Una nueva variante del malware Industroyer, utilizada con gran eficacia contra el sector energético de Ucrania por el grupo Russian Sandworm o Voodoo Bear Advanced Persistent Threat (APT) en 2016, ha sido identificada por investigadores de ESET que trabajan con el trabajo de Respuesta Nacional a Emergencias Informáticas de Ucrania. junto equipo, CERT-UA.
Apodado Industroyer2, como se esperaba, se utilizó en un intento de ciberataque contra una empresa de energía con sede en Ucrania en la tarde del 8 de abril de 2022. El ataque usó malware habilitado para ICS y limpiadores de disco contra los sistemas operativos Windows, Linux y Solaris en el objetivo de la subestación de alto voltaje.
El malware Industroyer2 se compiló el 23 de marzo, lo que sugiere que el ataque se planeó durante algún tiempo, y el primer compromiso tuvo lugar en febrero, según CERT-UA.
Sandworm también usó una variedad de otros programas maliciosos destructivos en su ataque, incluidos los recientemente identificados CaddyWiper, Orcshred, Soloshred y Awfulshred.
“Ucrania está una vez más en el centro de los ataques cibernéticos dirigidos a su infraestructura crítica”, dijo el equipo de investigación de ESET en un comunicado de divulgación. “Esta nueva campaña de Industroyer sigue a múltiples oleadas de limpiaparabrisas dirigidas a diferentes sectores en Ucrania. Los investigadores de ESET continuarán monitoreando el panorama de amenazas para proteger mejor a las organizaciones de este tipo de ataques destructivos”.
ESET dijo que no pudo determinar cómo se comprometió a la víctima, ni cómo Sandworm, que es parte del Centro principal de tecnologías especiales del Servicio de inteligencia ruso GRU (GTsST), de lado de la red de TI de la víctima a la red ICS separada se ha movido.
Industroyer2 se diferencia de su predecesor porque utiliza un único protocolo, IEC-104, para comunicarse con los equipos industriales y contiene una configuración detallada y codificada para controlar sus acciones, lo que lo hace muy específico y significa que sus operadores deben administrarlo. recopilados para cada nueva víctima o entorno que deseen atacar.
Sin embargo, comparte varias similitudes de código con la carga útil anterior de Industroyer, lo que permite a los analistas juzgar con mucha confianza que ambos programas maliciosos provienen del mismo código fuente.
Más detalles sobre cómo funciona el malware, así como nueva información sobre el malware CaddyWiper utilizado en paralelo, están disponibles en ESET.
Una ciberguerra paralela
Industroyer2 es el último de una serie de malware nuevo implementado por Rusia en su guerra cibernética paralela contra Ucrania, muchos de los cuales también fueron detectados por ESET.
La campaña de Moscú de ataques destructivos de borrado de datos comenzó el mes anterior a la primera invasión cinética de Ucrania mediante el despliegue del nuevo malware WhisperGate contra objetivos gubernamentales en Kiev.
Cuando comenzó la invasión, estos ataques iniciales fueron seguidos por el despliegue de otros limpiaparabrisas nuevos, incluidos HermeticWiper, IsaacWiper y CaddyWiper a mediados de marzo.
Además de usar malware de limpieza destructivo, Rusia también usó el nuevo malware Cyclops Blink para acceder a las redes de destino a través de dispositivos de firewall vulnerables y cooptarlos en una red de bots, aunque esto fue neutralizado por las autoridades estadounidenses y alemanas a principios de abril.
Mientras tanto, un actor vinculado al estado títere europeo de Rusia, Bielorrusia, apuntó a las organizaciones que apoyan a los refugiados ucranianos con un malware llamado SunSeed.