На хакерской барахолке продавался троян для диверсий на электростанциях

Софт Безопасность Интернет
мобильная версия
, Текст: Алла Галанова

Эксперты SentinelOnLabs обнаружили в интернете шпионское ПО, способное отключать электростанции, а затем идентифицировали его на одной из станций Европы. Вирус, по мнению исследователей, создан по заказу одной из восточноевропейских стран.


Случайная находка

Исследователи компании SentinelOne Labs обнаружили, что одна из европейских электростанций заражена вирусом, который свободно продается в интернете.

Вредоносный код был выявлен не тогда, когда у станции начались проблемы, а сначала его случайно заметили на одном из хакерских форумов. Отметим, что на подобных ресурсах достаточно часто можно купить вирусное ПО, но обычно оно не столь сложное и не имеет такой глобальный характер поражения.

В лаборатории считают, что вирус был создан по заказу восточноевропейских спецслужб. Автор кода был очень осторожен, стремясь сохранить его незамеченным как можно дольше.

Как подчеркивает эксперт SentinelOne Labs Уди Шамир (Udi Shamir), код был написан не жаждущими получить деньги киберпреступниками, а работающими на правительство шпионами. «Это не детская работа, а профессиональный кибершпионаж», — отметил Шамир.

Принцип действия

Обнаруженный вирус предназначен для Windows-систем и способен обходить прогрессивные антивирусные решения, межсетевые экраны, изолированные программные среды и виртуальные машины.

Электростанция была заражена мощнейшим вирусом с хакерской барахолки

Данная программа имеет связь с обнаруженным ранее бэкдором (ПО скрытого удаленного администрирования) Furtim, который представляет доступ к промышленным системам управления.

Furtim в данном случае выступает вирусом, который заражает компьютер и служит первым шагом для запуска дальнейших атак. Он был разработан специально для европейских энергетических компаний, использующих в своей деятельности компьютеры на базе Windows. Он был выпущен в мае 2016 г. и, по данным исследователей, до сих пор активен.

«Его цель состоит в том, чтобы удалить антивирусное программное обеспечение, установленное в системе, и спровоцировать ее падение», — отмечается в отчете SentinelOne Labs.