Згідно зі звітом компанії Google Mandiant, інцидент не був одноразовою атакою, а складався з кількох етапів. Хакери використовували нові методи для впливу на промислові системи управління (ICS) та операційні технології (OT). Аналіз показує, що вторгнення почалося в червні 2022 року або раніше і завершилося двома руйнівними подіями 10 і 12 жовтня 2022 року.
По-перше, піщані черв’яки спрацювали автоматичні вимикачі підстанцій, спричинивши незаплановані відключення електроенергії, що збіглося з масованою ракетною атакою на об’єкти критичної інфраструктури по всій Україні. Вони також спробували виконати спеціальний двійковий файл MicroSCADA, використовуючи образ оптичного диска (ISO) і, можливо, зловмисні команди управління, щоб вимкнути підстанцію Судячи з позначки часу 23 вересня, зловмисники спочатку отримали доступ до системи SCADA Між моментом доступу та моментом розробки можливості OT потенційно існував проміжок часу у два місяці.
Через два дні був виконаний другий етап, і в ІТ-середовищі компанії-жертви був розгорнутий новий варіант CADDYWIPER (призначений для стирання даних). Ймовірно, це було зроблено з метою спричинити подальші збої в роботі та замести власні сліди. Розгортання вірусу було обмежене ІТ-середовищем і не торкнулося гіпервізорів або віртуальних машин SCADA. Це було незвично, і зловмисники, ймовірно, намагалися видалити інші “злочинні артефакти”, як їх називають дослідники, з системи SCADA, можливо, щоб замести свої сліди. Це може свідчити про відсутність координації між різними особами або оперативними підгрупами, які брали участь в атаці.
“Зловмисник потенційно мав доступ до системи SCADA до трьох місяців”, – вказують фахівці.
Sandworm виконує роботу для російського ГРУ (Головного управління розвідки) щонайменше з 2009 року. Протягом тривалого часу центром уваги угруповання була Україна, де протягом останнього десятиліття воно проводило кампанію підривних і руйнівних атак з використанням шкідливого програмного забезпечення. Ймовірно, ця група стоїть за атаками на українську енергосистему у 2015 та 2016 роках, які також призводили до масового вимкнення електроенергії.