С 2014 года украинские пользователи не раз становились целью масштабных атак вредоносных программ. Среди самых известных – BlackEnergy, TeleBots, GreyEnergy, Industroyer, NotPetya, Exaramel, а уже в 2022 году WhisperGate, HermeticWiper, IsaacWiper и CaddyWiper.
Во всех случаях, кроме последних четырех, специалисты по кибербезопасности обнаружили сходства кода, общую инфраструктуру командного сервера, цепи выполнения вредоносных программ, позволяющих отнести все образцы угроз к одной группе – Sandworm.
Хотя до этого существовали предположения о российском происхождении Sandworm, только в 2020 году Министерство юстиции США определило Sandworm как военную единицу 74455 Главного разведывательного управления генерального штаба вооруженных сил россии.
На протяжении многих лет с группой Sandworm было связано множество атак. Поэтому специалисты ESET подготовили краткий обзор атак, который позволит понять сложные возможности этой группы угроз.
BlackEnergy: от DDoS-атак до промышленных систем контроля (2007–2015)
Первые упоминания о существовании BlackEnergy появились в 2007 году, когда эту вредоносную программу использовали российские хакеры для проведения DDoS-атак на цели в россии. Впоследствии BlackEnergy был продан его разработчиком и использовался для DDoS-атак на грузинские сайты при вторжении российских войск в Грузию в 2008 году.
В 2014 году специалисты ESET обнаружили разновидность этого вредоносного программного обеспечения, которое могло выполнять произвольный код и похищать данные с жестких дисков. Тогда операторы BlackEnergy атаковали более ста целей в Польше и Украине, включая государственные организации.
Снова BlackEnergy возобновила свою активность в ноябре 2015 года, распространяя разрушительный компонент KillDisk во время атак на украинские медиа-компании. KillDisk — это общее название для вредоносного программного обеспечения, которое перезаписывает документы случайными данными и делает операционную систему невозможной для загрузки.
Через месяц в декабре ESET обнаружила еще один вариант KillDisk в системах электрораспределительных компаний. Он и еще 2 дополнительных инструмента 23 декабря 2015 вызвали отключение электроэнергии для около 230 000 человек в Ивано-Франковской области Украины. Это был первый случай в истории, когда кибератака привела к нарушению работы электросети.
Атаки TeleBots на финансовые учреждения (2016)
В 2016 году исследователи ESET обнаружили TeleBots, преемника BlackEnergy, нацеленного на финансовые учреждения в Украине. Как последний этап этих атак, злоумышленники развернули вариант KillDisk, который вместо удаления файлов заменил их новыми файлами.
Отключение электроэнергии в Киеве (2016)
Почти через год после первой атаки, вызвавшей отключение электроэнергии, 17 декабря 2016 года в Украине произошел второй такой случай, но на этот раз в части Киева. Телеметрия ESET обнаружила новое вредоносное программное обеспечение, которое исследователи ESET назвали Industroyer. Вредоносная программа напрямую могла контролировать выключатели и автоматические переключатели электрической подстанции.
Президентские выборы во Франции (2017)
Согласно обвинению Министерства юстиции США, группа киберпреступников Sandworm провела семь мошеннических кампаний против президентских кампаний во Франции в апреле-мае 2017 года. Более 100 членов партии Эммануэля Макрона, а также другие политические партии и органы местного самоуправления оказались под прицелом.
Атаки программ-вымогателей TeleBots перед NotPetya (2017)
Известная всем атака NotPetya была частью серии атак программ-вымогателей, проведенных в Украине TeleBots. В 2017 году ESET обнаружила обновленные версии инструментов TeleBots вместе с двумя программами-вымогателями, которые использовались для атак на финансовые учреждения в Украине.
Атака NotPetya (2017)
В июне 2017 года через месяц после известной атаки WannaCryptor вредоносная программа NotPetya атаковала организации в Украине. Как и WannaCryptor, NotPetya распространялась, используя эксплойт EternalBlue, направленный на критическую уязвимость в устаревшей версии Microsoft Server Message Block (SMB). Специалисты ESET отнесли NotPetya к группе TeleBots.
Olympic Destroyer (2018)
В 2018 году во время открытия зимних олимпийских игр в Пхенчхане состоялась кибератака, которая приостановила работу точек доступа Wi-Fi, телевизионных трансляций, вебсайта и повредила серверы официального приложения олимпиады, не позволяя зрителям загрузить свои билеты.
Чтобы лучше скрыть происхождение угрозы, авторы Olympic Destroyer создали часть кода, которая выглядела как вредоносное программное обеспечение APT-группы Lazarus, ответственное за атаку WannaCryptor. Согласно обвинению Министерства юстиции США, Olympic Destroyer приписывается группе Sandworm, однако некоторые исследователи утверждают о причастности Fancy Bear.
Exaramel: связь Industroyer с TeleBots (2018)
В апреле 2018 года ESET обнаружила новый бэкдор Exaramel, который использувался группой TeleBots. Проанализировав Exaramel, исследователи ESET обнаружили ряд сходств с Industroyer. В частности, обе вредоносные программы группируют свои цели на основе решения по безопасности, которое используется, очень похожую реализацию кода нескольких команд бэкдора, а также используют файл для хранения результатов выполнения shell-команд и запущенных процессов.
В отличие от Industroyer, Exaramel не направлен непосредственно на промышленные системы управления. ESET обнаружил эти бэкдоры для Windows и Linux в украинской организации, которая не являлась промышленным объектом.
