Российские хакеры Sandworm уже несколько раз взламывали украинские электросети. В 2022-м кибератаку объединили с ракетными ударами
Как изменилась тактика русских хакеров после 24 февраля.
Как изменилась тактика русских хакеров после 24 февраля.
Российские хакеры группировки Sandworm, подчиняющиеся Кремлю, уже несколько раз взламывали украинские электросети, сообщает в исследовании американская компания Mandiant, входящая в состав Google и сотрудничающая с украинскими властями.
В октябре 2022 года Sandworm совершил третью успешную атаку на электросеть Украины, повлекшие отключение электроэнергии для неизвестного количества гражданских лиц в Украине.
В отличие от предыдущих хакерских отключений, кибератака совпала с началом серии ракетных ударов по объектам украинской критической инфраструктуры по всей стране, в результате чего пострадали жители того же города, что и энергоснабжающая компания, где Sandworm спровоцировал отключение электроэнергии.
Через два дня после отключения хакеры также использовали вредоносное программное обеспечение для уничтожения данных Wiper, чтобы стереть содержимое компьютеров в сети коммунального предприятия, возможно, пытаясь уничтожить доказательства, которые можно было бы использовать для анализа их вторжения.
В Mandiant отказались назвать электрокомпанию-мишень или город, где она расположена. В компании также не сообщили потери электроэнергии и количество пострадавших гражданских лиц.
В ходе расследования, которое длилось два дня после одновременного отключения электроэнергии и ракетных ударов, в Госспецсвязи подтвердили, что хакеры нашли «мост» от IT-сети коммунального предприятия до его промышленных систем управления и установили там вредоносное программное обеспечение, способное манипулировать сетью.
Сообщается, что тактика русских хакеров эволюционировала. Вместо того чтобы разворачивать собственное вредоносное ПО, они использовали легальные инструменты, уже присутствующие в сети. Это произошло перед запуском автоматизированного сценария, который имел доступ к ПО промышленной системы управления объектом.
В отличие от предыдущих отключений электроэнергии, в которых группировка выжидала в украинских электросетях более 6 месяцев, последний случай разворачивался в гораздо более короткие сроки. Похоже, Sandworm получил доступ к промышленной системе управления сетью только за 3 месяца до отключения и разработал свою технологию, чтобы вызвать это отключение примерно через два месяца.
В Mandiant и Госспецсвязи отмечают, что несмотря на эволюцию Sandworm, инцидент в октябре 2022 года не следует воспринимать как признак того, что цифровая защита Украины испытывает неудачи защитников», — говорит Хультквист.
Напомним, что Sandworm — это элитное подразделение российских хакеров, работающее на Кремль. Именно оно распространяло вируса NotPetya, который уничтожал данные на компьютерах коммерческих и правительственных структур во всем мире, нанося лишь одной диверсией убытки на $10 млрд. Sandworm подчиняется Главному разведывательному управлению россии (ГРУ рф).