I servizi segreti ucraini (Служба Безпеки України СБУ/SBU) hanno accusato i servizi russi di aver tentato un attacco cibernetico contro l’Aul Chlorotransfer Station, una infrastruttura critica di filtraggio delle acque.
L’attacco sarebbe avvenuto attraverso il malware noto come VPNFilter, un codice già scoperto a maggio quando infettò oltre mezzo milione di apparati di rete in 54 Paesi. VPNFilter presenta diverse analogie con il malware BlackEnergy, responsabile di diversi attacchi a stazioni energetiche sempre in Ucraina.
I ricercatori di Cisco Talos, che hanno scoperto il malware, ritengono sia stato probabilmente sviluppato da uno Stato o da affiliati che lavorano per agenzie governative. Inoltre, gli apparati di rete colpiti in Ucraina hanno un server di comando e controllo interamente dedicato a loro, che lascia supporre un particolare interesse verso le operazioni in quell’area geografica.
Il Dipartimento della Giustiza USA ha attribuito la creazione del malware e della relativa botnet al gruppo noto come sofacy, conosciuto anche come apt28, sandworm, x-agent, pawn storm, fancy bear e sednit, che diversi analisti ritengono faccia capo al GRU (Главное разведывательное управление) ovvero ai servizi segreti militari russi.
I servizi ucraini hanno affermato che lo scopo dell’attacco era bloccare il funzionamento della stazione, e in effetti VPNFilter – essendo modulare – può essere usato sia per attività di spionaggio sia di blocco dei servizi.