A Sandworm APT csoport sikertelen kibertámadást hajtott végre egy ukrán energiaszolgáltató ellen

 

Az ESET és az ukrán nemzeti CERT-tel (CERT-UA) jelzése szerint a Sandworm orosz állami kötődésű hacker kollektíva április 8-án kibertámadást indított egy ukrán energiaszolgáltató ellen az ipari vezérlőrendszerekre (ICS) specializált Industroyer malware, és a CaddyWiper adattörlő új verzióival. A kifejezetten ICS rendszerek ellen készített hírhedt Industroyer káros kód 2016-ban már okozott áramszünetet, akkor körülbelül Kijev egyötöde maradt áram nélkül egy órán keresztül.

A CERT-UA közleménye szerint az elkövetők célja több infrastruktúra-elem leállítása volt. Az Industroyer rosszindulatú program új verziójával (Industroyer2) a nagyfeszültségű villamoshálózati alállomásokat célozták, míg a CaddyWiperrel – és a támadás során bevetett további adattörlő programokkal, mint az Orcshred, a Soloshred, valamint az Awfulshred – főképp a helyreállítás megnehezítését, valamint a támadás nyomainak eltüntetését kísérleték meg.

1. ábra: a támadásban alkalmazott káros kódok. Forrás: ESET

A támadás menetéről, annak sikeres elhárításáról, illetve az Industroyer2 működéséről az incidens kezelésében is részt vett ESET egy technikai elemzést már kiadott, azonban jelenleg nem ismert, hogy a támadók hogyan fértek hozzá a hálózathoz, és pontosan hogyan voltak képesek az IT rendszeren keresztül elérni az ICS környezetet.

(bleepingcomputer.com)