Російські хакери причетні до "блекауту" в Україні - фахівці Google

У жовтні минулого року провели багатоетапну кібератаку на енергосистему України. За цим стоять хакери з групи Sandworm. Її пов’язують з російською розвідкою.

Як йдеться у звіті компанії Google - Mandiant, інцидент складався з декількох кроків, а не однієї атаки. Хакери використовували нову техніку для впливу на промислові системи управління (ICS) та операційні технології (OT). Згідно з аналізом, втручання почалося в червні 2022 року або раніше, а завершилося двома руйнівними подіями 10 і 12 жовтня 2022 року.

Спочатку Sandworm змусили спрацювати автоматичні вимикачі на підстанції, що спричинило незаплановане відключення електроенергії, яке збіглося з масовими ракетними ударами по об'єктах критичної інфраструктури по всій Україні. Також використали образ оптичного диска (ISO) для виконання власного двійкового файлу MicroSCADA, ймовірно, намагаючись запустити шкідливі команди управління для вимкнення підстанцій. Виходячи з часової позначки від 23 вересня, потенційно існував двомісячний період часу з моменту, коли зловмисник отримав початковий доступ до системи SCADA, до моменту, коли він розробив OT-можливості.

Через два дні провели другий етап, розгорнувши новий варіант CADDYWIPER (призначений для стирання даних) в ІТ-середовищі компанії-жертви. Імовірно, метою було спричинити подальші збої та видалити власні сліди. Розгортання вірусу було обмежене ІТ-середовищем і не вплинуло на гіпервізор або віртуальну машину SCADA. Це незвично, оскільки зловмисник видалив інші "кримінальні артефакти", як їх називають дослідники, з системи SCADA, можливо, намагаючись замести сліди. Це може свідчити про відсутність координації між різними особами або оперативними підгрупами, які брали участь в атаці.

"Зловмисник потенційно мав доступ до системи SCADA до трьох місяців", - вказують фахівці. 

Sandworm виконує роботу для російського ГРУ (Головного управління розвідки) щонайменше з 2009 року. Протягом тривалого часу центром уваги угруповання була Україна, де протягом останнього десятиліття воно проводило кампанію підривних і руйнівних атак з використанням шкідливого програмного забезпечення. Ймовірно, ця група стоїть за атаками на українську енергосистему у 2015 та 2016 роках, які також призводили до масового вимкнення електроенергії.  

Держспецзв’язку про звіт компанії Mandiant 

У Держспецзв’язку заявили, що Україна впритул наблизилася до нового опалювального сезону 2023–2024 років, який також характеризується активними спробами російських хакерів вплинути на роботу об’єктів критичної інформаційної інфраструктури енергетичної сфери та надання ними життєво важливих сервісів. Звіт компанії Mandiant щодо деструктивної кібератаки, скерованої на одне з українських регіональних енергетичних підприємств у 2022 році, в деталях розкриває особливості однієї з кібератак, що цілеспрямовано та цинічно проводились російськими хакерськими угрупованнями одночасно з масованими ракетними та дроновими кампаніями. Це додатково підтверджує раніше озвучену фахівцями Держспецзв’язку позицію, яку також підтримує Служба безпеки України, про наявність координації кібератак з обстрілами з боку росії, спрямованими проти цивільного населення.

У межах компетенції і Держспецзв’язку, і Урядової команди реагування на комп’ютерні надзвичайні події CERT-UA, яка діє при Держспецзв’язку, і ситуаційного центру забезпечення кібербезпеки Служби безпеки України, й інших органів, які відповідають за кібербезпеку, постійно здійснюються невідкладні заходи реагування та нейтралізації кібератак проти об’єктів критичної інформаційної інфраструктури. Також оперативні та слідчі підрозділи СБУ під процесуальним керівництвом Офісу генерального прокурора такого роду факти документують як воєнні злочини.

Підписуйтесь на наш Telegram-канал, щоб не пропустити важливих новин. За новинами в режимі онлайн прямо в месенджері слідкуйте на нашому Telegram-каналі Інформатор Live. Підписатися на канал у Viber можна тут.