I funzionari ucraini hanno detto di aver fermato un attacco a un impianto di energia con l’aiuto dei ricercatori di ESET e Microsoft. Nel processo di fermare l’attacco, hanno scoperto una nuova variante di Industroyer, un famigerato pezzo di malware che è stato utilizzato dal gruppo APT Sandworm nel 2016 per tagliare la corrente in Ucraina.
CERT-UA, il Governmental Computer Emergency Response Team dell’Ucraina, ha dichiarato che l’attacco ha usato Industroyer per colpire “diversi elementi infrastrutturali” tra cui sottostazioni elettriche ad alta tensione, computer della struttura, apparecchiature di rete e apparecchiature server con sistemi operativi Linux.
“È noto che l’organizzazione vittima ha subito due ondate di attacchi. La compromissione iniziale ha avuto luogo non più tardi del febbraio 2022“, ha spiegato CERT-UA.
“La disconnessione delle sottostazioni elettriche e la disattivazione dell’infrastruttura dell’azienda era prevista per venerdì sera, 8 aprile 2022. Allo stesso tempo, l’attuazione del piano maligno è stata finora impedita“.
ESET sostiene che ha anche visto gli aggressori utilizzare diverse altre famiglie di malware distruttivi tra cui CaddyWiper, ORCSHRED, SOLOSHRED e AWFULSHRED.
ESET ha detto che non era sicuro di come gli aggressori hanno compromesso la vittima iniziale o come sono riusciti a passare dalla rete IT alla rete del sistema di controllo industriale (ICS). Ma CERT-UA ha detto che gli aggressori sono stati in grado di muoversi lateralmente tra diversi segmenti di rete “creando catene di tunnel SSH“.
I tunnel SSH consentono agli utenti di inoltrare le connessioni a una macchina remota attraverso un canale sicuro da una porta sul desktop di un utente.
“L’Ucraina è ancora una volta al centro di cyberattacchi che prendono di mira le loro infrastrutture critiche. Questa nuova campagna Industroyer segue più ondate di wipers che hanno preso di mira vari settori in Ucraina”, ha detto ESET.
