Hiekkamato kyberhyökkääjät kaatoivat Ukrainan sähköverkkoa ohjusiskujen aikana

Venäjän surullisen kuuluisa Sandworm Advanced Persistent ohtu (APT) -ryhmä käytti maan ulkopuolella elävää (LotL) -tekniikkaa aiheuttaakseen sähkökatkoksen Ukrainan kaupungissa lokakuussa 2022, samaan aikaan kuin ohjusiskut.

Sandwormilla, joka on yhteydessä Venäjän erikoisteknologian pääkeskukseen, on tarinallinen historia kyberhyökkäyksistä Ukrainassa: BlackEnergyn aiheuttamat sähkökatkot vuosina 2015 ja 2016 pahamaineinen NotPetya-pyyhkimet, ja uudemmat kampanjat päällekkäin Ukrainan sodan kanssa. Sota on jossain määrin tarjonnut savuverhon uudemmille, verrattain kokoisille kyberhyökkäyksilleen.

Otetaan yksi esimerkki lokakuusta 2022, joka on kuvattu tänään Mandiantin raportti. Sateen aikana 84 risteilyohjusta ja 24 drone-hyökkäystä 20 Ukrainan kaupungissa Sandworm voitti rahat kahden kuukauden valmistelutyöstä ja pakotti odottamattoman sähkökatkoksen yhteen kärsineeseen kaupunkiin.

Toisin kuin aikaisemmissa Sandworm-verkkohyökkäyksissä, tämä ei ollut merkittävä edistyksellisillä kyberaseilla. Sen sijaan ryhmä käytti hyväkseen LotL-binaaritiedostoja heikentääkseen Ukrainan yhä kehittyneempää kriittisen infrastruktuurin kyberpuolustusta.

Mandiantin pääanalyytikko John Hultquistille se on huolestuttava ennakkotapaus. "Meidän on esitettävä itseltämme vaikeita kysymyksiä siitä, voimmeko puolustautua jotain tällaista vastaan", hän sanoo.

Jälleen yksi Sandworm-virtakatkos

Vaikka tarkkaa tunkeutumistapaa ei vielä tunneta, tutkijat ajoittivat Sandwormin alun Ukrainan sähköaseman rikkomisen ainakin kesäkuuhun 2022.

Pian sen jälkeen ryhmä pystyi rikkomaan IT- ja operatiivisen teknologian (OT) verkkojen välisen kuilun ja käyttämään hypervisoria, joka isännöi valvonta- ja tiedonkeruun (SCADA) hallinta-instanssia (jossa laitosoperaattorit hallitsevat koneitaan ja prosessejaan).

Kolmen kuukauden SCADA-käytön jälkeen Sandworm valitsi hetkensä. Samanaikaisesti (sattumalta tai muuten) kineettisen sodankäynnin hyökkäyksen kanssa samana päivänä, se käytti optisen levyn (ISO) kuvatiedostoa suorittamaan MicroSCADA-ohjausjärjestelmään kuuluvan binaarin. Tarkat komennot eivät ole tiedossa, mutta ryhmä käytti todennäköisesti tartunnan saanutta MicroSCADA-palvelinta komentojen lähettämiseen ala-aseman etäpääteyksiköille (RTU) ja käski niitä avaamaan katkaisijat ja katkaisemaan siten virran.

Kaksi päivää katkon jälkeen Sandworm palasi hetkeksi ja otti käyttöön uuden version CaddyWiper-pyyhkijän haittaohjelmastaan. Tämä hyökkäys ei koskenut teollisiin järjestelmiin - vain IT-verkkoon - ja sen tarkoituksena oli ehkä pyyhkiä rikostekniset todisteet heidän ensimmäisestä hyökkäyksestään tai yksinkertaisesti aiheuttaa lisää häiriöitä.

Venäjä vs. Ukraina on tulossa tasaisemmaksi

Sandwormin BlackEnergy- ja NotPetya-hyökkäykset olivat kyberturvallisuuden, Ukrainan ja sotahistorian ydintapahtumia, jotka vaikuttivat sekä siihen, miten globaalit voimat näkevät kineettisen ja kybersodan yhdistelmän, että siihen, kuinka kyberturvallisuuden puolustajat suojelevat teollisuusjärjestelmiä.

Tämän kohonneen tietoisuuden seurauksena saman ryhmän samanlaiset hyökkäykset ovat vuosien aikana jääneet jonkin verran alle sen varhaisen tason. Siellä oli mm. toinen Industroyer-hyökkäys, ei kauan hyökkäyksen jälkeen – vaikka haittaohjelma oli yhtä voimakas, ellei enemmänkin, kuin se, joka vei Ukrainan vallan vuonna 2016, hyökkäys ei kokonaisuutena aiheuttanut vakavia seurauksia.

"Voit tarkastella tämän näyttelijän historiaa, joka yritti hyödyntää työkaluja, kuten Industroyeria, ja lopulta epäonnistui, koska ne löydettiin", Hultquist sanoo pohtiessaan, oliko tämä viimeisin tapaus käännekohta.

"Uskon, että tämä tapaus osoittaa, että on olemassa toinen tapa, ja valitettavasti tuo toinen tapa haastaa meidät puolustajina, koska tämä on asia, jota vastaan ​​emme välttämättä pysty käyttämään allekirjoituksia ja etsimään massaa. ," hän sanoo. "Meidän on tehtävä todella paljon töitä löytääksemme tämän tavaran."

Hän tarjoaa myös toisen tavan tarkastella venäläis-ukrainalaista kyberhistoriaa: vähemmän Venäjän hyökkäykset ovat kesyttäneet ja Ukrainan puolustukset ovat vahvistuneet.

"Jos Ukrainan verkostot olisivat saman paineen alaisena kuin nyt, samoilla puolustuksilla, jotka olivat käytössä ehkä vuosikymmen sitten, tilanne olisi ollut paljon erilainen", Hultquist päättää. "He ovat kokeneempia kuin kukaan kybersotaa vastaan ​​puolustava, ja meillä on paljon opittavaa heiltä."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes