НАЗАД К НОВОСТЯМ
Срочные новости

Sandworm APT атакует энергосистему Польши вредоносным ПО для стирания данных

2 мин чтенияИсточник: SecurityWeek

Российская хакерская группа Sandworm атаковала энергосистему Польши с помощью вредоносного ПО, уничтожающего данные. Узнайте о технических деталях и мерах защиты критической инфраструктуры.

Российская APT-группа Sandworm атакует энергосистему Польши деструктивным вредоносным ПО

Специалисты по кибербезопасности связывают недавнюю кибератаку на энергосистему Польши с Sandworm — изощренной российской группой угроз повышенной настойчивости (APT). Атака, в ходе которой было развернуто вредоносное ПО для стирания данных, знаменует тревожную эскалацию киберфизических угроз для критической инфраструктуры, напоминая печально известную атаку группы на энергосистему Украины в 2015 году, в результате которой сотни тысяч человек остались без электричества.

Технические детали атаки

Хотя конкретные штаммы вредоносного ПО и векторы атаки пока не раскрыты, инцидент соответствует историческим тактикам, техникам и процедурам (TTP) группы Sandworm. Группа, связанная с российским Главным управлением Генштаба ВС РФ (ГРУ), ранее использовала:

  • BlackEnergy (атака на Украину в 2015 году)
  • Industroyer/CrashOverride (атака на Украину в 2016 году, CVE-2016-5851)
  • NotPetya (глобальное вредоносное ПО-вайпер 2017 года, CVE-2017-0144)

Атака на энергосистему Польши предполагает использование вредоносного ПО-вайпера, предназначенного для повреждения или удаления данных, что потенциально может нарушить работу систем операционных технологий (OT). В отличие от программ-вымогателей, вайперы нацелены на уничтожение, а не на финансовую выгоду, что делает их предпочтительным инструментом для государственных киберсаботажей.

Последствия и геополитический контекст

Время атаки совпадает с обострением напряженности между Россией и странами НАТО, особенно после вторжения России в Украину. Польша, являющаяся ключевым логистическим хабом для поставок западной военной помощи Украине, часто становится мишенью российских киберопераций. Инцидент подчеркивает:

  • Критическую инфраструктуру как высокоценную цель в современной гибридной войне.
  • Размытие границ между кибершпионажем и кинетическими эффектами в государственных кампаниях.
  • Сложность атрибуции в кибератаках, где доказательства часто носят косвенный характер.

Рекомендации для операторов критической инфраструктуры

Командам безопасности, управляющим энергосистемами и другой критической инфраструктурой, следует:

  1. Усилить мониторинг угроз, специфичных для OT, включая аномальный сетевой трафик или несанкционированный доступ к системам промышленного управления (ICS).
  2. Реализовать строгую сегментацию между сетями IT и OT для ограничения латерального перемещения.
  3. Развернуть решения для обнаружения и реагирования на конечных точках (EDR/XDR), адаптированные для OT-сред.
  4. Проводить регулярные настольные учения для моделирования сценариев киберфизических атак.
  5. Пересматривать и обновлять планы реагирования на инциденты, учитывая вредоносное ПО-вайперы и деструктивные атаки.

Польская группа реагирования на компьютерные инциденты (CERT) и международные агентства по кибербезопасности расследуют инцидент. Дополнительные детали, включая индикаторы компрометации (IOC), могут появиться по мере продвижения судебного анализа.

Для получения оперативных обновлений следите за освещением SecurityWeek.

Поделиться

TwitterLinkedIn