Ukrainas CERT avslöjade i ett tillkännagivande idag att man framgångsrikt har motverkat en cyberattack från ryska hackare riktade mot en energianläggning.
Vid analys hittade teamet en ny skadlig programvara planterad i de industriella kontrollsystemen på den energianläggningen och har funnits där i flera veckor! Det finns också en torkare i de drabbade systemen, som syftar till att ta bort spåren efter attacken. Forskare kopplade skadlig programvara till en rysk statsstödd hackergrupp.
Ukraina försvarade en kritisk cyberattack
Mitt i kriget med synliga vapen är Ukraina och Ryssland också inblandade i cyberattacker. Flera forskare har tidigare varnat, och till och med meddelat nu att Ryssland ständigt cyberanfaller Ukraina.
I denna strävan, den ukrainska statliga datornödteamet (CERT-UA) avslöjade att en potentiell cyberattack var planerad mot en av deras energianläggningar – som de framgångsrikt stoppade den 8 april.
Hackare har implanterat en ny skadlig programvara för att koppla bort och avveckla högspänningsinfrastrukturen. En analys av ESET-teamet – som följde med CERT-UA för att förhindra denna attack – har kopplat attacken till Sandworm-gänget – en hackningsgrupp som tillskrivs en rysk militärenhet som heter GRU.
Storbritanniens NCSC, CISA och NSA kopplade i sina tidigare rapporter Sandworm till GRU och varnade organisationer som är potentiella mål för den. Hackare i kampanjen mot Ukraina använde en uppdaterad version av Industriföretagare – en skadlig programvara som tidigare användes för att orsaka strömavbrott i Ukraina 2015.
Spåren som Industroyer2 lämnat säger att den har funnits i kraftsystemen sedan februari 2022, och det är okänt hur de hade kommit in i de industriella styrsystemen. Det finns också en ny version av CaddyWiper spotted, som är en destruktiv skadlig programvara som syftar till att utplåna spår och även bromsa energibolagets återställningsprocesser efter attacken.
