Hackers rusos intentaron atacar la red eléctrica de Ucrania con el malware Industroyer2

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) reveló el martes que frustró un ataque cibernético de Sandworm , un grupo de piratería afiliado a la inteligencia militar de Rusia, para sabotear las operaciones de un proveedor de energía no identificado en el país.

"Los atacantes intentaron derribar varios componentes de infraestructura de su objetivo, a saber: subestaciones eléctricas, sistemas informáticos operados por Windows, equipos de servidores operados por Linux, [y] equipos de red activos", el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania. (SSSCIP) dijo en un comunicado.

La firma eslovaca de ciberseguridad ESET, que colaboró ​​con CERT-UA para analizar el ataque, dijo que el intento de intrusión involucró el uso de malware compatible con ICS y limpiadores de disco regulares, y el adversario desató una variante actualizada del malware Industroyer , que se implementó por primera vez en un asalto de 2016 a la red eléctrica de Ucrania.

"Los atacantes de Sandworm intentaron implementar el malware Industroyer2 contra subestaciones eléctricas de alto voltaje en Ucrania", explicó ESET . "Además de Industroyer2, Sandworm usó varias familias de malware destructivas, incluidas CaddyWiper , OrcShred, SoloShred y AwfulShred".

Se cree que la red eléctrica de la víctima penetró en dos oleadas, el compromiso inicial ocurrió a más tardar en febrero de 2022, coincidiendo con la invasión rusa de Ucrania, y una infiltración posterior en abril que permitió a los atacantes cargar Industroyer2.

russian-hacker

Industroyer, también conocido como "CrashOverride" y denominado "la mayor amenaza para los sistemas de control industrial desde Stuxnet ", es modular y capaz de obtener el control directo de los interruptores y disyuntores en una subestación de distribución de electricidad.

La nueva versión del malware sofisticado y altamente personalizable, al igual que su predecesor, aprovecha un protocolo de comunicación industrial llamado IEC-104 para apoderarse de los equipos industriales, como los relés de protección que se utilizan en las subestaciones eléctricas.

El análisis forense de los artefactos dejados por Industroyer2 reveló una marca de tiempo de compilación del 23 de marzo de 2022, lo que indica que el ataque se había planeado durante al menos dos semanas. Dicho esto, aún no está claro cómo se comprometió inicialmente la instalación de energía objetivo, o cómo los intrusos se trasladaron de la red de TI a la red del Sistema de control industrial (ICS).

ESET dijo que las acciones destructivas contra la infraestructura de la empresa estaban programadas para el 8 de abril de 2022, pero finalmente se frustraron. A esto le siguió la ejecución de un borrador de datos llamado CaddyWiper 10 minutos más tarde en la misma máquina para borrar los rastros del malware Industroyer2.

Junto con Industroyer2 y CaddyWiper, también se dice que la red del proveedor de energía objetivo fue infectada por un gusano de Linux llamado OrcShred, que luego se usa para propagar dos programas maliciosos de limpieza diferentes dirigidos a los sistemas Linux y Solaris, AwfulShred y SoloShred, y dejar las máquinas inoperables. .

Los hallazgos llegan justo después del derribo autorizado por la corte de Cyclops Blink , una botnet modular avanzada controlada por el actor de amenazas Sandworm, la semana pasada.

CERT-UA, por su parte, también advirtió sobre una serie de campañas de spear-phishing montadas por Armageddon, otro grupo con sede en Rusia vinculado al Servicio Federal de Seguridad (FSB) que ha atacado entidades ucranianas desde al menos 2013.

“Ucrania está una vez más en el centro de los ataques cibernéticos dirigidos a su infraestructura crítica”, dijo ESET. "Esta nueva campaña de Industroyer sigue a múltiples oleadas de limpiaparabrisas que se han dirigido a varios sectores en Ucrania".

 

Fuente: Thehackernews

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies