Російське угрупування хакерів Sandworm, що складається з офіцерів ГРУ, намагалося залишити без світла Вінницьку область. Вони спробували здійснити хакерську атаку на «Вінницяобленерго» на минулому тижні.

Вчасно зреагували

Як пише Forbes Україна, росіяни з угруповання Sandworm проникли в мережі «Вінницяобленерго». Вони намагалися повторити свою ж успішну атаку 2016 року, коли світло зникло на півночі Києва. Цього разу українським фахівцям вдалося запобігти відключенню електроенергії

Фахівці CERT-UA, які реаґують на комп’ютерні надзвичайні події, 7–8 квітня отримали від партнерів інформацію про можливе зараження ІТ-систем однієї з регіональних енергокомпаній. Шкідлива програма мала спрацювати о 19:10 у п’ятницю, 8 квітня, коли більшість співробітників пішли б додому. Мета – позбавити електроенергії цивільне населення. Про це розповів на брифінгу заступник голови Держспецзвʼязку Віктор Жора.

Жора відмовився називати партнера та енергокомпанію. Щодо партнера – у розборі атаки CERT-UA подякував двом компаніям – Microsoft та словацькій ESET. Остання допомагала захищати та очищати мережу, а потім аналізувати зразки вірусу. Про роль Microsoft Жора не розповів. Forbes направив до компанії запит, проте на момент виходу матеріалу не отримав відповіді.

Від джерел на ринку Forbes дізнався, що мішенню атаки є «Вінницяобленерго». Підприємство обслуговує 770 000 споживачів, зокрема 750 000 домогосподарств, 1380 промислових об’єктів і 1340 сільськогосподарських підприємств. Як каже заступник міністра енергетики Фарід Сафаров, без світла могли залишитися до 2 млн людей.

Коли втрутились фахівці CERT-UA, частину інфраструктури вже було уражено. Вони не дозволили шкідливому ПЗ поширитися, і відновили роботу пошкодженої частини системи у ручному режимі.

«Жодних сигналів, що десь зникло електропостачання, не зафіксували», – каже Жора.

Знайомі російські хакери

Російський слід знайшли спеціалісти словацької антивірусної компанії ESET, що долучилися до аналізу вже 8 квітня.

«Ми порівняли новий зразок з Industroyer 2016 року, знайшли ряд співпадінь у коді і дійшли висновку, що це той самий малвар», – розповів Forbes директор із дослідження загроз ESET Жан-Іен Бутен. 

За допомогою версії вірусу у 2016 році хакери Головного розвідуправління РФ з угруповання Sandworm змогли відключити світло на підстанції на півночі Києва, залишивши частину міста без світла. 

Поки невідомо, як саме Sandworm проник у мережі енергокомпанії – розслідування триває. Сафаров каже, що атаки саме на «Вінницяобленерго» почалися ще в середині лютого. Їх вдавалося відбивати… 

Спланована та підготовлена атака

Атака, яка майже досягла успіху, була більш підготовленою. Зловмисники дістали доступ до мережі підприємства, вивчили її, визначили конкретне обладнання як ціль. Його параметри були прописані у коді Industroyer2. 

Вірус опинився в мережах підприємства не пізніше 23 березня. Саме тоді скомпілювали його код. Industroyer дозволяє надсилати команди на перемикачі підстанції, що контролюють подачу електроенергії. У 2016 році, щоб відновити роботу мережі, операторам довелось їхати на підстанцію і підключати перемикачі вручну. 

Чи вдалося б це цього разу – покаже тільки детальне розслідування і спілкування з інженерами «Вінницяобленерго». Те, що Sandworm використали майже той самий малвар і закодували в ньому особливості мережі одного підприємства, може свідчити про те, що атака готувалася доволі швидко, вважає старша технічна радниця з кібербезпеки критичної інфраструктури ISSP Марина Кротофіл.    

Окрім ПЗ для відключення енергопостачання російські хакери також завантажали програму-деструктор CADDYWIPER. Вона мала пошкодити мережеве обладнання, знищити дані на ПК та серверах компанії на системах Windows та Linux, включно з кодом самого малвара. 

Спроба зламу була «частково успішною»

Жора не уточнив, яка саме частина системи «Вінницяобленерго» постраждала. Спроби зламу активного мережевого обладнання він назвав «частково успішними». Сервери під управлінням Linux не постраждали. На запит Forbes ІТ-директор «Вінницяобленерго» Юрій Томашевський відмовився відповідати на запитання, додавши лише, що «на сьогодні компанія працює у штатному режимі, але в період воєнного часу». 

«Велика удача, що вдалося своєчасно зреаґувати на цю атаку», – каже Віктор Жора.

Досвід і зразки Industroyer2 та іншого шкідливого ПЗ допоможуть виявляти такі атаки швидше.

«Не тільки в Україні, а й по всьому світу», – додає Бутен із ESET.