Attaccanti informatici dei vermi della sabbia abbattono la rete elettrica ucraina durante gli attacchi missilistici

Il famigerato gruppo russo Sandworm Advanced Persistent Threat (APT) ha utilizzato tecniche Living-off-the-land (LotL) per provocare un’interruzione di corrente in una città ucraina nell’ottobre 2022, in concomitanza con una raffica di attacchi missilistici.

Sandworm, collegato al Centro principale russo per le tecnologie speciali, ha una lunga storia di attacchi informatici in Ucraina: Blackout indotti da BlackEnergy nel 2015 e nel 2016, il famigerato tergicristallo NotPetya, e campagne più recenti coincidente con la guerra in Ucraina. In una certa misura, la guerra ha fornito una cortina di fumo per i suoi attacchi informatici più recenti, di dimensioni comparabili.

Prendiamo un esempio dell'ottobre 2022, descritto oggi in un rapporto di Mandiant. Durante un acquazzone di 84 missili da crociera e 24 attacchi di droni in 20 città ucraine, Sandworm ha guadagnato due mesi di preparazione e ha causato un'inaspettata interruzione di corrente in una delle città colpite.

A differenza dei precedenti attacchi alla griglia Sandworm, questo non si distingueva per alcune armi informatiche avanzate. Invece, il gruppo ha approfittato dei binari LotL per indebolire le sempre più sofisticate difese informatiche delle infrastrutture critiche dell’Ucraina.

Per John Hultquist, analista capo di Mandiant, si tratta di un precedente preoccupante. “Dovremo porci alcune domande difficili sulla possibilità o meno di difenderci da qualcosa del genere”, afferma.

Ancora un'altra interruzione di corrente dei vermi della sabbia

Sebbene il metodo esatto dell’intrusione sia ancora sconosciuto, i ricercatori hanno datato la violazione iniziale della sottostazione ucraina da parte di Sandworm almeno al giugno 2022.

Subito dopo, il gruppo è stato in grado di superare il divario tra le reti IT e di tecnologia operativa (OT) e accedere a un hypervisor che ospita un’istanza di gestione del controllo di supervisione e acquisizione dati (SCADA) (dove gli operatori dell’impianto gestiscono i propri macchinari e processi).

Dopo circa tre mesi di accesso a SCADA, Sandworm ha colto il suo momento. In concomitanza (per coincidenza o meno) con un assalto di guerra cinetica lo stesso giorno, ha utilizzato un file immagine ISO (disco ottico) per eseguire un file binario nativo del sistema di controllo MicroSCADA. I comandi precisi sono sconosciuti, ma il gruppo probabilmente ha utilizzato un server MicroSCADA infetto per inviare comandi alle unità terminali remote (RTU) della sottostazione, ordinando loro di aprire gli interruttori automatici e quindi interrompere l’alimentazione.

Due giorni dopo l'interruzione, Sandworm è tornato per qualche secondo, distribuendo una nuova versione del suo malware wiper CaddyWiper. Questo attacco non ha colpito i sistemi industriali, ma solo la rete IT, e potrebbe essere stato concepito per cancellare le prove forensi del primo attacco o semplicemente causare ulteriori disagi.

Russia-Ucraina sta diventando più equilibrata

Gli attacchi BlackEnergy e NotPetya di Sandworm sono stati eventi fondamentali nella storia della sicurezza informatica, ucraina e militare, influenzando sia il modo in cui le potenze globali vedono la combinazione di guerra cinetica-informatica, sia il modo in cui i difensori della sicurezza informatica proteggono i sistemi industriali.

Come risultato di questa accresciuta consapevolezza, negli anni successivi, attacchi simili da parte dello stesso gruppo sono rimasti in qualche modo al di sotto degli standard iniziali. C'era, ad esempio, il secondo attacco dell'Industroyer, non molto tempo dopo l’invasione – sebbene il malware fosse altrettanto potente, se non di più, di quello che ha rovesciato il potere dell’Ucraina nel 2016, l’attacco nel complesso non è riuscito a causare conseguenze gravi.

"Puoi guardare la storia di questo attore che ha cercato di sfruttare strumenti come Industroyer e alla fine ha fallito perché è stato scoperto", dice Hultquist, riflettendo se quest'ultimo caso sia stato un punto di svolta.

"Penso che questo incidente dimostri che esiste un altro modo e, sfortunatamente, quell'altro modo ci metterà davvero alla prova come difensori perché questo è qualcosa contro cui non saremo necessariamente in grado di utilizzare le firme e di ricercare in massa ," lui dice. "Dovremo lavorare davvero duramente per trovare questa roba."

Offre anche un altro modo di guardare alla storia informatica russo-ucraina: meno che gli attacchi della Russia sono diventati più docili e più che le difese dell’Ucraina sono diventate più robuste.

“Se le reti ucraine fossero sotto la stessa pressione di oggi, con le stesse difese che erano in atto forse dieci anni fa, questa situazione sarebbe stata molto diversa”, conclude Hultquist. “Hanno più esperienza di chiunque altro nella difesa dalla guerra informatica e abbiamo molto da imparare da loro”.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes