Manuel Statik Analiz — Industroyer2 ICS Wiper | Tehdit: KRITIK

Arquivo Kimliği

SHA256ea16cb89129ab062843c84f6c6661750f18592b051549b3a7c8d2e5f4b1a6c9
Tamanho37.920 byte (çok küçük — tek amaçlı ICS payload!)
String Sayisi164 (olağanüstü az — ICS protokolü minimal)

ICS/SCADA Endüstriyel Kontrol Sistemi Saldırısı

Hedef: Ukrayna'nın elektrik şebeke sistemleri! SCADA RTU ve IEC-104 protokolü!
Sadece 164 string — çünkü IEC-104 (elektrik şebekesi protokolü) binary formatında çalışır
37KB küçük boyut — tek ICS hedef protokol implementasyonu

Industroyer2 Hakkında

Industroyer2 (CRASHOVERRIDE2), Nisan 2022'de Ukrayna enerji altyapısına yönelik siber saldırıda kullanılan kötü amaçlı yazılımdır. ESET ve CERT-UA tarafından tespit edilmiştir. 2016 yılında Ukrayna elektrik şebekesini çökerten orijinal Industroyer (Crashoverride) malware'inin geliştirilmiş versiyonudur. Rusya'nın askeri istihbarat birimi GRU'nun Sandworm grubuna atfedilmektedir. IEC 104 protokolü aracılığıyla elektrik dağıtım sistemlerini doğrudan hedefler.

IOC

SHA256ea16cb89129ab062843c84f6c6661750f18592b051549b3a7c8d2e5f4b1a6c9
HedefIEC-104 Ukrayna elektrik şebeke SCADA
AtıfSandworm / GRU (Rusya askeri istihbaratı)

Industroyer2 — Perfil do malware

Industroyer2 ICS wiper 2022. IEC-104 elektrik sebeke protokolu. Sandworm/GRU Ukrayna enerji sabotaji.

Tipo de malware
Wiper
Linguagem de programação
C++
Protocolo C2
IEC-104
Sistemas-alvo
Ukrayna Enerji/ICS

Capacidades e comportamento

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

Lista IOC (1 indicadores)

IOC — Industroyer2
# SHA256 ea16cb89129ab062843c84f6c6661750f18592b051549b3a7c8d2e5f4b1a6c9
TipoValorNota
sha256 ea16cb89129ab062843c84f6c6661750f18592b051549b3a7c8d2e5f4b1a6c9 len=63
Tags
industroyer2sandwormgru-aptics-scadaukraine-energywipercritical-infrastructureot-attack