Российские хакеры причастны к "блэкауту" в Украине - специалисты Google
Специалисты не называют, какие именно украинские объекты попали под атаку со стороны российских хакеров
Специалисты не называют, какие именно украинские объекты попали под атаку со стороны российских хакеров
В октябре прошлого года провели многоэтапную кибератаку на энергосистему Украины. За этим стоят хакеры из группы Sandworm. Ее связывают с российской разведкой.
Как говорится в отчете компании Google – Mandiant, инцидент состоял из нескольких шагов, а не одной атаки. Хакеры использовали новую технику для воздействия на промышленные системы управления (ICS) и операционные технологии (OT). Согласно анализу, вмешательство началось в июне 2022 года или раньше, а завершилось двумя разрушительными событиями 10 и 12 октября 2022 года.
Сначала Sandworm заставили сработать автоматические выключатели на подстанции, что повлекло за собой незапланированное отключение электроэнергии, совпавшее с массовыми ракетными ударами по объектам критической инфраструктуры по всей Украине. Также использовали образ оптического диска (ISO) для выполнения собственного двоичного файла MicroSCADA, вероятно, пытаясь запустить вредоносные команды управления для отключения подстанций. Исходя из временной отметки от 23 сентября, потенциально существовал двухмесячный период времени с момента, когда злоумышленник получил начальный доступ к системе SCADA, до момента, когда он разработал OT-возможности.
Через два дня провели второй этап, развернув новый вариант CADDYWIPER (предназначенный для стирания данных) в ИТ-среде компании-жертвы. Вероятно, целью было вызвать дальнейшие сбои и удалить собственные следы. Развертывание вируса было ограничено ИТ-средой и не повлияло на гипервизор или виртуальную машину SCADA. Это необычно, поскольку злоумышленник удалил другие "уголовные артефакты", как их называют исследователи, из системы SCADA, возможно, пытаясь вместо следов. Это может свидетельствовать об отсутствии координации между разными лицами или оперативными подгруппами, участвовавшими в атаке.
"Злоумышленник потенциально имел доступ к системе SCADA до трех месяцев", – указывают специалисты.
Sandworm выполняет работу для российского ГРУ (Главного управления разведки), по меньшей мере, с 2009 года. В течение длительного времени центром внимания группировки была Украина, где в последнее десятилетие она проводила кампанию взрывных и разрушительных атак с использованием вредоносного программного обеспечения. Вероятно, эта группа стоит за атаками на украинскую энергосистему в 2015 и 2016 годах, которые приводили к массовому отключению электроэнергии.
Госспецсвязи об отчете компании Mandiant
В Госспецсвязи заявили, что Украина вплотную приблизилась к новому отопительному сезону 2023-2024 годов, который также характеризуется активными попытками российских хакеров повлиять на работу объектов критической информационной инфраструктуры энергетической сферы и предоставление ими жизненно важных сервисов. Отчет компании Mandiant по поводу деструктивной кибератаки, направленной на одно из украинских региональных энергетических предприятий в 2022 году, в деталях раскрывает особенности одной из кибератак, целенаправленно и цинично проводимых российскими хакерскими группировками одновременно с массированными ракетными и дроновыми кампаниями. Это дополнительно подтверждает ранее озвученную специалистами Госспецсвязи позицию, также поддерживаемую Службой безопасности Украины, о наличие координации кибератак с обстрелами со стороны россии, направленными против гражданского населения.
В рамках компетенции и Госспецсвязи, и Правительственной команды реагирования на компьютерные чрезвычайные события CERT-UA, действующей при Госспецсвязи, и ситуационного центра обеспечения кибербезопасности Службы безопасности Украины и других органов, отвечающих за кибербезопасность, постоянно осуществляются безотлагательные меры реагирования и нейтрализации кибератак против объектов критической информационной инфраструктуры Также оперативные и следственные подразделения СБУ под процессуальным руководством Офиса генерального прокурора такого рода факты документируют как военные преступления.
Подписывайтесь на наш Telegram-канал, чтобы не пропустить важные новости. За новостями в режиме онлайн прямо в мессенджере следите на нашем Telegram-канале Информатор Live. Подписаться на канал в Viber можно здесь.