Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, що діє при Державній службі спеціального зв'язку та захисту інформації (Держспецзв'язку), повідомила про кібератаку групи Sandworm (UAC-0082) на об'єкти енергетики України з використанням шкідливих програм Industroyer2 і CaddyWiper, повідомила Держспецзв'язку у своєму телеграм-каналі у вівторок.
Задум зловмисників передбачав виведення з ладу кількох інфраструктурних елементів об'єкта атаки, а саме: електричних підстанцій за допомогою шкідливої програми Industroyer2 (причому кожен виконуваний файл містив статично вказаний набір унікальних параметрів для відповідних підстанцій); електронних обчислювальних машин під керуванням операційної системи Windows (комп'ютерів користувачів, серверів, а також автоматизованих робочих місць АСУ ТП) – за допомогою шкідливої програми руйнівної дії CaddyWiper; серверного обладнання під керуванням операційної системи Linux за допомогою шкідливих скриптів-деструкторів; активного мережевого обладнання.
За даними Держспецзв'язку, організація-жертва зазнала двох хвиль атак. Первинна компрометація відбулася не пізніше лютого 2022 року. А на вечір п’ятниці, 8 квітня 2022 року, зловмисники планували відключення електричних підстанцій і виведення з ладу інфраструктури підприємства. Проте реалізації зловмисного задуму вдалося завадити.
"Щоб виявити, чи є така загроза для інших організацій України, інформацію, зокрема і зразки шкідливих програм, передано міжнародним партнерам і підприємствам енергетичного сектора України", — зазначено в повідомленні.
Окрему вдячність урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA висловлює компаніям Microsoft та ESET.