Команда CERT-UA за допомогою дослідників ESET та Microsoft зупинила кібератаку на українського енергопостачальника. У процесі зупинки виявили новий варіант Industroyer – сумнозвісної шкідливої програми, яку в 2016 році використала група Sandworm APT для відключення електроенергії в Україні. 

CERT-UA – урядова команда реагування на надзвичайні комп’ютерні ситуації в Україні. За їх даними, атака була спрямована на кілька об’єктів інфраструктури. В тому числі, на високовольтні електричні підстанції, мережеве обладнання, комп’ютери на об’єкті, а також серверне обладнання під управлінням ОС Linux. 

Організація-жертва зазнала двох хвиль атак. Первинна компрометація відбулась не пізніше лютого 2022, а повне відключення підстанцій та виведення підприємства з ладу було заплановане на вечір п’ятниці 8 квітня. Зусиллями фахівців цього вдалось уникнути. 

Дослідники ESET пояснили, що окрім нового Industroyer, зловмисники використали кілька руйнівних сімейств шкідливого ПЗ, в тому числі CaddyWiper, ORCSHRED, SOLOSHRED and AWFULSHRED. CaddyWiper вперше з’явився 14 березня 2022, коли його використали для атаки на український банк. 

ESET не впевнені, як саме зловмисники здійснили первинну компрометацію або як їм вдалося перейти від IT-мережі до мережі Industrial Control System (ICS). Однак CERT-UA заявили, що нападники могли горизонтально переміщатися між сегментами мережі, створюючи ланцюги SSH-тунелів.

SSH-тунелі використовують для віддаленого доступу до операційної системи та передачі файлів по захищених мережах. 

Зараз із CERT-UA над атакою працює Агентство з кібербезпеки та безпеки інфраструктури США. Про це у Твіттері повідомила директорка Агентства Джен Істерлі. 

У нападі на енергетику ESET з великою ймовірністю звинувачують групу APT Sandworm, яка відповідальна також за відключення електроенергії у 2016 році. За висновками ESET, Україна знову опинилась у центрі кібератак, спрямованих на критичну інфраструктуру.