Homokféreg kibertámadók rakétacsapások során lerohanták az ukrán elektromos hálózatot

A hírhedt orosz Sandworm Advanced Persistent Federális (APT) csoport a földön kívüli élet (LotL) technikákat használta, hogy 2022 októberében áramszünetet idézzen elő egy ukrán városban, ami egybeesett rakétacsapásokkal.

Az orosz Speciális Technológiák Főközpontjához kapcsolódó Sandworm történetét tekintve számos kibertámadás történt Ukrajnában: BlackEnergy okozta áramszünet 2015-ben és 2016-ban a hírhedt NotPetya ablaktörlő, és újabb kampányok átfedésben van az ukrajnai háborúval. A háború bizonyos mértékig füsthálót jelentett az újabb, hasonló méretű kibertámadásokhoz.

Vegyünk egy példát 2022 októberéből, amelyet ma írunk le a Mandiant jelentése. Egy felhőszakadás idején 84 cirkáló rakéta és 24 drón támadás 20 ukrán városban a Sandworm beváltotta a két hónapos felkészülést, és váratlan áramszünetet kényszerített ki az egyik érintett városban.

A korábbi Sandworm grid támadásokkal ellentétben ez nem volt figyelemre méltó a fejlett kiberfegyverek egy darabjáról. Ehelyett a csoport kihasználta a LotL binárisokat, hogy aláássák Ukrajna egyre kifinomultabb kritikus infrastruktúra kibervédelmét.

John Hultquist, a Mandiant vezető elemzője számára ez aggasztó precedenst teremt. „Nehéz kérdéseket kell feltennünk magunknak arról, hogy tudunk-e védekezni az ilyesmi ellen” – mondja.

Újabb Sandworm áramszünet

Bár a behatolás pontos módja még mindig ismeretlen, a kutatók legalább 2022 júniusára datálták Sandworm ukrán alállomás elleni kezdeti megsértését.

Nem sokkal ezután a csoport képes volt áttörni az IT- és az üzemeltetési technológiai (OT) hálózatok közötti szakadékot, és hozzáfért egy hipervizorhoz, amely egy felügyeleti ellenőrzési és adatgyűjtési (SCADA) felügyeleti példányt fogadott (ahol az üzemek üzemeltetői kezelik gépeiket és folyamataikat).

Három hónapig tartó SCADA hozzáférés után a Sandworm kiválasztotta a pillanatot. Egybeesve (véletlenül vagy más módon) ugyanazon a napon a kinetikus hadviselés rohamával, egy optikai lemezes (ISO) képfájlt használt a MicroSCADA vezérlőrendszerben natív bináris végrehajtásához. A pontos parancsok nem ismertek, de a csoport valószínűleg egy fertőzött MicroSCADA szervert használt, hogy parancsokat küldjön az alállomás távoli terminálegységeinek (RTU-knak), utasítva őket az áramkör megszakítók megszakítására és ezáltal az áramellátás megszakítására.

Két nappal a kimaradás után a Sandworm néhány másodpercre visszatért, és telepítette CaddyWiper ablaktörlő rosszindulatú programjának új verzióját. Ez a támadás nem érintette az ipari rendszereket – csak az informatikai hálózatot –, és valószínűleg az volt a célja, hogy eltörölje az első támadás törvényszéki bizonyítékait, vagy egyszerűen csak további fennakadást okozzon.

Oroszország vs. Ukrajna Egyenlőbbé válik

A Sandworm BlackEnergy és NotPetya támadásai a kiberbiztonság, az ukrán és a hadtörténelem meghatározó eseményei voltak, amelyek hatással voltak arra, hogy a globális hatalmak hogyan látják a kombinált kinetikus-kiberhadviselést, és hogyan védik a kiberbiztonság védelmezői az ipari rendszereket.

Ennek a felfokozott tudatosságnak köszönhetően az azóta eltelt évek során ugyanazon csoport hasonló támadásai bizonyos mértékben elmaradtak a korai színvonaltól. Ott volt pl. a második Industroyer támadás, nem sokkal az invázió után – bár a rosszindulatú program ugyanolyan erős volt, ha nem nagyobb, mint az, amely 2016-ban elvette Ukrajna hatalmát, a támadás összességében nem okozott komoly következményeket.

„Megtekintheti annak a színésznek a történetét, aki megpróbált kihasználni az olyan eszközöket, mint az Industroyer, és végül kudarcot vallott, mert felfedezték őket” – mondja Hultquist, miközben azon töpreng, vajon ez a legutóbbi eset fordulópont-e.

„Úgy gondolom, hogy ez az incidens azt bizonyítja, hogy van egy másik út is, és sajnos ez a másik út valóban kihívás elé állít bennünket, mint védőket, mert ez olyan dolog, ami ellen nem feltétlenül tudunk aláírásokat használni és tömegesen keresni. ," mondja. – Nagyon keményen kell dolgoznunk, hogy megtaláljuk ezt a cuccot.

Egy másik módot is kínál az orosz-ukrán kibertörténelem áttekintésére: kevésbé azt, hogy az orosz támadások megszelídültek, sokkal inkább azt, hogy Ukrajna védelme robusztusabbá vált.

„Ha Ukrajna hálózataira ugyanolyan nyomás nehezedne, mint most, ugyanazzal a védelemmel, amely talán egy évtizeddel ezelőtt is volt, a helyzet sokkal másabb lett volna” – összegzi Hultquist. "Tapasztaltabbak, mint bárki, aki védekezik a kiberháború ellen, és sokat kell tanulnunk tőlük."

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes