Bezpečnostní společnost ESET ve spolupráci s ukrajinským kybernetickým týmem CERT-UA uvedly, že odhalily útok prostřednictvím škodlivých kódů Industroyer2 a CaddyWipper. Podle dosavadních zjištění je autorem útoku ruskojazyčná útočná skupina Sandworm s vazbami na ruskou zpravodajskou službu GRU. Cílem byla významná energetická společnost distribuující elektřinu na území Ukrajiny.
Podle prvních zjištění byl útok realizován v pátek 8. dubna v 16.20 místního času. Přípravy na něj však trvaly dva týdny před jeho zahájením. Destruktivní malware stejně jako v předchozích případech mazal data na napadených zařízeních, které používaly operační systému Windows, Linux a Solaris.
„Na základě prvních analýz vidíme jasnou souvislost s útoky na ukrajinskou rozvodnou síť z roku 2016, jejichž následkem došlo k masivním výpadkům elektřiny. Nyní byly použity inovované útočné nástroje, zejména malware Industroyer v nové verzi, ale pachatel byl s největší pravděpodobností totožný – ruskojazyčná útočná skupina Sandworm, která je spojována s ruskou zpravodajskou službou GRU,“ říká Michal Cebák, bezpečnostní analytik společnosti ESET.
Sandworm je skupina, která je řazena mezi tzv. APT, tedy pokročilé přetrvávající hrozby. V mnohých případech je jejich aktivita financována státy.
„Kromě Industroyeru2 byly pro útok použity další škodlivé kódy. Detekovali jsme vzorky malwaru zahrnující mimo jiné i CaddyWiper, se kterým jsme se setkali při útocích na ukrajinské finanční instituce v polovině března. V tuto chvíli nevíme, jak přesně došlo k infikování napadené organizace, to je předmětem dalšího vyšetřování,“ dodal M. Cebák.