промышленным оборудованием, включая электрические подстанции, которые преобразуют высоковольтную электроэнергию для подачи в дома и предприятия. 

Специалисты ESET выяснили, что Industroyer2 была запрограммирована на автоматическую активацию для выполнения вредоносных процессов 8 апреля в 6:10 EST. Предполагается, что именно в это время у поставщика энергии должно было отключиться электричество. Однако компания все еще изучает принцип работы вредоноса. 

Кто причастен к атаке 

Главными подозреваемыми в проведении атаки в ESET назвали российскую хакерскую группу Sandworm, которая, по мнению экспертов из США, работает на военную разведку Кремля — ГРУ. В качестве доказательства приводится сходство обнаруженного зловреда с оригинальной вредоносной программой Industroyer, которой в 2016 году удалось нарушить работу энергосистемы Украины. В ESET убеждены, что новая версия вредоносного ПО была создана с использованием того же исходного кода. 

Пока неясно, как именно распространяется новый штамм, однако украинские власти утверждают, что первоначальный взлом энергокомпании произошел не позднее февраля, то есть в том же месяце, когда Россия напала на Украину. 

«Образец вредоносной программы Industroyer2, обнаруженный в сети поставщика энергии, был составлен 23 марта, что, возможно, говорит о том, что хакеры планировали атаку за две недели до этой даты», — пояснили в правительстве Украины. 

Industroyer2 и не только 

В ходе анализа атаки специалисты ESET также обнаружили другие штаммы вредоносного ПО в сети поставщика электроэнергии. В их число входит CaddyWiper — отдельная вредоносная программа для Windows, которая может стереть данные на компьютере и предотвратить его повторную загрузку.

Вредоносные программы, задействованные в атаке

В ESET считают, что цель CaddyWiper заключалась в том, чтобы замедлить процесс восстановления и помешать операторам энергетической компании восстановить контроль над консолями ICS (промышленная система управления). Также CaddyWiper был установлен на той же машине, на которой выполнялся Industroyer2, — вероятно для того, чтобы замести следы.

Это не первый раз, когда российских хакеров обвиняют в кибератаках на Украину. Ранее компании Google и Amazon доказали, что хакеры из России и Беларуси, в том числе из известной группы FancyBear, непрерывно ддосят инфраструктуру Украины. А 7 апреля атаку хакеров из РФ на украинские системы отбила корпорация Microsoft.