I april uppges den ryska hackergruppen Sandworm ha försökt stänga av strömmen i ännu ett Ukrainskt kraftverk. Hacket upptäcktes dock i tid och ska ha stoppats.

Tangentbord
Bild: Stillness InMotion

Första gången den ryska hackergruppen Sandworm stängde av strömmen i Ukraina var i december 2015, strax före julafton. Sammanlagt drabbades tre stora kraftstationer. Det tog teknikerna sex timmar att få tillbaka strömmen för de cirka 225 000 invånarna som drabbades.

Angreppet var avancerat och bestod utav fyra steg. I det första steget öppnade man brytarna för att slå av strömmen till kraftnätet. Sedan skrev angriparna över mjukvaran i kraftverkens serial-to-ethernet-adaptrar, vilket gjorde att operatörerna inte längre kunde fjärrstyra brytarna. Därefter körde de KillDisk på en handfull av kraftstationernas datorer för att helt radera dem. Slutligen stängde angriparna av strömmen till kraftverkens egna batteribackuper – vilket gjorde att operatörerna blev helt blinda i sitt felsökningsarbete.

Detta är det första dokumenterade fallet där angripare har lyckats stänga av strömmen genom ett it-angrepp.

Andra gången Sandworm angrep Ukrainas elförsörjning var den 17 december 2016. Denna gången angrep man en större kraftstation som påverkade många fler understationer. Operatörerna lyckades dock manuellt slå på brytarna efter bara cirka en timme.

Angriparna hade kommit åt det industriella nätverket via en historian-databas som gick att nå via både det vanliga it-nätverket och det industriella nätverket – två nätverk som annars är åtskilda.

Man tror även att Sandworm låg bakom it-angreppen mot olympiska spelen 2018. Denna attack ska ha påverkat allt från biljettförsäljning till WiFi.

I april i år har Sandworm gjort nya försök att slå ut strömmen i Ukraina. Intrånget uppges dock ha upptäckts i tid och stoppats. Nya versioner av de verktyg som användes 2015 och 2016 ska ha använts i det nya angreppet.

Sandworm uppges vara cyberenhet 74455 vid GRU, ryska underrättelsetjänsten. De är således en rysk statssponsrad hackergrupp som fortfarande är aktiva.

Källor

Andy Greenberg: Russia’s Sandworm Hackers Attempt a Third Blackout in Ukraine (Wired, 2022-04-12)

Andy Greenberg: Sandworm : A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers (Anchor Books, 2019)

Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure (CISA, 2022-04-20)

Ukraine’s power outage was a cyber attack: Ukrenergo (Reuters, 2017-01-18)