A hírhedt Sandworm fenyegető csoport, amely az orosz katonai GRU egységből tevődik össze, nem rest kigúnyolni a kutatókat, amikor azt tapasztalja, hogy megfigyelik. Csak kérdezze meg Robert Lipovskyt és kutatótársait az ESET-nél, akik hangosan és világosan megkapták az üzenetet, amikor a Sandworm egyik újabb rosszindulatú programváltozatát boncolgatták az év elején: A Sandworm támadói a betöltőt az egyik adattörlő változathoz IDAPro fordított néven álcázták. mérnöki eszköz – ugyanaz az eszköz, amelyet a kutatók a támadók rosszindulatú programjainak elemzésére használtak.
Lipovsky, az ESET fő fenyegetések hírszerzési kutatója tudta, hogy ez nem véletlen. Sandworm nagy valószínűséggel pimaszul – és gúnyosan – kifejtette, hogy a csoport tudta, hogy az ESET a nyomában van. „Nincs ok az IDAPro használatára” egy mérnöki alállomás elleni támadásnál, mert ez nem olyan eszköz, amelyet azon a rendszeren használnának – magyarázza. „Meglehetősen egyértelmű, hogy a támadók teljesen tisztában vannak azzal, hogy rájuk törünk, és blokkoljuk a fenyegetéseiket. Talán trollkodnak minket, azt mondanám.
Nem ez volt az egyetlen üzenet, amit Sandworm küldött. A csoport az ESET biztonsági szoftverének egy trójai programját is elvetette az ukrán hálózatok megcélzása során. „Azt üzenték, hogy tudatában vannak annak, hogy munkánkat végezzük az ukrajnai felhasználók védelmében” – mondja Lipovsky.
Lipovsky tagja volt annak az ESET-csapatnak, amely az ukrán számítógépes vészhelyzeti reagálási csapattal (CERT-UA) és a Microsofttal együtt áprilisban blokkolta a Sandworm által egy ukrajnai energiavállalat elleni kibertámadást a játékot megváltoztató Industroyer malware fegyverének új verziójával. Iparos2. Ha nem hiúsították volna meg időben, a támadás több nagyfeszültségű alállomást is kiütött volna az ország elektromos hálózatának egy részéből.
Az Industroyer2 az első iteráció (Industroyer) egyénibb változata A Sandworm 2016 decemberében szabadult el, ideiglenesen kiiktatja az áramellátást Kijev, Ukrajna fővárosának egyes részein. Az Industroyer2 áprilisi támadási kísérlete szintén pusztító lemeztörlő eszközökkel érkezett, amelyek célja a Windows, Linux és Solaris rendszerű mérnöki munkaállomások megsemmisítése volt, ezzel próbálva meghiúsítani a helyreállítási műveleteket, amikor a támadók tervezett áramszünet beállt. Az Industroyer volt az első ismert rosszindulatú program, amely képes eloltani a lámpákat, és képes kommunikálni az elektromos alállomások ICS hardvereivel – például megszakítókkal és védőrelékkel – a népszerű ipari hálózati protokollokon keresztül.
Az Industroyer2 Ukrajna elleni támadási kísérletének nagy horderejű meghiúsítása után is, a Sandworm továbbra is könyörtelenül kalapálja Ukrajna kibervédelmét. „Az Industroyer2-vel nem ért véget. Ma is folytatódik” – mondja Lipovsky, aki az ESET vezető rosszindulatú programkutatójával, Anton Cherepanovval közösen nyilatkozik bennfentesek nézete a Sandworm-ot, és boncolgassa a csoport Industroyer2 rosszindulatú programját jövő hónapban a Black Hat USA-ban Las Vegasban.
„Ma több ablaktörlő van… és új végrehajtási láncokat használnak” – mondja.
A Sandworm által Ukrajna infrastruktúrája ellen irányuló jelenlegi támadási kísérletek többsége ma már lemeztörlő fegyvereket hordoz. „Február óta megnövekedett arányú üzemzavari tevékenységet [kísérleteket] láttunk” – mondja, amikor Oroszország először támadta meg Ukrajnát. A kiberkémtámadásokon keresztül történő Intel-gyűjtés is aktív volt – teszi hozzá, megjegyezve, hogy bár Sandworm a legjelentősebb Ukrajnát célzó orosz fenyegetettség, nem ez az egyetlen.
