Эксперты компаний ESET и Dragos выяснили, кто стоит за кибератаками на критические промышленные системы, происходившие в конце 2016 года. Так, в декабре минувшего года ряд районов северной части правобережья Киева был отключен от электричества, из-за хакерской атаки на подстанцию «Северная».
Специалисты обнаружили новый вид вредоносного ПО, которое окрестили как Industroyer и CrashOverRide, предназначенное для атак на критические промышленные системы и способное вызывать сбой в работе энергосетей. По их словам, скорее всего, именно эти вредоносы были использованы в атаках на компьютерную сеть компании «Укрэнерго» в декабре 2016 года.
Для выполнения вредоносных действий CrashOverRide не эксплуатирует уязвимости нулевого дня в программном обеспечении, вместо этого полагаясь на промышленные коммуникационные протоколы передачи данных, используемые в критических инфраструктурах, в том числе энергетической и транспортной, по всему миру.
CrashOverRide может управлять переключателями трансформаторных подстанций и рубильниками, позволяя атакующим просто отключить подачу электроэнергии или повредить оборудование. Вредоносное ПО имеет модульную структуру, которую хакеры могут модифицировать в зависимости от поставленных задач, например, для атак на транспортную инфраструктуру, газопроводы, системы водоснабжения и т.д.
Industroyer - бэкдор, который сначала устанавливает четыре вредоносных модуля для перехвата управления переключателями и рубильниками, а затем подключается к управляющему серверу злоумышленников для получения дальнейших команд.
Ранее эксперты связали атаки на украинскую энергосистему в декабре 2016 и 2015 годов с российской кибергруппировкой Sandworm. Как полагают специалисты Dragos, оператором CrashOverRide является группа Electrum, непосредственно связанная с Sandworm.
Источник: Securitylab.ru
