Росія здійснила кібератаку на українську енергосистему, яка призвела до відключення електроенергії в деяких районах України в жовтні 2022 року.
Про це заявила американська фірма з кібербезпеки Mandiant, що входить до складу Google, у звіті в четвер, 9 листопада.
– Ця атака є останнім розвитком російського потенціалу кіберфізичних атак, який стає дедалі помітнішим після вторгнення Росії в Україну, – йдеться у звіті.
Це перший випадок, про який стало відомо, незважаючи на те, що він стався понад рік тому.
Хакерська група, відома під псевдонімом Sandworm, одночасно з ракетним ударом відключила автоматичні вимикачі на електричній підстанції, що призвело до відключення електроенергії.
Потім, щоб замести сліди, вона запустила новий варіант шкідливого програмного забезпечення CADDYWIPER, йдеться у звіті.
– Методи, використані під час інциденту, свідчать про зростаючу зрілість російського наступального арсеналу операційних технологій (ОТ), включно зі здатністю розпізнавати нові вектори ОТ-загроз, розробляти нові можливості та використовувати різні типи ОТ-інфраструктури для здійснення атак, – йдеться у звіті.
Використовуючи методи LotL, зловмисник, ймовірно, скоротив час і ресурси, необхідні для проведення кіберфізичної атаки. І хоча Mandiant не вдалося визначити початкову точку вторгнення, їхній аналіз показує, що OT-компонент цієї атаки міг бути розроблений лише за два місяці.
– Це вказує на те, що загрозливий суб’єкт, найімовірніше, здатний швидко розробити аналогічні можливості проти інших OT-систем різних виробників оригінального устаткування (OEM), які використовуються в усьому світі, – ідеться в документі.
Що відомо про Sandworm
Імовірно, Sandworm є підрозділом кібернетичної війни російського ГРУ. Зазначається, що спільна діяльність Sandworm і розвідувальне управління спостерігалася з 2009 року.
– Основним центром діяльності угруповання впродовж тривалого часу є Україна, де впродовж останніх десяти років воно (угруповання Sandworm, – Ред.) проводило кампанії руйнівних і деструктивних атак із використанням шкідливого ПЗ wiper, зокрема й під час вторгнення Росії у 2022 році, – ідеться у звіті.
За межами України група продовжує здійснювати шпигунські операції, які мають глобальний характер і свідчать про далекосяжні амбіції та інтереси російських військових в інших регіонах, пише Mandiant.
Обвинувальні висновки пов’язують групу з Головним центром спеціальних технологій (також відомим як ГЦСТ і військова частина 74455).
З огляду на глобальну активність Sandworm і нові можливості OT, Mandiant закликало власників OT-активів вжити заходів щодо зниження цієї загрози.
Інші операції Sandworm
У вересні 2023 року у звіті Національного центру кібербезпеки Великої Британії повідомлялося, що Sandworm встановлювала на мобільні телефони українських військових шкідливе ПЗ Infamous Chisel.
Крім того, Sandworm було одним із хакерських угруповань, яке брало участь в атаці по Україні 24 лютого 2022 року.