Společnost Eset ve spolupráci s ukrajinským kybernetickým týmem CERT-UA odhalila útok prostřednictvím škodlivých kódů Industroyer2 a CaddyWipper. Podle dosavadních zjištění je autorem útoku ruskojazyčná útočná skupina Sandworm s vazbami na ruskou zpravodajskou službu GRU.
Cílem byla významná energetická společnost distribuující elektřinu na území Ukrajiny. Podle prvních zjištění byl útok realizován v pátek 8. 4. 2022 v 16.20 místního času. Přípravy na něj však podle Esetu trvaly dva týdny před jeho zahájením.
Analytici upozorňují, že destruktivní malware stejně jako v předchozích případech mazal data na napadených zařízeních, které používaly operační systému Windows, Linux a Solaris.
Skupina Sandworm je trvalá hrozba
„Na základě prvních analýz vidíme jasnou souvislost s útoky na ukrajinskou rozvodnou síť z roku 2016, jejichž následkem došlo k masivním výpadkům elektřiny,“ popisuje Michal Cebák, bezpečnostní analytik společnosti Eset.
„Nyní byly použity inovované útočné nástroje, zejména malware Industroyer v nové verzi, ale pachatel byl s největší pravděpodobností totožný – ruskojazyčná útočná skupina Sandworm, která je spojována s ruskou zpravodajskou službou GRU,“ upřesňuje.
Eset upřesňuje, že Sandworm je skupina, která je řazena mezi tzv. APT, tedy pokročilé trvalé hrozby. Tímto termínem jsou označováni útočníci nebo skupiny útočníků, které získavají přístupy do počítačových sítí zpravidla významných soukromých či vládních organizací, kde bývají delší dobu nepozorovány.
„Kromě Industroyeru2 byly pro útok použity další škodlivé kódy. Detekovali jsme vzorky malware zahrnující mimo jiné i CaddyWiper, se kterým jsme se setkali při útocích na ukrajinské finanční instituce v polovině března,“ říká Cebák.
Společnost dodává, že zatím není jasné, jak přesně došlo k infikování napadené organizace, nicméně vyšetřování stále probíhá.
Zdroj: Eset
