Російські хакери знову спробували відключити електрику в Україні — ESET

В Україні запобігли черговій спробі російських хакерів вивести з ладу місцеву електричну підстанцію. Передбачається, що шкідлива програма, яка отримала назву Industroyer2, мала взяти під контроль комп’ютерні промислові енергосистеми та відключити їх, проте український уряд вчасно нейтралізував загрозу. 

Що відомо

Російський уряд намагався відключити енергосистему України за допомогою штаму шкідливої ​​програми для Windows, здатної контролювати промислові системи. Про це 12 квітня 2022 року повідомив міжнародний розробник антивірусного програмного забезпечення ESET. 

Відомо, що шкідливу програму, яка одержала назву Industroyer2, виявили на комп’ютері одного з постачальників енергії в Україні. За своєю природою вона була призначена для зв’язку з промисловим обладнанням, включаючи електричні підстанції, які перетворюють високовольтну електроенергію для подачі в будинки та підприємства. 

Фахівці ESET з’ясували, що Industroyer2 була запрограмована на автоматичну активацію для виконання шкідливих процесів 8 квітня о 6:10 EST. Передбачається, що саме в цей час у постачальника енергії мала відключитися електрика. Проте компанія все ще вивчає принцип роботи шкідливого ПЗ. 

Хто причетний до атаки

Головними підозрюваними у проведенні атаки в ESET назвали російську хакерську групу Sandworm, яка, на думку експертів зі США, працює на військову розвідку Кремля — ГРУ. Як доказ наводиться схожість виявленого зловреда з оригінальною шкідливою програмою Industroyer, якій у 2016 році вдалося порушити роботу енергосистеми України. В ESET переконані, що нова версія шкідливого програмного забезпечення була створена з використанням того ж вихідного коду. 

Поки незрозуміло, як саме поширюється новий штам, проте українська влада стверджує, що початковий злом енергокомпанії стався не пізніше лютого, тобто того ж місяця, коли Росія напала на Україну. 

«Зразок шкідливої ​​програми Industroyer2, виявлений у мережі постачальника енергії, був складений 23 березня, що, можливо, говорить про те, що хакери планували атаку за два тижні до цієї дати», — пояснили в уряді України. 

Industroyer2 і не тільки

Під час аналізу атаки фахівці ESET також виявили інші штами шкідливого програмного забезпечення в мережі постачальника електроенергії. До них входить CaddyWiper — окрема шкідлива програма для Windows, яка може стерти дані на комп’ютері та запобігти його повторному завантаженню.

У ESET вважають, що мета CaddyWiper полягала в тому, щоб уповільнити процес відновлення та завадити операторам енергетичної компанії відновити контроль над консолями ICS (промислова система управління). Також CaddyWiper був встановлений на тій же машині, на якій виконувався Industroyer2, — ймовірно, щоб замести сліди.

Це не вперше, коли російських хакерів звинувачують у кібератаках на Україну. Раніше компанії Google і Amazon довели, що хакери з Росії та Білорусі, у тому числі з відомої групи FancyBear, безперервно ддосять інфраструктуру України. А 7 квітня атаку хакерів з РФ на українські системи відбила корпорація Microsoft.