KRIGEN I UKRAINA

Ukraina har avverget omfattende cyberangrep mot energileverandør

Bekrefter at de russiske angrepene i cyberdomenet pågår for fullt.

Angrepet mot den ukrainske energileverandøren ble trolig forhindret i siste liten. Bildet viser kraftlinjer i nærheten av den ukrainske byen Lutsk.
Angrepet mot den ukrainske energileverandøren ble trolig forhindret i siste liten. Bildet viser kraftlinjer i nærheten av den ukrainske byen Lutsk. Illustrasjonsfoto: <a href="https://commons.wikimedia.org/wiki/File:Ukraine_Luzk_Kompaktfreileitung_5.JPG">JonnyBrazil/Wikimedia Commons</a> (CC BY-SA 3.0)
Harald BrombachHarald BrombachNyhetsleder
13. apr. 2022 - 11:32

Med hjelp fra cybersikkerhetsselskapet Eset har det ukrainske responsteamet for cyberhendelser, CERT-UA, greid å avverge et omfattende cyberangrep mot en strømleverandør i Ukraina. Skadevaren som ble benyttet, skal ha vært satt opp til å bli aktivert fredag den 8. april klokken 16.10 UTC. Ti minutter senere skulle sporene av skadevaren slettes. 

Eset oppgir at det med høy sannsynlighet er hackergruppen Sandworm (også kjent som blant annet Fancy Bear og Strontium) som er ansvarlige for det mislykkede angrepet. Gruppen er trolig kontrollert av den militære, russiske etterretningstjenesten mest kjent som GRU. 

Ny variant av gammel kjenning

Ifølge både Eset og CERT-UA skal det i hovedsak ha blitt benyttet to ulike former for skadevare. Den mest sentrale kalles for Industroyer2, som skal være en ny variant av en skadevare som i 2016 ble brukt til å stenge strømmen i Ukraina i 2016 (for abonnenter). 

Eset mener det ikke ville ha vært mulig å skrive og teste en slik skadevare uten å ha tilgang til det spesialiserte utstyret som brukes i det spesifikke industrimiljøet som er målet for angrepet.

Industroyer-skadevaren har støtte for IEC-104-protokollen for å kunne kommunisere med industrielle kontrollsystemer (ICS), inkludert utstyrt brukt ved transformatorstasjoner. Planen skal nå ha vært å slå av strømmen i en region i Ukraina. 

Skulle forhindre gjenvinning av kontrollen

I tillegg til Industroyer2, ble flere Windows-systemer hos energileverandøren infisert med CaddyWiper bare en drøy time før hovedangrepet skulle skje. Dette er en destruktiv skadevare (wiper – skadevare for sletting av innholdet på lagringsenheter, ofte også partisjonsinformasjon) som i dette tilfellet trolig skulle ha sørget for å slette sporene etter Industroyer2, samt å slette så mye annet at det ville bli vanskelig for energiselskapet å gjenvinne kontrollen. 

Landssentralen i Statnett overvåker strømnettet i Norge 24 timer i døgnet. Statnett sier det gjør alt de kan for å forhindre et cyberangrep mot norske kraftlinjer.
Les også

Russisk cybervåpen kan slå ut norsk strøm: NVE ber kraftselskapene følge ekstra godt med

Dette er ikke første gang CaddyWiper har blitt brukt. Det første tilfellet Eset kjenner til, skjedde den 14. mars i år. Da ble en eldre variant av den samme skadevaren installert i nettverket til en ukrainsk bank. 

Eset skriver at det foreløpig ikke er kjent hvordan angriperne kompromitterte systemet hvor de kom seg inn. Det er heller ikke kjent hvordan de kom seg fra IT-nettverket som dette systemet var en del av, og over i ICS-nettverket som kontrollsystemene er tilknyttet. 

Også andre komponenter

Det har blitt funnet et PowerShell-skript som tyder på at angriperne har kunnet rulle ut CaddyWiper ved hjelp av Group Policies Objects (GPO) og ADSI-grensesnittet (Active Directory Service Interface).

Oversikt over skadevaren som ble installert hos den ukrainske energileverandøren. <i>Illustrasjon: Tomáš Foltýn/Eset</i>
Oversikt over skadevaren som ble installert hos den ukrainske energileverandøren. Illustrasjon: Tomáš Foltýn/Eset

I tillegg til dette ble det hos energiselskapet funnet destruktiv Bash-basert skadevare beregnet for Linux- og Solaris-systemer. Skadevaren skal ha bestått av både en orm og en wiper. Ormen skal ha brukt SSH-tjenesten til å få tilgang til andre systemer i ulike nærliggende nettverkssegmenter. Eset tror at angriperen hadde innloggingsinformasjon tilgjengelig allerede i forkant av angrepet. 

På Check Points seneste skadevare-toppliste er det flere kjente navn, men også et par nykommere.
Les også

Ny skadevare-toppliste: Førsteplassen øker betydelig i Norge

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.