Миналата година прекъсванията на електрозахранването в Украйна бяха причинени не само от ракетни удари по страната, но и от привидно координирана кибератака срещу една от електроцентралите. Това твърди екипът за разузнаване на заплахите на Mandiant, според който руският екип Sandworm стои зад двупосочната атака за прекъсване на електрозахранването и изтриване на данни.
В изследване, което трябва да бъде публикувано днес, притежаваната от Google служба за сигурност описва подробно непоказвана досега кибератака срещу украинска електроцентрала. Това съоръжение е било компрометирано около юни миналата година, а четири месеца по-късно е последвала двудневна атака, която съвпада с масираните ракетни удари по електрическата мрежа на Украйна. Общо взето, това доведе до спиране на електрозахранването на около една трета от територията на страната.
Mandiant твърди, че не може да определи първоначалния начин на проникване на Sandworm. Но по някакъв начин екипът – който западните правителствени агенции и изследователите на сигурността в частния сектор преди това са свързвали с руското военно разузнаване GRU – успешно е получил достъп до оперативната технологична среда на електроцентралата чрез хипервайзор, на който е разположен екземпляр за управление на подстанциите на централата чрез надзорно управление и събиране на данни (SCADA).
Отбелязваме, че времето на атаката съвпада с руските кинетични операции
Нарушителите са шпионирали в системата SCADA в продължение на до три месеца и след това, на 10 октомври, Sandworm е използвал образ на оптичен диск с име „a.iso“, за да изпълни нативен двоичен файл на MicroSCADA, който е включвал команди за изключване на подстанциите, което е довело до непланираното прекъсване на електрозахранването.
Два дни по-късно, на 12 октомври, екипът на Sandworm последва атака за изтриване на данни срещу същата електроцентрала, като разгърна вариант на CaddyWiper в ИТ средата. Изтривачката обаче не засегнала нито хипервайзора, нито виртуалната машина на SCADA.
Нейтън Брубейкър, ръководител на отдел „Нови заплахи и анализи“ в Mandiant, отказа да коментира колко подстанции са били засегнати от нахлуването в ОТ, нито колко украинци са загубили електрозахранването си заради кибератаката. „Беше в Украйна, но в крайна сметка не споделяме никакви допълнителни подробности“, каза той пред The Register.
Sandworm е използвал този конкретен зловреден софтуер за изтриване на данни в множество сектори – включително правителствени и финансови институции – по време на кървавото нахлуване на Русия в Украйна. Мандиант нарича гадния софтуер„най-често използваният деструктивен инструмент срещу украински структури“.
Интересен е моментът на тази двуетапна атака. Изпълнението на зловредния код, който задейства прекъсвачите на подстанцията на 10 октомври 2022 г., съвпада с началото на многодневен набор от координирани ракетни удари по критична инфраструктура в множество украински градове – включително този, в който се намира електроцентралата.
Руските ракетни удари между 10 и 12 октомври 2022 г. прекъсват електрозахранването на 1,5 милиона украинци.
Въпреки че Mandiant твърди, че не може да направи категорично заключение, че кибератаката срещу електроцентралата е била умишлено синхронизирана с ракетните удари, в доклада – видян от The Register и очакван да бъде публикуван тук – се отбелязва, че „времето на атаката се припокрива с руските кинетични операции“.
„Sandworm потенциално е разработил разрушителната способност още три седмици преди събитието на ОТ, което предполага, че нападателят може да е чакал конкретен момент, за да разгърне способността“, се добавя в него.
Докладът също така поставя под съмнение общия консенсус, че опасенията за това, че Sandworm (или други подкрепяни от Кремъл главорези) ще изключат електропреносната мрежа или други системи на критичната инфраструктура, са до голяма степен преувеличени.
„Съществува погрешно схващане, че атаките в Украйна не са отговорили на прогнозите“, казва главният анализатор на Mandiant Джон Хълткист пред The Register.
„Факт е, че атаките бяха ограничени благодарение на изключителната работа на украинските защитници и техните партньори, които работиха неуморно, за да предотвратят стотици сценарии като този“, каза той.
„Фактът, че този инцидент е изолиран, е доказателство за тяхната изключителна работа.“ ®