Slovenský ESET detekoval další kybernetické útoky na Ukrajině. Tentokrát ve spolupráci s tamním CERT týmem. Stejně jako u předchozích akcí se jednalo o předem připravený útok. Byl zaměřený na energetickou společnost distribuující elektřinu na území Ukrajiny.
Útočníci použili škodlivé kódy Industroyer2 a CaddyWiper. Za akcí podle dosavadních zjištění ESETu stojí ruskojazyčná skupina Sandworm s vazbami na ruskou zpravodajskou službu GRU.
Zpráva publikovaná CERT-UA je k dispozici zde. Informace o Industroyer2 jsou pak tady. Navazuje na původní Industroyer. O předchozích útocích na Ukrajině v našem rozhovoru.
Michal Cebák z ESETu situaci shrnuje takto:
Podle prvních zjištění byl útok realizován v pátek 8. dubna v 16:20 místního času. Přípravy na něj však trvaly dva týdny před jeho zahájením. Destruktivní malware stejně jako v předchozích případech mazal data na napadených zařízeních, které používaly operační systému Windows, Linux a Solaris.
Na základě prvních analýz vidíme jasnou souvislost s útoky na ukrajinskou rozvodnou síť z roku 2016, jejichž následkem došlo k masivním výpadkům elektřiny. Nyní byly použity inovované útočné nástroje, zejména malware Industroyer v nové verzi, ale pachatel byl s největší pravděpodobností totožný – ruskojazyčná útočná skupina Sandworm, která je spojována s ruskou zpravodajskou službou GRU.
Sandworm je skupina, která je řazena mezi tzv. APT, tedy pokročilé trvalé hrozby. Tímto termínem jsou označováni útočníci nebo skupiny útočníků, které získávají přístupy do počítačových sítí zpravidla významných soukromých či vládních organizací, kde bývají delší dobu nepozorovány. V mnohých případech je jejich aktivita financována státy.
Kromě Industroyeru2 byly pro útok použity další škodlivé kódy. Detekovali jsme vzorky malware zahrnující mimo jiné i CaddyWiper, se kterým jsme se setkali při útocích na ukrajinské finanční instituce v polovině března. V tuto chvíli nevíme, jak přesně došlo k infikování napadené organizace, to je předmětem dalšího vyšetřování.
ČLÁNKY DO MAILU