Industroyer / CrashOverride
Что такое Industroyer / CrashOverride?
Industroyer / CrashOverrideМодульное ICS-ВПО, применённое в атаке на украинскую энергосистему в 2016 году и обновлённое до Industroyer2 в 2022 году; «говорит» на нативных протоколах энергосетей.
Industroyer (он же CrashOverride) — это модульный фреймворк ICS-ВПО, впервые применённый в декабре 2016 года против магистральной подстанции в Киеве, что вызвало отключение электричества примерно на час. В отличие от прежних атак на энергосети, Industroyer непосредственно реализовал IEC 60870-5-101, IEC 60870-5-104, IEC 61850 и OPC DA, а также модуль отказа в обслуживании против Siemens SIPROTEC, что позволяло посылать «родные» команды на RTU, IED и защитные реле. ESET, Dragos и ряд западных правительств приписывают Industroyer группе Sandworm из ГРУ России. Преемник, Industroyer2, обнаружен в апреле 2022 года при попытке атаки на украинскую энергокомпанию. Фреймворк наглядно показал, что злоумышленники могут создавать многоразовый, осведомлённый о протоколах инструмент для ICS.
● Примеры
- 01
Отправка команд IEC 60870-5-104 для размыкания выключателей на украинской подстанции.
- 02
Использование DoS-модуля против SIPROTEC для отказа защитных реле в ходе атаки.
● Частые вопросы
Что такое Industroyer / CrashOverride?
Модульное ICS-ВПО, применённое в атаке на украинскую энергосистему в 2016 году и обновлённое до Industroyer2 в 2022 году; «говорит» на нативных протоколах энергосетей. Относится к категории OT / ICS / IoT в кибербезопасности.
Что означает Industroyer / CrashOverride?
Модульное ICS-ВПО, применённое в атаке на украинскую энергосистему в 2016 году и обновлённое до Industroyer2 в 2022 году; «говорит» на нативных протоколах энергосетей.
Как защититься от Industroyer / CrashOverride?
Защита от Industroyer / CrashOverride обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Industroyer / CrashOverride?
Распространённые альтернативные названия: CrashOverride, Industroyer2.