Descubierto un intento de ciber ataque con malware destructivo de actores estatales Rusos a infraestructura crítica de Ucrania . Industroyer2 es un malware de sistemas de control industrial (ICS) dirigido a proveedor de energía ucraniano
El Equipo Gubernamental de Respuesta a Emergencias Informáticas de Ucrania, el CERT-UA, aseguró que esta variante de Industroyer se usó en "varios elementos de infraestructura" críticos en Ucrania, como subestaciones eléctricas de alto voltaje, equipos de red y servidores con Linux y ordenadores y equipos usados en estas mismas centrales.
- La nueva versión del malware Industroyer capaz de afectar sistemas de control industrial se utilizó en ataque a una compañía de energía en Ucrania.
- El ataque utilizó un malware compatible con Sistemas de Control Industrial (ICS, por sus siglas en inglés) y wipers que eliminan información de discos en sistemas operativos Windows, Linux y Solaris.
Ucrania desvela un ciberataque a sus eléctricas
En este caso se han involucrado la ESET y Microsoft. El CERT-UA ha explicado que la infraestructura energética de Ucrania "sufrió dos oleadas de ataques" y que los primeros indicios datan de febrero de 2022, justo en las semanas en las que comenzó la invasión. "La desconexión de las subestaciones eléctricas y el desmantelamiento de la infraestructura de la empresa estaban previstos para la noche del viernes 8 de abril".
Industroyer no ha sido la única arma usada en estos ataques. ya que se han usado otras variantes de malware como CaddyWiper, AWFULSHRED, SOLOSHRED y ORCSHRED. Lo más preocupante es que aunque la CERT-UA cree que los atacantes pudieron acceder a la red eléctrica creando "cadenas de túneles SSH", la ESET no está segura de cómo los atacantes comprometieron el sistema del Sistema de Control Industrial de la CERT-UA en primer lugar.
Victor Zhora, portavoz del gobierno de Ucrania, ha explicado que el ataque ha sido establecido para "inhabilitar una serie de instalaciones, incluidas las subestaciones eléctricas" y atribuye la autoría de estos ciberataques a Rusia. Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, aseguró que estaban colaborando con la CERT-UA.
CaddyWiper
En coordinación con el despliegue de Industroyer2 en la red de un Sistema de Control Industrial (ICS), los atacantes desplegaron una nueva versión del malware destructivo CaddyWiper. Creemos que la intención era hacer más lento el proceso de recuperación y evitar que los operadores de la compañía de energía recuperaran el control de las consolas ICS. También se desplegó en la máquina donde se ejecutó Industroyer2, probablemente para borrar cualquier rastro del malware.
La primera versión de CaddyWiper fue descubierta por investigadores de ESET en Ucrania el 14 de marzo de 2022 cuando se desplegó en la red de un banco. Se desplegó a través de un objeto de política de grupo (GPO, por sus siglas en inglés), lo que indica que los atacantes tenían control previo de la red de la víctima. El wiper borra datos del usuario y la información almacenada en las particiones de las unidades conectadas, lo que hace que el sistema quede inoperable e irrecuperable.
Además de su uso de malware de limpieza destructivo, Rusia también implementó el nuevo malware Cyclops Blink como un medio para acceder a las redes de destino a través de dispositivos de firewall vulnerables y cooptarlos en una red de bots, aunque esto fue neutralizado a principios de abril por las autoridades estadounidenses y alemanas.
Fuentes:
https://cert.gov.ua/article/39518
No hay comentarios:
Publicar un comentario