Російські хакери Sandworm уже кілька разів зламували українські електромережі. У 2022-му кібератаку поєднали з ракетними ударами
Як змінилася тактика російських хакерів після 24 лютого.
Як змінилася тактика російських хакерів після 24 лютого.
Російські хакери угрупування Sandworm, які підпорядковуються Кремлю, уже кілька разів зламували українські електромережі, повідомляє в дослідженні американська компанія Mandiant, яка входить до складу Google та співпрацює з українською владою.
У жовтні 2022-го року Sandworm здійснив третю успішну атаку на електромережу України, спричинивши відключення електроенергії для невідомої кількості цивільних осіб в Україні.
На відміну від усіх попередніх хакерських відключень, кібератака збіглася з початком серії ракетних ударів по об'єктах української критичної інфраструктури по всій країні, у результаті чого постраждали жителі того ж міста, що й енергопостачальна компанія, де Sandworm спровокував відключення електроенергії.
Через два дні після відключення хакери також використали шкідливе програмне забезпечення для знищення даних «wiper», щоби стерти вміст комп’ютерів у мережі комунального підприємства, можливо, намагаючись знищити докази, які можна було б використати для аналізу їхнього вторгнення.
У Mandiant відмовилися назвати електрокомпанію-мішень або місто, де вона розташована. У компанії також не повідомили втрати електроенергії та кількість постраждалих цивільних осіб.
Під час розслідування, яке тривало два дні після одночасного відключення електроенергії та ракетних ударів, у Держспецзв’язку підтвердили, що хакери знайшли «міст» від ІТ-мережі комунального підприємства до його промислових систем управління та встановили там шкідливе програмне забезпечення, здатне маніпулювати мережею.
Повідомляється, що тактика російських хакерів еволюціонувала. Замість того, щоб розгортати власне шкідливе ПЗ, вони використовували легальні інструменти, уже присутні в мережі. Це трапилося перед запуском автоматизованого сценарію, який мав доступ до ПЗ промислової системи управління об'єктом.
На відміну від попередніх відключень електроенергії, у яких угруповання вичікувало в українських електромережах понад 6 місяців, останній випадок розгортався в набагато коротші терміни. Схоже, що Sandworm отримав доступ до промислової системи управління мережею лише за три місяці до відключення та розробив свою технологію, щоб викликати це відключення приблизно через два місяці.
У Mandiant і Держспецзв’язку зазначають, що попри еволюцію Sandworm, інцидент у жовтні 2022 року не слід сприймати як ознаку того, що цифровий захист України зазнає невдачі», — каже Хультквіст.
Нагадаємо, що Sandworm — це елітний підрозділ російських хакерів, який працює на Кремль. Саме воно розповсюджувало вірусу NotPetya, який знищував дані на комп’ютерах комерційних та урядових структур у всьому світі, завдаючи лише однією диверсією збитків на $10 млрд. Sandworm підпорядковується Головному розвідувальному управлінню росії (ГРУ рф).