É o vírus Industroyer que pode perturbar as instalações industriais (daí o seu nome). O software foi usado pela primeira vez em 2016 pelo grupo Sandworm APT, atrás do qual estavam oficiais da unidade militar russa 74455 da Diretoria Principal de Inteligência (GRU). Mesmo assim, as consequências do ataque foram muito graves, já que as ações dos hackers levaram à interrupção do fornecimento de energia para a Ucrânia.
Ucrânia sob ameaça de um grave ataque cibernético pelo software Industroyer
Pesquisadores da ESET e do CERT ucraniano descobriram recentemente uma nova variante de malware chamada Industroyer2. A nova versão pode ser mais adequada ao cenário de ataque, e o software inclui uma configuração detalhada codificada que controla suas ações.
Essa compilação cria algumas restrições para invasores que precisam recompilar o Industroyer2 para cada nova vítima ou ambiente. No entanto, dado que a família Industroyer foi usada apenas duas vezes até agora, com um intervalo de cinco anos entre cada versão, isso provavelmente não é uma limitação para os operadores do grupo Sandworm, diz Kamil Sadkowski, especialista sênior em segurança cibernética da ESET. “ No momento, não sabemos como os invasores passaram da rede de TI para a rede ICS ”, acrescenta.
O malicioso “Industroy” foi implantado em subestações de alta tensão, o que deveria ter causado problemas muito maiores do que em 2016. Vale acrescentar que os invasores também usaram outras ferramentas aqui (incluindo o CaddyWiper, um programa para apagar o conteúdo de discos rígidos ), que deveriam retardar o processo de recuperação e causar ainda mais danos. O ataque estava programado para começar em 8 de abril de 2022.
Acreditamos que o uso do CaddyWiper foi destinado a retardar o processo de recuperação do sistema e impedir que os operadores de serviços públicos recuperassem o controle dos consoles ICS. O CaddyWiper também foi colocado na máquina que rodava o software Industroyer2, provavelmente para cobrir todos os rastros , resume Kamil Sadkowski.
Não é segredo que o ataque às subestações de alta tensão foi planejado há muito tempo. De acordo com especialistas da ESET, a criação do Industroyer exigia um bom conhecimento do sistema que deveria se tornar sua vítima. Além disso, a análise de código mostrou que esta versão do Industroyer2 foi compilada em 23 de março de 2022, o que sugere que os invasores planejavam o ataque há mais de duas semanas. Quem está por trás do ataque? Tudo aponta para o fato de estarmos novamente falando do grupo russo APT Sandworm.
Fonte: ESET, CERTUA
Deixe um comentário