×
Outbyte PC Repair
Outbyte Driver Updater

I russi hanno cercato di attaccare l’Ucraina con un software pericoloso: potrebbe finire male

2022/04/12
I russi hanno cercato di attaccare l’Ucraina con un software pericoloso: potrebbe finire male
È il virus Industroyer che può distruggere le installazioni industriali (da cui il nome). Il software è stato utilizzato per la prima volta nel 2016 dal gruppo Sandworm APT, dietro il quale c’erano ufficiali dell’unità militare russa 74455 della Main Intelligence Directorate (GRU). Anche allora, le conseguenze dell’attacco sono state molto gravi, poiché le azioni degli hacker hanno portato alla cessazione della fornitura di energia all’Ucraina.

Ucraina sotto la minaccia di un grave attacco informatico da parte del software Industroyer

I ricercatori di ESET e del CERT ucraino hanno recentemente scoperto una nuova variante di malware chiamata Industroyer2. La nuova versione potrebbe essere più adatta allo scenario di attacco e il software include una configurazione hardcoded dettagliata che ne controlla le azioni.

Questa build crea alcune restrizioni per gli aggressori che devono ricompilare Industroyer2 per ogni nuova vittima o ambiente. Tuttavia, dato che la famiglia Industroyer è stata utilizzata solo due volte finora, con un intervallo di cinque anni tra ciascuna versione, questa non è probabilmente una limitazione per gli operatori del gruppo Sandworm, afferma Kamil Sadkowski, ESET Senior Cybersecurity Specialist. ” Al momento, non sappiamo come gli aggressori siano passati dalla rete IT alla rete ICS “, aggiunge. 

Il dannoso “Industroy” è stato distribuito nelle sottostazioni ad alta tensione, il che avrebbe dovuto portare a problemi molto più grandi rispetto al 2016. Vale la pena aggiungere che gli aggressori hanno utilizzato anche altri strumenti qui (incluso CaddyWiper, un programma per cancellare il contenuto dei dischi rigidi ), che avrebbero dovuto rallentare il processo di recupero e causare danni ancora maggiori. L’attacco doveva iniziare l’8 aprile 2022.

Riteniamo che l’uso di CaddyWiper fosse inteso a rallentare il processo di ripristino del sistema e impedire agli operatori delle utility di riprendere il controllo delle console ICS. Il CaddyWiper è stato anche posizionato sulla macchina su cui era in esecuzione il software Industroyer2, probabilmente per coprire tutte le tracce , riassume Kamil Sadkowski.

Non è un segreto che l’attacco alle sottostazioni di alta tensione fosse pianificato da molto tempo. Secondo gli esperti ESET, la creazione di Industroyer richiedeva una buona conoscenza del sistema che doveva diventarne vittima. Inoltre, l’analisi del codice ha mostrato che questa versione di Industroyer2 è stata compilata il 23 marzo 2022, il che suggerisce che gli aggressori stavano pianificando l’attacco da più di due settimane. Chi c’è dietro l’attacco? Tutto indica il fatto che stiamo ancora parlando del gruppo russo APT Sandworm.

Fonte: ESET, CERTUA

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *