SBU påstår at de avverget et VPNFilter-angrep mot en klorfabrikk. Angrepet skal russiske myndigheter stå bak, hevder den ukrainske etterretningsorganisasjonen.
Det skal være fabrikken LLC Aulska i den ukrainske byen Auly som var under angrep. Fabrikken leverer klor til millionbyen Dnipro i Ukraina i tillegg til 23 andre kommuner i landet. Fabrikken eksporterer også klor til Hviterussland og Moldova.
Kunne tatt ut vannforsyninger
Klor brukes i en rekke produkter, og blant annet som desinfisering av drikkevann.
Det kunne blitt kritisk for den ukrainske vannforsyningen.
– Sikkerhetseksperter fikk hurtig fastsatt at selskapets kontrollsystemer var blitt infisert av VPNFilter-malwaren. Angrepet stammer fra Russland, skriver SBU i en pressemelding.
VPNFilter består av flere deler, og den grunnleggende delen blir værende på enheten også etter en omstart av den infiserte parten. Den vil da kontakte en C&C-server (Command and Control) for å laste ned ytterligere moduler.
Avlytter trafikk og ødelegger fastvare
Det er disse modulene som kan gjøre virkelig skade. De skal blant annet kunne laste opp filer fra nettverket, avlytte trafikk og i noen tilfeller også ødelegge fastvaren til enheten, slik at denne blir ubrukelig.
Modulene kan i tillegg utstyres med plugins som blant annet brukes til innsamling av innloggingsdata og overvåkning av SCADA-protokollen Modbus.
– Hvis angrepet hadde fått fortsette, ville det ført til brudd i produksjonen, og muligens også utløst flere kritiske hendelser, skriver SBU i meldingen.
Rutere og nettverksbaserte lagringsprodukter (NAS) fra Linksys, MikroTik, Netgear, TP-Link, Asus, D-Link, Huawei, Ubiquiti, Upvel og ZTE skal være infisert av skadevaren. Det var etterretningsorganisasjonen Talos som oppdaget skadevaren - selskapet er heleid av Cisco.
Tok ut energiforsyning
Det generelle rådet er at alle med de berørte enhetene bør starte dem på nytt.
Men det er langt fra sikkert at dette vil hjelpe, da nettopp denne skadevaren skal ha egenskaper som gjør at den «overlever» omstarter. For mange vil det derfor være nødvendig å gjenopprette fabrikkinnstillingene eller å installere den aller nyeste fastvaren på enheten.
VPNFilter skal ha felles kode med skadevaren BlackEnergy, som tidligere har blitt brukt i angrep mot energiforsyningen i Ukraina. Denne skadevaren har blitt knyttet til hackergruppen Fancy Bear, også kjent som blant annet APT 28 og Sofacy Group.
Grupperingen har blitt koblet til russisk etterretning, og skal ha stått bak en mengde angrep det siste tiåret.