La ciberguerra continúa en paralelo a la guerra entre Ucrania y Rusia. Sandworm, grupo de estado nación patrocinado por Rusia ha tratado de atacar a un gran proveedor de energía de Ucrania desconectando sus subestaciones eléctricas. Sin embargo, su tentativa ha resultado infructuosa.
Para esta amenaza se han servido de una nueva variante del malware Industroyer para sistemas de control industrial (ICS) que habría sido personalizada para las subestaciones de alto voltaje y que borraría el rastro de los ataques.
Los investigadores de la compañía de seguridad ESET, que están colaborando con el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) para remediar y proteger la red atacada aseguran que no saben cómo el atacante pudo comprometer el entorno o pasar de la red de TI al entorno ICS.
Sandworm es un grupo experimentado en amenazas de ciberespionaje que se ha asociado con la Unidad Militar Rusa 74455 de la Dirección Principal de Inteligencia (GRU). Su objetivo era "desmantelar varos elementos de la infraestructura" de la compañía de energía, según el organismo de ciberseguridad ucraniano.
CERT-UA ha compartido indicadores de compromiso para ayudar a prevenir nuevos ataques de este actor de amenazas.
Un heredero del gran apagón
Industroyer, también llamado CrashOverride, fue muestreado y analizado por primera vez en 2017. ESET lo definió en aquel momento como "la mayor amenaza a los sistemas de control industrial desde Stuxnet".
La nueva variante que los ciberdelincuentes rusos han usado para atacar al proveedor de energía ucraniano (Industroyer ICS) es una evolución del malware original utilizado en 2016 para los cortes de energía llevados a cabo también en Ucrania.
Esta nueva versión resultaría más configurable que la cepa primigenia y puede comunicarse con ocho dispositivos de manera simultánea.