П’ять років назад компанія ESET опублікувала своє дослідження унікальної шкідливої програми, яка здатна спричинити масове відключення електропостачання. Ця загроза отримала назву Industroyer та стала першим відомим шкідливим програмним забезпеченням, яке було розроблено спеціально для атак на енергетичну інфраструктуру.

За кілька місяців до цього загроза Industroyer спричинила відключення світла у тисячах будинків Києва, атакувавши місцеву електричну підстанцію. Через кілька днів дослідники ESET розпочали аналіз загрози.

Чим особлива загроза Industroyer?

Після встановлення Industroyer поширюється у мережі підстанції у пошуках конкретних пристроїв промислового управління, чиї протоколи зв'язку вона може використати. Потім загроза відключає усі автоматичні вимикачі, не зважаючи на будь-які спроби операторів підстанції відновити контроль. Якщо оператор намагався закрити вимикач, шкідливе програмне забезпечення відкривало його знову.

Щоб видалити всі ознаки зловмисної діяльності, загроза запускала інструмент для знищення даних, який був розроблений для виведення з ладу комп’ютерів підстанції та сповільнення відновлення їх роботи. Цей інструмент не працював належним чином, однак у іншому випадку наслідки могли б бути набагато гіршими – особливо взимку, коли відключення електроенергії може призвести до пошкодження труб з водою через замерзання.

Остання шкідлива дія була здійснена з метою відключення деяких захисних реле на підстанції, однак це здійснити не вдалося. Без функціонуючих захисних реле обладнання підстанції могло б бути пошкоджене, коли оператори зрештою відновили електропостачання.

Як повідомили тоді дослідники ESET, витонченість Industroyer дає змогу адаптувати шкідливе програмне забезпечення до будь-якого середовища. Загроза використовує протоколи промислового зв’язку, які застосовуються не тільки в Україні, а й в інфраструктурі електропостачання, управлінні транспортом та інших критично важливих системах у всьому світі.

З іншого боку, попри складність загрози, вплив Industroyer був мінімальним. Можливо, це була лише перевірка для майбутніх атак або попередження про рівень можливостей кіберзлочинців.