Industroyer2 közelről
Lipovszkij és Cserepanov Black Hat beszélgetésükben azt tervezik, hogy további technikai részleteket fednek fel a Sandwormról, amelyek még nem kerültek nyilvánosságra, valamint megosztanak ajánlásokat a nemzetállami csoport támadásaival szembeni védekezés érdekében.
Lipovsky és csapata az Industroyer2-t az első verzió egyszerűbb, áramvonalasabb változataként írja le. Az első Industroyerrel ellentétben az Industroyer2 csak egy OT protokollt, az IEC 104-et beszéli. Az eredeti verzió négy különböző ipari protokollt használt. Valószínűleg hatékonyabb és célzottabb így: „Az [IEC 104] az egyik legelterjedtebb [OT] protokoll és regionális dolog” Európában – jegyzi meg.
Az Industroyer2 lemeztörlési képességei felülmúlják az első verzióét. „Az első egy több komponensből álló keretrendszer volt, és további modulokat is hívott, amelyek ott voltak a törléshez” – mondja. Az Industroyer2 „önállóbb”, és az ablaktörlőket külön végrehajtható fájlokként kínálja – mondja – olyan rosszindulatú fegyvereket, amelyeket más közelmúltbeli kiberincidensek során fedeztek fel.
CaddyWiper az Industroyer2-vel használt fő lemeztörlő. A Sandworm egy ukrán bankra mutatott a CaddyWiperrel 24 órával azelőtt, hogy Oroszország februárban megtámadta Ukrajnát, április elején pedig egy kormányhivatalra, valamint a megcélzott ukrán energiacég egyes Windows munkaállomásaira. A Sandworm pusztító kártevő-programokat is telepített: ORCSHRED, SOLOSHRED és AWFULSHRED Linux és Solaris munkaállomásokon. Utolsó simításként a Sandworm április 8-ra ütemezte a CaddyWiper végrehajtását, hogy az Industroyer2 minden bizonyítékát eltüntesse, de blokkolták.
Érdekes módon a Sandworm általában nem törli a tartományvezérlőket, nehogy megzavarja saját lábát az áldozat hálózatában. „A rendszeres munkaállomásokat törlik, hogy megzavarják a célpont működését, de meg akarják őrizni jelenlétüket, ha már beszivárogtak egy környezetbe” – mondja Lipovsky.
Annak ellenére, hogy az ESET és más kutatók mindannyian tudnak az Industroyer2-ről, még mindig nincs teljes kép az ukrán energiacég elleni Industroyer2 támadás kezdeti támadási vektoráról. A CERT-UA szerint a támadás két szakaszban zajlott, az első valószínűleg ez év februárjában, a másik pedig áprilisban volt, amikor is az volt a cél, hogy április 8-án lekapcsolják az elektromos alállomásokat és szabotálja az áramellátást.
Védekezés az Industroyer, Sandworm ellen
Míg az Industroyer2-t Ukrajnáról képezték ki, megjelenése megrázta az OT-ipart. „Az Industroyer ébresztő volt az egész ICS közösség számára. Ez komoly fenyegetés” – mondja Lipovsky.
Az OT-hálózatok Industroyer és a kapcsolódó támadások elleni védelmének útmutatója nem sokban különbözik a többitől. „Mindig is ezt mondtuk: legyen látható a környezetbe; rendelkeznek EDR, XDR eszközökkel; több rétegű biztonság a veremben; és hozzáférés-szabályozás” – mondja Lipovsky.
A Black Hat előadásában Lipovsky és Cherepanov megosztja az EDR-szabályokat, az oldalirányú mozgás leállítására vonatkozó konfigurációs javaslatokat, valamint a Snort és a YARA eszközök szabályait.
Azt is tervezik, hogy megismétlik, hogy az OT-hálózatokban a mérnöki munkaállomások fő célpontokká váltak, ezért a biztonsági egyenlet részét kell képezniük. „Sok SCADA-szoftver és felügyelet történik a Windows vagy Linux rendszert futtató normál munkaállomásokon. Ezeknek a gépeknek rendelkezniük kell a megfelelő biztonsági intézkedésekkel és többrétegű megoldásokkal” – mondja az EDR vagy XDR eszközök futtatása.
