Россия совершила кибератаку на украинскую энергосистему, которая привела к отключению электроэнергии в некоторых районах Украины в октябре 2022 года.
Об этом заявила американская фирма по кибербезопасности Mandiant, входящая в состав Google, в отчете в четверг, 9 ноября.
— Эта атака представляет собой последнее развитие российского потенциала киберфизических атак, который становится все более заметным после вторжения России в Украину, — говорится в отчете.
Это первый случай, о котором стало известно, несмотря на то, что он произошел более года назад.
Хакерская группа, известная под псевдонимом Sandworm, одновременно с ракетным ударом отключила автоматические выключатели на электрической подстанции, что привело к отключению электроэнергии.
Затем, чтобы замести следы, она запустила новый вариант вредоносного программного обеспечения CADDYWIPER, говорится в отчете.
— Методы, использованные в ходе инцидента, свидетельствуют о растущей зрелости российского наступательного арсенала операционных технологий (ОТ), включая способность распознавать новые векторы ОТ-угроз, разрабатывать новые возможности и использовать различные типы ОТ-инфраструктуры для осуществления атак, — говорится в отчете.
Используя методы LotL, злоумышленник, вероятно, сократил время и ресурсы, необходимые для проведения киберфизической атаки. И хотя Mandiant не удалось определить начальную точку вторжения, их анализ показывает, что OT-компонент этой атаки мог быть разработан всего за два месяца.
— Это указывает на то, что угрожающий субъект, скорее всего, способен быстро разработать аналогичные возможности против других OT-систем различных производителей оригинального оборудования (OEM), используемых по всему миру, — говорится в документе.
Что известно о Sandworm
Предположительно, Sandworm является подразделением кибернетической войны российского ГРУ. Отмечается, что совместная деятельность Sandworm и разведывательного управления наблюдалась с 2009 года.
— Основным центром деятельности группировки на протяжении длительного времени является Украина, где в течение последних десяти лет она (группировка Sandworm, — Ред.) проводила кампании разрушительных и деструктивных атак с использованием вредоносного ПО wiper, в том числе во время вторжения России в 2022 году, — говорится в отчете.
За пределами Украины группа продолжает осуществлять шпионские операции, которые имеют глобальный характер и свидетельствуют о далеко идущих амбициях и интересах российских военных в других регионах, пишет Mandiant.
Обвинительные заключения связывают группу с Главным центром специальных технологий (также известным как ГЦСТ и войсковая часть 74455).
Учитывая глобальную активность Sandworm и новые возможности OT, Mandiant призвало владельцев OT-активов принять меры по снижению этой угрозы.
Другие операции Sandworm
В сентябре 2023 года в отчете Национального центра кибербезопасности Великобритании сообщалось, что Sandworm устанавливала на мобильные телефоны украинских военных вредоносное ПО Infamous Chisel.
Кроме того, Sandworm была одной из хакерских группировок, которая участвовала в атаке по Украине 24 февраля 2022 года.
