Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA отбила целевую атаку на объекты энергетики. Ее целью которых было выведение из строя нескольких инфраструктурных элементов:

• высоковольтных электрических подстанций — с помощью вредоносной программы INDUSTROYER2; причем каждый исполняемый файл содержал статически указанный набор уникальных параметров для соответствующих подстанций (дата компиляции файлов: 23.03.2022);
• электронных вычислительных машин (ЭВМ) под управлением операционной системы Windows (компьютеров пользователей, серверов, а также автоматизированных рабочих мест автоматизированной системы управления технологическим процессом) — с помощью вредоносной программы-деструктора CADDYWIPER; при этом для дешифрования и запуска последнего предусмотрено использование лоадера ARGUEPATCH и шелкода TAILJUMP;
• серверного оборудования под управлением операционной систем Linux — с помощью вредоносных скриптов-деструкторов ORCSHRED, SOLOSHRED, AWFULSHRED;
• активного сетевого оборудования.

«Централизованное распространение и запуск CADDYWIPER реализовано посредством механизма групповых политик (GPO). С целью добавления групповой политики, предусматривающей загрузку компонентов файлового деструктора из контроллера домена, а также создания запланированного задания на ЭВМ, использован PowerShell-скрипт POWERGAP. Возможность горизонтального перемещения между сегментами локальной вычислительной сети обеспечена путем создания цепей SSH-тоннелей. Для удаленного выполнения команд использован IMPACKET», — сказано в публикации.

Украинские киберспециалисты сообщили, что что организация-жертва подверглась двум волнам атак. Первоначальная компрометация состоялась не позже февраля 2022 года. Отключение электрических подстанций и выведение из строя инфраструктуры было запланировано на вечер 8 апреля 2022 года. Кибератаку удалось предотвратить.

Оперативную информацию об инциденте передали ограниченному кругу международных партнеров и предприятиям энергетического сектора Украины. Также CERT-UA выразил благодарность компаниям Microsoft и ESET.

По данным экспертов, за попыткой нападения стоят хакеры Sandworm (UAC-0082). Их связывают с российским ГРУ. Это Юрий Сергеевич Андриенко, Сергей Владимирович Детистов, Павел Валерьевич Фролов, Анатолий Сергеевич Ковалев, Артем Валерьевич Очиченко и Петр Николаевич Плискин.

В 2020 году Министерство юстиции США обвинило хакеров из этой группы в ряде преступлений, среди которых нападения на энергосистему Украины в 2015-2016 годах с использованием семейством вирусов Black Energy, распространение вируса NotPetya и т. д.