Os russos tentaram atacar a Ucrânia com software perigoso – poderia ter terminado mal

Por Admin em

O conflito entre a Rússia e a Ucrânia também está ocorrendo no ciberespaço, e estamos aprendendo sobre novos ataques aos sistemas de informação ucranianos. Pesquisadores descobriram recentemente uma nova variante de malware projetada para interromper instalações industriais.

É o vírus Industroyer que pode atrapalhar o funcionamento das instalações industriais (daí o nome). O software foi usado pela primeira vez em 2016 pelo grupo Sandworm APT, liderado por oficiais da unidade militar russa 74455 da Direção Geral de Inteligência (GRU). Mesmo assim, os efeitos do ataque foram muito graves porque as ações dos hackers resultaram em uma interrupção no fornecimento de energia para a Ucrânia.

Ucrânia ameaçada por grave ataque cibernético por software Industroyer

Pesquisadores da ESET e do CERT ucraniano descobriram recentemente uma nova variante de malware – Industroyer2. A nova versão pode ser mais adequada para o cenário de ataque, e o software inclui uma configuração detalhada codificada para orientar suas ações.

Essa compilação cria algumas restrições para invasores que precisam recompilar o Industroyer2 para cada nova vítima ou ambiente. No entanto, dado que a família Industroyer foi usada apenas duas vezes até agora, com um intervalo de cinco anos entre cada versão, isso provavelmente não é uma limitação para os operadores do grupo Sandworm. – diz Kamil Sadkowski, especialista sênior em segurança cibernética da ESET. – No momento, não sabemos como os invasores vieram da rede de TI para a rede do Sistema de Controle Industrial (ICS) ele adiciona.

O malicioso Industroyer foi implantado em estações de transformadores de alta tensão, o que deveria levar a problemas muito mais extensos do que em 2016. Vale acrescentar que os invasores também usaram outras ferramentas aqui (incluindo o CaddyWiper – um programa para excluir o conteúdo de discos rígidos drives) , o que deve retardar o processo de recuperação e causar danos ainda maiores. O ataque estava programado para ser lançado em 8 de abril de 2022.

Leitura interessante:  Você ganha mais espaço no seu telefone Android

Acreditamos que o uso do CaddyWiper teve como objetivo retardar o processo de recuperação do sistema e impedir que os operadores das empresas de energia recuperassem o controle dos consoles ICS. O CaddyWiper também foi colocado em uma máquina onde o Industroyer2 foi instalado, provavelmente para cobrir todos os vestígios de – resume Kamil Sadkowski.

Não é segredo que o ataque às usinas de alta tensão está planejado há muito tempo. Como os especialistas da ESET apontam, criar um Industroyer exigia um bom conhecimento do sistema que se tornaria sua vítima. Além disso, a análise de código mostrou que a versão fornecida do Industroyer2 foi compilada em 23 de março de 2022, indicando que os invasores planejavam o ataque há mais de duas semanas. Quem está por trás do ataque? Todas as indicações são de que isso é novamente sobre o grupo russo Sandworm APT.

Fonte: ESET, CERT UA

Categorias: Blog