– Industroyer2 został zainstalowany jako pojedynczy plik wykonywalny systemu Windows o nazwie 108_100.exe, a jego wykonanie zostało zaplanowane na 08.04.2022 o godzinie 16:10:00 UTC. W pliku Industroyera2 widać, że został on skompilowany 23.03.2022, co sugeruje, że napastnicy planowali atak przez ponad dwa tygodnie – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET, cytowany w przesłanym komunikacie.
Jak wyjaśniono, Industroyer2 jest wysoce konfigurowalny – zawiera szczegółową, zakodowaną na sztywno konfigurację, kierującą jego działaniami. – Taka budowa generuje pewne ograniczenia dla atakujących, którzy muszą rekompilować Industroyer2 dla każdej nowej ofiary lub środowiska. Jednak biorąc pod uwagę, że rodzina Industroyer została dotychczas użyta jedynie dwukrotnie, z pięcioletnią przerwą między każdą wersją, prawdopodobnie nie jest to ograniczenie dla operatorów grupy Sandworm – ocenia eksper. – W tym momencie nie wiemy, w jaki sposób atakujący przedostali się z sieci IT do sieci Industrial Control System (ICS) – dodaje.
Wykorzystano także kilka rodzin destrukcyjnych złośliwych programów
Atakujący z Sandworm do realizacji celu, oprócz Industroyer2, wykorzystali kilka rodzin destrukcyjnych złośliwych programów, w tym CaddyWiper (program do kasowania zawartości dysków twardych), ORCSHRED, SOLOSHRED i AWFULSHRED. Użycie pierwszego z wymienionych (CaddyWiper) zaobserwowano po raz pierwszy w marcu br. i było ono skierowane przeciwko ukraińskiemu bankowi. Wariant ten został ponownie użyty w opisywanym przypadku, 8 kwietnia o godzinie 14:58 przeciwko dostawcy energii.
– Uważamy, że użycie CaddyWiper miało na celu spowolnić proces odzyskiwania systemów i uniemożliwić operatorom firmy energetycznej odzyskanie kontroli nad konsolami ICS. CaddyWiper został umieszczony również na maszynie, na której zainstalowano program Industroyer2, prawdopodobnie w celu zatarcia śladów – podsumowuje Sadkowski.
Działanie profesjonalistów
Jak wskazują eksperci ESET, Industroyer to szkodliwy program przygotowany z myślą o atakach na ściśle określony rodzaj celów, a stworzenie go wymagało dobrej znajomości systemu, który miał stać się jego ofiarą.
– Wydaje się bardzo mało prawdopodobne, aby ktokolwiek mógł napisać i przetestować takie złośliwe oprogramowanie jak Industroyer bez dostępu do specjalistycznego sprzętu używanego w konkretnym, docelowym środowisku przemysłowym – komentuje Sadkowski.
Potwierdził to w 2020 r. rząd Stanów Zjednoczonych, gdy sześciu funkcjonariuszy Rosyjskiej Jednostki Wojskowej 74455 Głównego Zarządu Wywiadu (GRU) zostało oskarżonych o udział w wielu cyberatakach, w tym Industroyer i NotPetya.
