Cyberangreb med sandorm ned i det ukrainske strømnet under missilangreb

Ruslands berygtede Sandworm Advanced Persistent Trussel-gruppe (APT) brugte "live-off-the-land"-teknikker (LotL) til at fremskynde et strømafbrydelse i en ukrainsk by i oktober 2022, hvilket faldt sammen med en byge af missilangreb.

Sandorm, der er knyttet til Ruslands hovedcenter for særlige teknologier, har en historie med cyberangreb i Ukraine: BlackEnergy-inducerede blackouts i 2015 og 2016, den berygtede NotPetya-visker, og nyere kampagner overlappende med Ukraine-krigen. Til en vis grad har krigen givet et røgslør for sine nyere cyberangreb af sammenlignelig størrelse.

Tag et eksempel fra oktober 2022, beskrevet i dag i en rapport fra Mandiant. Under et regnskyl på 84 krydsermissiler og 24 droneangreb i 20 ukrainske byer indkasserede Sandworm to måneders forberedelse og fremtvang et uventet strømafbrydelse i en berørt by.

I modsætning til tidligere Sandworm-gitterangreb var denne ikke bemærkelsesværdig for et eller andet stykke avanceret cybervåben. I stedet udnyttede gruppen LotL-binære filer til at underminere Ukraines stadig mere sofistikerede cyberforsvar af kritisk infrastruktur.

For Mandiants chefanalytiker John Hultquist danner det en bekymrende præcedens. "Vi bliver nødt til at stille os selv nogle svære spørgsmål om, hvorvidt vi kan forsvare os mod sådan noget," siger han.

Endnu en sandorm strømafbrydelse

Selvom den nøjagtige metode til indtrængen stadig er ukendt, daterede forskere Sandworms første brud på den ukrainske transformerstation til mindst juni 2022.

Kort efter var gruppen i stand til at bryde skellet mellem IT- og operationsteknologi-netværkene (OT) og få adgang til en hypervisor, der var vært for en tilsynskontrol- og dataindsamlingsinstans (SCADA) (hvor fabriksoperatører administrerer deres maskineri og processer).

Efter op til tre måneders SCADA-adgang valgte Sandworm sit øjeblik. Sammenfaldende (tilfældigt eller på anden måde) med et angreb af kinetisk krigsførelse samme dag, brugte den en optisk disk (ISO) billedfil til at udføre en binær indfødt til MicroSCADA-kontrolsystemet. De præcise kommandoer er ukendte, men gruppen brugte sandsynligvis en inficeret MicroSCADA-server til at sende kommandoer til understationens fjernterminalenheder (RTU'er) og instruerede dem om at åbne afbrydere og derved afbryde strømmen.

To dage efter udfaldet kom Sandworm tilbage i sekunder og implementerede en ny version af sin CaddyWiper wiper malware. Dette angreb berørte ikke industrielle systemer - kun IT-netværket - og kan have været beregnet til at slette retsmedicinske beviser for deres første angreb eller blot forårsage yderligere afbrydelse.

Rusland vs. Ukraine bliver mere lige

Sandworms BlackEnergy- og NotPetya-angreb var afgørende begivenheder i cybersikkerheds-, ukrainsk og militærhistorie, der påvirkede både, hvordan globale magter ser på kombination kinetisk-cyberkrigsførelse, og hvordan cybersikkerhedsforsvarere beskytter industrielle systemer.

Som et resultat af denne øgede bevidsthed er lignende angreb fra den samme gruppe i årevis siden faldet et stykke under dens tidlige standard. Der var f.eks. det andet industriangreb, ikke længe efter invasionen - selvom malwaren var lige så kraftig, hvis ikke mere, end den, der tog Ukraines magt ned i 2016, havde angrebet generelt ikke nogen alvorlige konsekvenser.

"Du kan se på historien om denne skuespiller, der forsøger at udnytte værktøjer som Industroyer og i sidste ende fejler, fordi de blev opdaget," siger Hultquist, mens han overvejer, om denne seneste sag var et vendepunkt.

"Jeg tror, ​​at denne hændelse viser, at der er en anden måde, og desværre vil den anden måde virkelig udfordre os som forsvarere, fordi det er noget, som vi ikke nødvendigvis vil være i stand til at bruge underskrifter imod og søge efter i massevis ," han siger. "Vi bliver nødt til at arbejde hårdt for at finde det her."

Han tilbyder også en anden måde at se på russisk-ukrainsk cyberhistorie: mindre, at Ruslands angreb er blevet tæmmere, og mere, at Ukraines forsvar er blevet mere robust.

"Hvis Ukraines netværk var under det samme pres, som de er under nu, med det samme forsvar, som var på plads for måske et årti siden, ville denne situation have været meget anderledes," konkluderer Hultquist. "De er mere erfarne end nogen, der forsvarer sig mod cyberkrig, og vi har meget at lære af dem."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes