В пятницу исследователи заявили, что электросеть Польши подверглась атаке вредоносного ПО Wiper, которое, вероятно, было запущено российскими государственными хакерами в попытке сорвать операции по поставке электроэнергии.

Кибератака, как сообщает Reuters, произошла в последнюю неделю декабря. Новостная организация заявила, что ее целью было нарушение связи между установками возобновляемой энергетики и операторами распределения электроэнергии, но это не удалось по необъяснимым причинам.

#Wipers R Us

В пятницу фирма цифровой безопасности ESET заявила, что виновником вредоносного ПО является Wiper, тип вредоносного ПО, которое безвозвратно стирает код и данные, хранящиеся на серверах, с целью полного уничтожения операций. Изучив тактику, методы и процедуры (TTP), использованные в атаке, исследователи компании заявили, что вайпер, скорее всего, был работой хакерской группы российского правительства, отслеживаемой под названием Sandworm.

«Основываясь на нашем анализе вредоносного ПО и связанных с ним TTP, мы со средней степенью уверенности приписываем атаку российскому APT Sandworm из-за сильного совпадения с многочисленными предыдущими действиями Sandworm Wiper, которые мы анализировали», — сказали исследователи ESET: “yам неизвестно о каких-либо успешных сбоях, произошедших в результате этой атаки”.

Sandworm имеет долгую историю деструктивных атак, которые проводились от имени Кремля и были направлены на оппонентов оного. Наиболее примечательным событием стало событие в Украине в декабре 2015 года. В один из самых холодных месяцев года около 230 000 человек остались без электричества примерно на шесть часов. Хакеры использовали вредоносное ПО общего назначения, известное как BlackEnergy, для проникновения в системы диспетчерского контроля и сбора данных энергетических компаний и оттуда активировали легитимные функции, чтобы остановить распределение электроэнергии. Этот инцидент стал первым известным отключением электроэнергии, вызванным вредоносным ПО.

ESET сообщила, что атака на Польшу произошла в 10-ю годовщину этого события. Фирма предоставила немного других подробностей об атаке, за исключением использованного вредоносного ПО, получившего название DynoWiper.

Пользовательские вайперы уже давно являются излюбленным инструментом российских хакеров. В 2022 году правительственные злоумышленники использовали вредоносную программу-вайпер, получившую название AcidRain, чтобы вывести из строя 270 000 спутниковых модемов в Украине, пытаясь нарушить связь. На тот момент это был седьмой “дворник [wiper]”, использованный Россией после вторжения в соседнюю страну. В прошлом году компания ESET заявила, что Sandworm запустила несколько вайпов в университетах и ​​критической инфраструктуре в Украине.

Самый известный случай использования вайперов в России произошел в 2017 году с выпуском NotPetya. Деструктивный червь был нацелен только на Украину, но быстро распространился по всему миру и нанес ущерб, нарушив работу компьютеров. По оценкам, это событие обошлось правительствам и предприятиям в 10 миллиардов долларов, что делает его, вероятно, самым дорогим компьютерным вторжением в истории.

Нет никаких указаний на то, как и почему DynoWiper не смог отключить питание. Вполне возможно, что Россия планировала это сделать, пытаясь послать сигнал, не провоцируя польских союзников. Другая возможность заключается в том, что киберзащита не позволила вайперу работать должным образом.


Статья Dan Goodin