El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) el martes revelado que frustró un ataque cibernético de Sandworm, un grupo de piratería afiliado a la inteligencia militar de Rusia, para sabotear las operaciones de un proveedor de energía no identificado en el país.
«Los atacantes intentaron derribar varios componentes de infraestructura de su objetivo, a saber: subestaciones eléctricas, sistemas informáticos operados por Windows, equipos de servidor operados por Linux, [and] equipo de red activo», Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania (SSSCIP) dicho en una oracion.
La firma eslovaca de ciberseguridad ESET, que colaboró con CERT-UA para analizar el ataque, dijo que el intento de intrusión involucró el uso de malware compatible con ICS y limpiadores de disco regulares, y el adversario desató una variante actualizada del malware Industroyer, que se implementó por primera vez en un asalto de 2016 a la red eléctrica de Ucrania.
«Los atacantes de Sandworm intentaron implementar el malware Industroyer2 contra subestaciones eléctricas de alto voltaje en Ucrania», ESET explicado. «Además de Industroyer2, Sandworm usó varias familias de malware destructivas, incluidas CaddyWiper, OrcShred, SoloShred y AwfulShred».
Se cree que la red eléctrica de la víctima penetró en dos oleadas, el compromiso inicial ocurrió a más tardar en febrero de 2022, coincidiendo con la invasión rusa de Ucrania, y una infiltración posterior en abril que permitió a los atacantes cargar Industroyer2.
Industroyer, también conocido como «CrashOverride» y apodado como «la mayor amenaza para los sistemas de control industrial desde Stuxnet», es modular y capaz de obtener el control directo de interruptores y disyuntores en una subestación de distribución de electricidad.
La nueva versión del malware sofisticado y altamente personalizable, al igual que su predecesor, aprovecha un protocolo de comunicación industrial llamado CEI-104 para comandar los equipos industriales como relés de protección que se utilizan en las subestaciones eléctricas.
El análisis forense de los artefactos dejados por Industroyer2 reveló una marca de tiempo de compilación del 23 de marzo de 2022, lo que indica que el ataque se había planeado durante al menos dos semanas. Dicho esto, aún no está claro cómo se comprometió inicialmente la instalación de energía objetivo, o cómo los intrusos se trasladaron de la red de TI a la red del Sistema de control industrial (ICS).
ESET dijo que las acciones destructivas contra la infraestructura de la empresa estaban programadas para el 8 de abril de 2022, pero finalmente se frustraron. A esto se le siguió la ejecución de CaddyWiper 10 minutos más tarde en la misma máquina para borrar los rastros del malware Industroyer2.
Junto con Industroyer2 y CaddyWiper, también se dice que la red del proveedor de energía objetivo fue infectada por un gusano de Linux llamado OrcShred, que luego se usa para propagar dos programas maliciosos de limpieza diferentes dirigidos a los sistemas Linux y Solaris, AwfulShred y SoloShred, y dejar las máquinas inoperables.
Los hallazgos llegan justo después del derribo autorizado por la corte de Cyclops Blink, una botnet modular avanzada controlada por el actor de amenazas Sandworm, la semana pasada.
CERT-UA, por su parte, también ha advertido de una serie de ataques de spear-phishing campañas montado por Armageddon, otro grupo con sede en Rusia vinculado al Servicio Federal de Seguridad (FSB) que ha atacado entidades ucranianas desde al menos 2013.
“Ucrania está una vez más en el centro de los ataques cibernéticos dirigidos a su infraestructura crítica”, dijo ESET. «Esta nueva campaña de Industroyer sigue a múltiples oleadas de limpiaparabrisas que se han dirigido a varios sectores en Ucrania».
