Sandworm küberründajad raketirünnakute ajal Ukraina elektrivõrgu alla

Venemaa kurikuulus Sandworm arenenud püsiva ohu (APT) rühmitus kasutas maavälise eluviisi (LotL) tehnikat, et 2022. aasta oktoobris Ukraina linnas elektrikatkestus esile kutsuda, mis langes kokku raketirünnakute tulviga.

Venemaa eritehnoloogiate peamise keskusega seotud Sandwormil on Ukrainas küberrünnakute ajalugu: BlackEnergy põhjustatud elektrikatkestused aastatel 2015 ja 2016 kurikuulus NotPetya klaasipuhasti, ja uuemad kampaaniad kattuvad Ukraina sõjaga. Mingil määral on sõda pakkunud suitsukatte oma hiljutistele, võrreldava suurusega küberrünnakutele.

Võtke üks näide 2022. aasta oktoobrist, mida on täna kirjeldatud Mandianti raport. Vihma ajal 84 tiibraketti ja 24 droonirünnakut 20 Ukraina linnas teenis Sandworm kaks kuud kestnud ettevalmistustööd ja põhjustas ootamatu elektrikatkestuse ühes mõjutatud linnas.

Erinevalt eelmistest Sandwormi võrgurünnakutest ei olnud see silmapaistev mõne täiustatud küberrelvaosa poolest. Selle asemel kasutas grupp ära LotL-i binaarfaile, et õõnestada Ukraina üha keerukamat kriitilise infrastruktuuri küberkaitset.

Mandiandi peaanalüütikule John Hultquistile loob see murettekitava pretsedendi. "Peame endalt esitama raskeid küsimusi selle kohta, kas suudame millegi sellise vastu kaitsta või mitte," ütleb ta.

Jälle üks Sandworm elektrikatkestus

Kuigi täpne sissetungimisviis on siiani teadmata, dateerisid teadlased Sandwormi esialgse rikkumise Ukraina alajaama vähemalt juunisse 2022.

Varsti pärast seda suutis grupp ületada lõhe IT- ja operatiivtehnoloogia (OT) võrkude vahel ning pääseda juurde hüperviisorile, mis majutab järelevalvekontrolli ja andmehõive (SCADA) halduseksemplari (kus tehase operaatorid haldavad oma masinaid ja protsesse).

Pärast kuni kolmekuulist juurdepääsu SCADA-le valis Sandworm oma hetke. Samal päeval (juhuslikult või muul viisil) kineetilise sõja rünnakuga samaaegselt kasutas see optilise ketta (ISO) pildifaili, et käivitada MicroSCADA juhtimissüsteemile omane binaarfail. Täpsed käsud on teadmata, kuid tõenäoliselt kasutas rühm nakatunud MicroSCADA serverit käskude saatmiseks alajaama kaugterminaliüksustele (RTU-dele), andes neile käsu avada kaitselülitid ja seeläbi toidet katkestada.

Kaks päeva pärast katkestust tuli Sandworm mõneks sekundiks tagasi, juurutades oma CaddyWiperi klaasipuhastite pahavara uue versiooni. See rünnak ei puudutanud tööstussüsteeme – ainult IT-võrku – ja võis olla mõeldud nende esimese rünnaku kohtuekspertiisi tõendite kustutamiseks või lihtsalt edasiste häirete tekitamiseks.

Venemaa vs Ukraina muutub ühtlasemaks

Sandwormi BlackEnergy ja NotPetya rünnakud olid küberjulgeoleku, Ukraina ja sõjaajaloo põhisündmused, mis mõjutasid nii seda, kuidas globaalsed jõud näevad kombineeritud kineetilist-kübersõda, kui ka seda, kuidas küberjulgeolekukaitsjad kaitsevad tööstussüsteeme.

Selle kõrgendatud teadlikkuse tulemusena on aastate jooksul sama grupi sarnased rünnakud mõnel määral langenud oma varasele standardile alla. Seal oli näiteks teine ​​Industroyeri rünnak, varsti pärast sissetungi – kuigi pahavara oli sama võimas, kui mitte isegi suurem, kui see, mis Ukraina võimu 2016. aastal võttis, ei toonud rünnak üldiselt tõsiseid tagajärgi.

"Võite vaadata selle näitleja ajalugu, kes üritas kasutada selliseid tööriistu nagu Industroyer ja lõpuks ebaõnnestus, sest need avastati," ütleb Hultquist, mõtiskledes samal ajal, kas see viimane juhtum oli pöördepunkt.

"Ma arvan, et see juhtum näitab, et on veel üks võimalus ja kahjuks paneb see teine ​​viis meid kui kaitsjaid tõsiselt proovile, sest see on midagi, mille vastu me ei saa tingimata allkirju kasutada ja massiliselt otsida. ," ta ütleb. "Peame selle kraami leidmiseks kõvasti tööd tegema."

Ta pakub ka teise võimaluse vaadata Vene-Ukraina küberajaloole: vähem seda, et Venemaa rünnakud on muutunud taltsutatumaks ja rohkem seda, et Ukraina kaitse on muutunud jõulisemaks.

"Kui Ukraina võrgud oleksid samasuguse surve all, nagu nad on praegu, samade kaitsemehhanismidega, mis olid paigas võib-olla kümme aastat tagasi, oleks olukord olnud palju erinev," järeldab Hultquist. "Nad on kogenumad kui keegi teine, kes kaitseb kübersõja eest, ja meil on neilt palju õppida."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes