Sandworm tretjič napadel ukrajinsko elektroomrežje

Jurij Kristan

19. apr 2022 ob 22:51:57

V Ukrajini vendarle videvamo tudi resnejše kibernetske napade na infrastrukturo. Ruska hekerska združba Sandworm naj bi v preteklih tednih skušala še tretjič - po letih 2015 in 2016 - vreči na tla dele ukrajinskega elektroomrežja, a so bili tokrat varnostni strokovnjaki bolje pripravljeni in so zelo omejili učinek napada.

Še pred začetkom ukrajinske vojne smo slišali napovedi, da nas čaka hibridni spopad s spremljavo množičnih hekerskih napadov zloglasnih ruskih ekip za kibernetsko vojskovanje in kriminalnih tolp. Toda to se v pretežni meri ni zgodilo. Edini resen ruski uspeh v tem oziru je bil napad na satelitsko omrežje KA-SAT prvi dan vojne, ki je z interneta vrgel nekaj čez 10.000 uporabnikov, tudi drugje po Evropi. Razen tega pa večjih udarcev za ukrajinsko infrastrukturo s strani ruskih hekerjev doslej ni bilo opaziti. To ne pomeni, da spopad ne poteka tudi širom omrežij, saj si sprti strani in množice aktivistov nenehno izmenjujejo napade DDoS in kradejo podatke kot za stavo, zato ima platforma DDoSecrets trenutno polne roke dela. Toda doslej je bilo fizično uničenje za Ukrajince mnogo večji problem od hekerskega, dočim razvpitih skupin APT ni na spregled.

Zdaj je jasno, da se vršijo tudi resnejši ruski napadi na infrastrukturo, oziroma vsaj poskusi. Ukrajinski organi za kibernetsko obrambo (CERT-UA) in slovaška firma ESET so razkrili, da so onemogočili nov resen poskus ruske ekipe Sandworm, da bi izklopila dele ukrajinskega elektroomrežja. Prav Sandworm je tista skupina, ki je podoben podvig razmeroma uspešno izvedla najprej leta 2015 in nato še 2016, kar štejemo za prvi uspešen izklop električnega omrežja s hekerskim napadom. Uporabljen je bil napreden črv z zmogljivostmi delovanja na industrijske krmilne sisteme, imenovan Crash Override ali Industroyer. Tokrat naj bi Rusi uporabili izpopolnjeno, oziroma drugo generacijo, ki jo pri Esetu imenujejo Industroyer2. Njene natančne zmogljivosti še niso čisto poznane, vsebuje pa tako funkcije izklapljanja stikal v transformatorskih postajah, kakor tudi izklapljanje zaščitnih prenapetostnih relejev. To slednje bi med drugim napadom leta 2016 skorajda povzročilo resnejše poškodbe na omrežju, a je še vedno ne povsem pojasnjen splet srečnih okoliščin Ukrajince takrat rešil.

Tokrat naj bi v Sandwormu z uvodnim napadom, torej z vdorom v računalniške nadzorne sisteme, pričeli februarja in uspeli namestiti zlobno kodo, ki pa so jo Ukrajinci dovolj hitro odkrili in v pretežni meri odstranili, še preden so jo Rusi uspeli tudi dejansko sprožiti. Tako naj zaznavne škode ne bi bilo, čeprav druga poročila kažejo, da naj bi v devetih transformatorskih postajah kljub temu prišlo do kratkotrajnega izpada elektrike. Ukrajinski organi trdijo, da bi v primeru uspešne izvedbe napada brez elektrike ostalo dva milijona ljudi, ni pa jasno, kje natančno v državi. Verjetno v Kijevu ali bližini, kjer bi takšen izpad lahko povzročil otipljivo škodo v komunikacijah, transportu in organizaciji oskrbe.