CERT-UA зафиксировали целевую атаку на объект энергетики Украины.
INDUSTROYER2 и CADDYWIPER
Замысел злоумышленников предполагал выведение из строя нескольких инфраструктурных элементов объекта атаки, а именно:
- высоковольтных электрических подстанций – с помощью вредоносной программы INDUSTROYER2; причем каждый исполняемый файл содержал статически указанный набор уникальных параметров для соответствующих подстанций (дата компиляции файлов: 23.03.2022);
- электронных вычислительных машин (ЭВМ) под управлением операционной системы Windows (компьютеров пользователей, серверов, а также автоматизированных рабочих мест АСУ ТП) – с помощью вредоносной программы-деструктора CADDYWIPER; при этом для дешифрования и запуска последнего предусмотрено использование лоадера ARGUEPATCH и шелкода TAILJUMP;
- серверного оборудования под управлением операционной систем Linux – с помощью вредоносных скриптов-деструкторов ORCSHRED, SOLOSHRED, AWFULSHRED;
- активного сетевого оборудования.
Централизованное распространение и запуск CADDYWIPER реализовано посредством механизма групповых политик (GPO). С целью добавления групповой политики, предусматривающей загрузку компонентов файлового деструктора из контроллера домена, а также создание запланированного задания на ЭВМ, использован PowerShell-скрипт POWERGAP. Возможность горизонтального перемещения между сегментами локальной вычислительной сети обеспечена путем создания цепей SSH-тоннелей. Для удаленного выполнения команд использован IMPACKET. Известно, что организация-жертва подверглась двум волнам атак. Первоначальная компрометация произошла позже февраля 2022 года. Отключение электрических подстанций и выведение из строя инфраструктуры предприятия было запланировано на вечер пятницы, 8 апреля 2022 года. Вместе с тем, реализации злонамеренного замысла на текущий момент удалось предотвратить.
Indicators of Compromise
IPv4
- 91.245.255.243
- 195.230.23.19
MD5
- fbe32784c073e341fc57d175a913905c
- 73561d9a331c1d8a334ec48dfd94db99
- 97ad7f3ed815c0528b070941be903d07
- 9ec8468dd4a81b0b35c499b31e67375e
- 1938380a81a23b8b1100de8403b583a7
- b63b9929b8f214c4e8dcff7956c87277
- 3229e8c4150b5e43f836643ec9428865
SHA256
- 43d07f28b7b699f43abd4f695596c15a90d772bfbd6029c8ee7bc5859c2b0861
- bcdf0bd8142a4828c61e775686c9892d89893ed0f5093bdc70bde3e48d04ab99
- 87ca2b130a8ec91d0c9c0366b419a0fce3cb6a935523d900918e634564b88028
- cda9310715b7a12f47b7c134260d5ff9200c147fc1d05f030e507e57e3582327
- 1724a0a3c9c73f4d8891f988b5035effce8d897ed42336a92e2c9bc7d9ee7f5a
- fc0e6f2effbfa287217b8930ab55b7a77bb86dbd923c0e8150551627138c9caa
- 7062403bccacc7c0b84d27987b204777f6078319c3f4caa361581825c1a94e87