Kibernetinio saugumo bendrovė „ESET“, bendradarbiaudama su Ukrainos kibernetine komanda „CERT-UA“, užfiksavo ataką, kurios metu buvo naudojami kenkėjiški kodai „Industroyer2“ ir „CaddyWipper“. Remiantis iki šiol gautais duomenimis, atakos autorius yra rusakalbė atakų grupė „Sandworm“, susijusi su Rusijos žvalgybos tarnyba „GRU“. Ataka buvo nukreipta į vieną stambią energetikos bendrovę, skirstančią elektros energiją Ukrainoje.

Pirminiais duomenimis, ataka įvykdyta balandžio 8 d., penktadienį, 16:20 val. vietos laiku. Tačiau manoma, kad pasirengimas šiai atakai truko dvi savaites iki jos pradžios. Tai ne pirmas atvejis, kuomet nusikalstama grupuotė „Sandworm“ kėsinasi į Ukrainoje esančias kritines infrastruktūras. Kaip ir ankstesniais atvejais, destruktyvi kenkėjiška programa ištrynė duomenis užkrėstuose įrenginiuose su „Windows“, „Linux“ ir „Solaris“ operacinėmis sistemomis.

„Remdamiesi pirmosiomis analizėmis, matome aiškų ryšį su 2016 m. įvykdytomis atakomis prieš Ukrainos elektros tinklus, dėl kurių buvo nutrauktas elektros energijos tiekimas didžiuosiuose Ukrainos miestuose. Dabar buvo naudojami tobulesni atakos įrankiai, nauja kenkėjiškos programos „Industroyer“ versija, tačiau vykdytojas greičiausiai buvo tas pats - rusakalbė atakų grupė „Sandworm“, susijusi su Rusijos žvalgybos tarnyba „GRU“, - sakė „ESET“ saugumo analitikas Michal Cebák.

Kibernetinio saugumo ekspertai Lietuvoje, remdamiesi „ESET Telemetrijos“ duomenimis, įvertino, ar tokia grėsmė šiuo metu negresia Lietuvoje veikiančioms kritinėms infrastruktūroms. Pasak „ESET Lietuva“ IT inžinieriaus ir kibernetinio saugumo specialisto Luko Apynio, ši grupuotė, taip pat kaip ir Ukrainoje, gali bandyti atakuoti energijos tinklus, interneto tiekėjus, oro uostus ir kitas kritinės svarbos sistemas norint sustabdyti arba sutrikdyti jų veiklą. Anot specialisto, kai kurios organizacijos nėra pasiruošusios tokioms atakoms. Šiuo metu Lietuvoje kenkėjiškos veiklos, susijusios su „Industroyer2“ ir „CaddyWipper“, nepastebėta.

“Šis virusas yra kitoks. Jis yra destruktyvus, o „Industroyer2“ ir „CaddyWipper“ naudojamas „Wiper“ nėra įprasta kenkėjiška programa. Ši kenkėjiška programa sunaikina viską, kas pasitaiko jos kelyje. Vienintelis šios kenkėjiškos programos tikslas yra sugadinti ir sunaikinti savo aukas. Nors tai gali sukelti didelių finansinių nuostolių nukentėjusioms šalims, pagrindinis jos tikslas yra ne vogti pinigus ar parduoti informaciją kibernetiniams nusikaltėliams, o pats sunaikinimas. Dauguma „Wiper“ virusų neperrašo visų diskų įrenginių, o atsitiktinai tam tikrais intervalais įrašo nedidelį kiekį duomenų, kad sunaikintų failus. Daugeliu atvejų „Wiper“ pirmiausia nukreipiama į svarbiausių sistemos atkūrimo įrankių failus, kad įsitikintų, jog nebėra atkūrimo parinkties. Šis virusas perrašo diskus ir tada išvalo pagrindinį įkrovos įrašą (MBR).“ - komentuoja L. Apynis.

„Sandworm yra grupė, kuri priskiriama vadinamosioms APT, t.y. pažangioms nuolatinėms grėsmėms. Šiuo terminu vadinami įsilaužėliai ar jų grupės, kurios įgyja prieigą prie kompiuterių tinklų, dažniausiai didelių privačių ar vyriausybinių organizacijų, kur jų ilgą laiką niekas nepastebi. Daugeliu atvejų jų veiklą finansuoja valstybės. „Industroyer2“ išpuoliui buvo naudojami ne tik „Industroyer2“, bet ir kiti kenkėjiški kodai. Aptikome kenkėjiškų programų pavyzdžių, įskaitant „CaddyWiper“, su kuriais susidūrėme per kovo viduryje įvykdytas atakas prieš Ukrainos finansų įstaigas. Šiuo metu tiksliai nežinome, kaip buvo užkrėsta organizacija, tai yra tolesnio tyrimo objektas", - priduria „ESET“ atstovas Michal Cebák.

Pasak Luko Apynio, nestebina ir tai, kad „Industroyer2“ ir „CaddyWipper“ virusai Ukrainoje veikia jau ne pirmą kartą, o programišiai nekuria naujo kenkėjiško kodo. „Šio viruso programinį kodą programišiai naudoja dažnai, kadangi jis yra gana veiksmingas ir greitai veikia. Daugelis organizacijų numoja ranka, neatkreipia dėmesio į jo pavojingumą ir galvoja, kad jų ši ataka nepasieks. Kitos organizacijos dažnai net nėra girdėjusios apie šias atakas ir grėsmes. Jei manote, kad išpirkos reikalaujančios programos atakos yra pavojingiausios, pagalvokite dar kartą. Nors tai labai pražūtinga, daugeliu atvejų bent jau galite atkurti užšifruotus failus po atsarginių kopijų atstatymo. To, deja, nepavyks padaryti susidūrus su „Wiper“ kenkėjišką programą naudojančiais virusais.“ - priduria L. Apynis.

CERT-UA yra Ukrainos vyriausybinė kibernetinių ekstremalių situacijų reagavimo komanda, veikianti Valstybiniame kibernetinės gynybos centre. Originali CERT-UA ataskaita skelbiama čia.

Išsamų kenkėjiškos programos „Industroyer“, kurios atnaujinta versija buvo panaudota dabartinei atakai, aprašymą galima rasti čia.

IoC, kompromitavimo indikatorius, – tai terminas, vartojamas saugumo incidento įrodymams apibūdinti ir vienareikšmiškai grėsmei identifikuoti. Juo remdamasi saugumo bendruomenė gali geriau atremti grėsmę.

Daugiau informacijos čia.

Komentarai ()