与俄罗斯有关联的 Sandworm APT 小组使用 INDUSTROYER2 和CADDYWIPER雨刷器瞄准了乌克兰的能源设施。

与俄罗斯有关的Sandworm威胁行动者使用新的Industroyer  ICS 恶意软件 (INDUSTROYER2) 和新版本的CaddyWiper Wiper 攻击乌克兰的能源设施。

根据 CERT-UA 的说法，民族国家行为者使用 INDUSTROYER2 将高压变电站作为目标，研究人员分析的变体针对各自的变电站进行了定制。

攻击者还使用 CADDYWIPER 擦除器来攻击基于 Windows 的系统，同时攻击运行具有 ORCSHRED、SOLOSHRED、AWFULSHRED 破坏性脚本的 Linux 操作系统的服务器设备。

根据乌克兰 CERT 发布的公告，CADDYWIPER 的集中分发和发布是通过组策略机制 (GPO) 实现的。POWERGAP PowerShell 脚本用于添加从域控制器下载文件析构函数组件并在计算机上创建计划任务的组策略。通过创建 SSH 隧道链提供了在局域网段之间水平移动的能力，IMPACKET 用于远程执行命令。

CERT-UA 指出，APT 组织至少对能源设施发动了两波攻击。最初的妥协发生在 2022 年 2 月之前。有趣的是，变电站的断开和公司基础设施的退役计划于 2022 年 4 月 8 日星期五晚上进行。

好消息是，政府专家在网络安全公司 ESET 和微软的帮助下检测并消除了这些攻击。CERT-UA 收集了这些攻击的危害指标，并与有限数量的国际合作伙伴和乌克兰能源公司分享了这些指标以及 Yara 规则。

帮助乌克兰政府的安全公司 ESET 发布了一份关于 Industroyer2 雨刷器的详细报告，该雨刷器用于针对一家乌克兰能源公司。

研究人员证实，攻击计划于 2022 年 4 月 8 日进行，但人工制品表明攻击已计划至少两周。

在ESET的报道中写到，我们高度自信地评估，攻击者使用了新版本的 Industroyer 恶意软件，该恶意软件于 2016 年用于切断乌克兰的电力供应，APT 组织 Sandworm 应对这次新攻击负责。