Industroyer / CrashOverride.

Модульное ICS-ВПО, применённое в атаке на украинскую энергосистему в 2016 году и обновлённое до Industroyer2 в 2022 году; «говорит» на нативных протоколах энергосетей. Относится к категории OT / ICS / IoT в кибербезопасности.

Модульное ICS-ВПО, применённое в атаке на украинскую энергосистему в 2016 году и обновлённое до Industroyer2 в 2022 году; «говорит» на нативных протоколах энергосетей.

Industroyer (он же CrashOverride) — это модульный фреймворк ICS-ВПО, впервые применённый в декабре 2016 года против магистральной подстанции в Киеве, что вызвало отключение электричества примерно на час. В отличие от прежних атак на энергосети, Industroyer непосредственно реализовал IEC 60870-5-101, IEC 60870-5-104, IEC 61850 и OPC DA, а также модуль отказа в обслуживании против Siemens SIPROTEC, что позволяло посылать «родные» команды на RTU, IED и защитные реле. ESET, Dragos и ряд западных правительств приписывают Industroyer группе Sandworm из ГРУ России. Преемник, Industroyer2, обнаружен в апреле 2022 года при попытке атаки на украинскую энергокомпанию. Фреймворк наглядно показал, что злоумышленники могут создавать многоразовый, осведомлённый о протоколах инструмент для ICS.

Защита от Industroyer / CrashOverride обычно сочетает технические меры и операционные практики, как описано в определении выше.

Распространённые альтернативные названия: CrashOverride, Industroyer2.