Sandwurm-Cyberangreifer legen bei Raketenangriffen das ukrainische Stromnetz lahm

Russlands berüchtigte APT-Gruppe (Sandworm Advanced Persistent Threat) löste im Oktober 2022 mithilfe von LotL-Techniken (Living-off-the-Land) einen Stromausfall in einer ukrainischen Stadt aus, der mit einer Flut von Raketenangriffen zusammenfiel.

Sandworm, das mit Russlands Hauptzentrum für Spezialtechnologien verbunden ist, kann auf eine lange Geschichte von Cyberangriffen in der Ukraine zurückblicken: Durch BlackEnergy verursachte Stromausfälle 2015 und 2016 der berüchtigte NotPetya-Wischer, und neuere Kampagnen Überschneidungen mit dem Ukraine-Krieg. In gewisser Weise diente der Krieg als Deckmantel für die jüngsten, vergleichbar großen Cyberangriffe.

Nehmen Sie ein Beispiel aus dem Oktober 2022, das heute in beschrieben wird ein Bericht von Mandiant. Während eines Regengusses von 84 Marschflugkörper und 24 Drohnenangriffe In 20 ukrainischen Städten profitierte Sandworm von zwei Monaten Vorbereitungszeit und erzwang einen unerwarteten Stromausfall in einer betroffenen Stadt.

Anders als bei früheren Sandworm-Grid-Angriffen zeichnete sich dieser nicht durch fortschrittliche Cyberwaffen aus. Stattdessen nutzte die Gruppe LotL-Binärdateien aus, um die immer ausgefeilteren Cyberabwehrmaßnahmen der Ukraine für kritische Infrastrukturen zu untergraben.

Für Mandiant-Chefanalyst John Hultquist stellt dies einen besorgniserregenden Präzedenzfall dar. „Wir werden uns einige schwierige Fragen stellen müssen, ob wir uns gegen so etwas wehren können oder nicht“, sagt er.

Noch ein weiterer Stromausfall bei Sandwürmern

Obwohl die genaue Methode des Eindringens noch unbekannt ist, datierten Forscher den ersten Einbruch von Sandworm in das ukrainische Umspannwerk auf mindestens Juni 2022.

Bald darauf konnte die Gruppe die Kluft zwischen den IT- und Betriebstechnologie-Netzwerken (OT) durchbrechen und auf einen Hypervisor zugreifen, der eine SCADA-Verwaltungsinstanz (Supervisory Control and Data Acquisition) hostet (über die Anlagenbetreiber ihre Maschinen und Prozesse verwalten).

Nach bis zu drei Monaten SCADA-Zugriff hatte Sandworm den richtigen Zeitpunkt gefunden. Zeitgleich (zufällig oder nicht) mit einem Ansturm kinetischer Kriegsführung am selben Tag nutzte es eine ISO-Imagedatei (Optical Disc), um eine native Binärdatei des MicroSCADA-Steuerungssystems auszuführen. Die genauen Befehle sind unbekannt, aber die Gruppe nutzte wahrscheinlich einen infizierten MicroSCADA-Server, um Befehle an die Remote Terminal Units (RTUs) der Umspannstation zu senden und diese anzuweisen, Leistungsschalter zu öffnen und dadurch den Strom zu unterbrechen.

Zwei Tage nach dem Ausfall kam Sandworm für Sekunden zurück und setzte eine neue Version seiner CaddyWiper-Wiper-Malware ein. Dieser Angriff betraf keine industriellen Systeme, sondern nur das IT-Netzwerk. Möglicherweise war er dazu gedacht, forensische Beweise für den ersten Angriff zu vernichten oder einfach weitere Störungen zu verursachen.

Russland vs. Ukraine wird immer ausgeglichener

Die BlackEnergy- und NotPetya-Angriffe von Sandworm waren wegweisende Ereignisse in der Cybersicherheits-, Ukraine- und Militärgeschichte und beeinflussten sowohl die Sichtweise der Weltmächte auf die Kombination von kinetischer und Cyber-Kriegsführung als auch die Art und Weise, wie Cybersicherheitsverteidiger industrielle Systeme schützen.

Aufgrund dieses erhöhten Bewusstseins sind ähnliche Angriffe derselben Gruppe in den vergangenen Jahren weit hinter dem ursprünglichen Standard zurückgeblieben. Es gab zum Beispiel der zweite Industryroyer-Angriff, nicht lange nach der Invasion – obwohl die Malware genauso mächtig, wenn nicht sogar noch mächtiger war als die, die die Ukraine im Jahr 2016 entmachtete, hatte der Angriff insgesamt keine schwerwiegenden Folgen.

„Sie können sich die Geschichte dieses Akteurs ansehen, der versuchte, Tools wie Industroyer zu nutzen, und letztendlich scheiterte, weil sie entdeckt wurden“, sagt Hultquist, während er darüber nachdenkt, ob dieser jüngste Fall einen Wendepunkt darstellte.

„Ich denke, dieser Vorfall zeigt, dass es auch anders geht, und leider wird dieser andere Weg uns als Verteidiger wirklich herausfordern, denn das ist etwas, gegen das wir nicht unbedingt Unterschriften sammeln und nach dem wir massenhaft suchen können.“ ," er sagt. „Wir müssen wirklich hart arbeiten, um dieses Zeug zu finden.“

Er bietet auch eine andere Möglichkeit, die russisch-ukrainische Cybergeschichte zu betrachten: Weniger, dass Russlands Angriffe zahmer geworden sind, als vielmehr, dass die Verteidigung der Ukraine robuster geworden ist.

„Wenn die Netzwerke der Ukraine unter dem gleichen Druck stünden wie jetzt und mit den gleichen Abwehrmaßnahmen wie vor vielleicht einem Jahrzehnt, wäre die Situation ganz anders gewesen“, schließt Hultquist. „Sie haben mehr Erfahrung als alle anderen, wenn es um die Verteidigung gegen Cyberkrieg geht, und wir können viel von ihnen lernen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes