Investigadores de ESET identificaron una nueva variante del malware Industroyer, utilizada con gran eficacia contra el sector energético ucraniano por el grupo de amenazas persistentes avanzadas (APT) Sandworm o Voodoo Bear de Rusia en 2016, en colaboración con la Respuesta a Emergencias Informáticas nacional de Ucrania. Equipo, CERT-UA.
Predeciblemente denominado Industroyer2, se usó en un intento de ciberataque contra una empresa de energía con sede en Ucrania en la noche del viernes 8 de abril de 2022. El ataque utilizó un malware compatible con ICS y limpiaparabrisas de disco contra los sistemas operativos Windows, Linux y Solaris en el objetivo. subestaciones eléctricas de alta tensión.
El malware Industroyer2 se compiló el 23 de marzo, lo que sugiere que el ataque se planeó durante algún tiempo y el compromiso inicial tuvo lugar en febrero, según CERT-UA.
Sandworm también utilizó otros programas maliciosos destructivos en su ataque, incluidos los recientemente identificados CaddyWiper, Orcshred, Soloshred y Awfulshred.
“Ucrania está una vez más en el centro de los ataques cibernéticos dirigidos a su infraestructura crítica”, dijo el equipo de investigación de ESET en un aviso de divulgación. “Esta nueva campaña de Industroyer sigue a múltiples oleadas de limpiaparabrisas que se han dirigido a varios sectores en Ucrania. Los investigadores de ESET continuarán monitoreando el panorama de amenazas para proteger mejor a las organizaciones de este tipo de ataques destructivos”.
ESET dijo que no había podido establecer cómo se comprometió a la víctima, ni cómo Sandworm, que es parte del Centro Principal de Tecnologías Especiales del servicio de inteligencia ruso GRU, o GTsST, se movió lateralmente de la red de TI de la víctima a la red ICS separada.
Industroyer2 se diferencia de su matriz porque utiliza un solo protocolo (IEC-104) para comunicarse con el equipo industrial e incorpora una configuración codificada detallada para impulsar sus acciones, lo que lo hace altamente específico y significa que sus operadores deben volver a compilarlo para cualquier nueva víctima o entorno que deseen atacar.
Sin embargo, comparte múltiples similitudes de código con la carga útil anterior de Industroyer, lo que permite a los analistas evaluar con gran confianza que ambos programas maliciosos provienen del mismo código fuente.
Más detalles sobre cómo funciona el malware, junto con nueva información sobre el malware CaddyWiper que se usa junto con él, están disponibles en ESET.
Una ciberguerra paralela
Industroyer2 es el último de una serie de nuevos programas maliciosos que ha desplegado Rusia en su guerra cibernética paralela contra Ucrania, muchos de ellos también descubiertos por ESET.
La campaña de Moscú de ataques destructivos de limpieza de datos comenzó el mes anterior a la invasión cinética inicial de Ucrania, con el uso del nuevo malware WhisperGate contra objetivos gubernamentales en Kiev.
Cuando comenzó la invasión, estos ataques iniciales fueron seguidos por el uso de otros limpiaparabrisas nuevos, incluidos HermeticWiper, IsaacWiper y, a mediados de marzo, CaddyWiper.
Además de su uso de malware de limpieza destructivo, Rusia también implementó el nuevo malware Cyclops Blink como un medio para acceder a las redes de destino a través de dispositivos de firewall vulnerables y cooptarlos en una red de bots, aunque esto fue neutralizado a principios de abril por las autoridades estadounidenses y alemanas.
Mientras tanto, un actor vinculado al estado títere europeo de Rusia, Bielorrusia, apuntó a las organizaciones involucradas en el apoyo a los refugiados ucranianos con un malware llamado SunSeed.