I ricercatori di ESET hanno scoperto e bloccato un nuovo attacco contro le infrastrutture critiche dell’Ucraina, in collaborazione con il Computer Emergency Response Team del governo. Il noto gruppo Sandworm, associato al GRU (agenzia di intelligence militare russa), ha tentato di causare un blackout con Industroyer2, versione aggiornata del malware utilizzato nel 2016 per ottenere lo stesso scopo. I cybercriminali hanno sfruttato anche CaddyWiper e tre malware distruttivi per Linux e Solaris.
Ucraina: blackout elettrico evitato
Industroyer2 è un malware che attacca i sistemi di controllo industriali, utilizzando il protocollo IEC-104. L’obiettivo del gruppo Sandworm era disconnettere alcune sottostazioni elettriche in alta tensione e quindi causare un blackout. ESET non ha scoperto come il malware è entrato nella rete, ma il CERT ucraino ritiene che sia stata usata una “catena di tunnel SSH”.
Contemporaneamente a Industroyer2, i cybercriminali hanno distribuito una nuova versione di CaddyWiper per rallentare il processo di ripristino e impedire agli operatori dell’azienda elettrica di riprendere il controllo delle console ICS. Sandworm ha inoltre utilizzato tre malware distruttivi per Linux e Solaris che ESET ha trovato nella rete interna: Orcshred, Soloshred e Awfulshred. La principale funzionalità è la stessa, ovvero cancellare tutti i file. CaddyWiper serviva inoltre per eliminare le tracce di Industroyer2.
L’attacco doveva essere effettuato lo scorso venerdì, ma fortunatamente è stato scoperto in tempo. Il gruppo Sandworm è noto anche per altre attività (erano i gestori della botnet Cyclops Blink). In questo caso però l’intenzione era causare danni alle infrastrutture critiche dell’Ucraina per supportare l’invasione russa.