Vírussal támadtak meg egy ukrán energiaipari vállalatot

A szakemberek szerint alapos a gyanú, hogy a meghiúsított támadás mögött az orosz kormány által támogatott hackerek állnak.

Az ESET biztonsági cég számolt be arról, hogy április 8-án egy olyan támadás érte az egyik ukrán energiaszolgáltatót, melynek célja az áramellátás leállítása volt.

A beszámoló szerint a támadók egy ismert malware új változatát használták, melyet a kivizsgálásra felkért ESET és az ukrán CERT közösen Industroyer2-nek neveztek el. Az energiaszolgáltató rendszerében felfedezett szoftvert kifejezetten ipari rendszerek manipulálására tervezték, jelen esetben azt feltételezik, hogy a közvetlenül a fogyasztók számára energiát biztosító elektromos elosztó alállomásokat próbálták meg leállítani.

A vizsgálat alapján az ESET szakemberei úgy vélik, hogy a malware-t az orosz katonai hírszerzésnek, a GRU-nak dolgozó, államilag támogatott Sandworm hackercsoport készítette és juttatta be. A bizonyítékok közé sorolják, hogy a korábbi Industroyert ez a csoport használta fel arra 2016-ban, hogy zavart okozzanak az ukrán energiarendszerben, és a régi, illetve új malware egyértelműen ugyanarra a forráskódra épül.

A terjesztés módja egyelőre még nem világos, jelenleg annyit tudnak, hogy a támadásra kész szoftver már március végén, a támadás előtt két héttel kész volt, vagyis tervezetten készültek az akcióra.

Az ESET szakemberei az átvilágításkor felfedezett egy másik, Windows-alapú kártevőt is, a CaddyWipert, amely képes a gépről törölni az adatokat, illetve meg tudja akadályozni az újraindítást. Azt is megemlítik, hogy elképzelhető, hogy a két programot együtt kívánták használni: az egyikkel leállítani az áramszolgáltatást, majd a másikkal eltüntetni a behatolás nyomait.

Előzmények