Ubiegłoroczne przerwy w dostawie prądu na Ukrainie były spowodowane nie tylko atakami rakietowymi na ukraińską energetykę, ale także skoordynowanym z nimi atakiem malware Sandworm na jedną z największych ukraińskich elektrowni.
Firma bezpieczeństwa Mandiant stwierdza, że elektrownia została przejęta około czerwca 2022 r. a dwudniowy atak na nią nastąpił dwa miesiące później i był skoordynowany z masowymi atakami rakietowymi na ukraińską sieć energetyczną. Był udany i spowodował utratę zasilania w około 1/3 kraju.
Mandiant twierdzi, że nie może określić początkowego sposobu wejścia Sandworma w sieć informatyczną. Jednak według zachodnich agencji wywiadowczych oraz badaczy bezpieczeństwa z sektora prywatnego, pomogła w tym rosyjska jednostka wywiadu wojskowego GRU zajmująca się cyberwojną. Użyto bowiem znanego z rosyjskich wojskowych prób włamań przejęcia systemu nadzoru i gromadzenia danych (SCADA) przy pomocy superwizora programu i dzięki temu dostano się do systemu informatycznego elektrowni.
Oprogramowanie SCADA było penetrowane przez maksymalnie trzy miesiące, a następnie 10 października Sandworm użył obrazu dysku optycznego o nazwie „a.iso” do wykonania natywnego pliku binarnego MicroSCADA zawierającego polecenia wyłączania podstacji, co spowodowało nieplanowane wyłączenie zasilania.
Dwa dni później 12 października nadzorujący Sandworm przeprowadzili atak polegający na wymazaniu danych na tę samą elektrownię, instalując malware CaddyWiper w środowisku IT. Nie miało to jednak wpływu na superwizora czy cały system SCADA.
Nathan Brubaker, szef ds. zagrożeń i analiz w Mandiant, nie zgodził się na określenie ile podstacji wyłączyło włamanie i jaką cześć kraju objęła zaplanowana awaria zasilania „To było na Ukrainie, ale ostatecznie nie udostępniamy żadnych dodatkowych szczegółów” – powiedział portalowi informatycznemu The Register.
Wykonanie szkodliwego kodu, który 10 października 2022 r. uruchomił wyłączanie podstacji, zbiegło się z rozpoczęciem kilkudniowej serii skoordynowanych ataków rakietowych na infrastrukturę krytyczną w wielu ukraińskich miastach. Pozbawiły one prądu 1,5 mln Ukraińców. Nie ma bezpośredniego dowodu, że ataki malware skoordynowano z atakami rakietowymi, jednak jak stwierdza w raporcie Mandiant „czas ataku pokrywa się z rosyjskimi operacjami kinetycznymi”.
Sandworm był już wykorzystywany do usuwania danych m.in. w ukraińskich instytucjach rządowych i finansowych. Były to ataki hackerów związanych z rosyjskim MON i wywiadem wojskowym GRU. Mandiant określa to oprogramowanie mianem „najczęściej używanego narzędzia destrukcyjnego przeciwko podmiotom ukraińskim”.
Raport podkreśla, że nie doceniono roli rosyjskiego malware w operacjach wojskowych przeciwko Ukrainie.
„Panuje błędne przekonanie, że ataki na Ukrainie nie spełniły przewidywań. Ataki te zostały ograniczone dzięki wyjątkowym działaniom ukraińskich obrońców i ich partnerów, którzy niestrudzenie pracowali, aby zapobiec setkom takich scenariuszy. Fakt, że ten incydent jest odosobniony, świadczy o ich wyjątkowych umiejętnościach” – powiedział The Register główny analityk Mandiant, John Hultquist.
