Il famigerato gruppo di minaccia Sandworm che opera dall'unità militare russa GRU non ha scrupoli a schernire i ricercatori quando scopre di essere osservato. Basta chiedere a Robert Lipovsky e ai suoi colleghi ricercatori di ESET, che hanno ricevuto il messaggio forte e chiaro quando hanno analizzato una delle nuove varianti di malware di Sandworm all'inizio di quest'anno: gli aggressori di Sandworm hanno mascherato il caricatore per una delle sue varianti di cancellazione dei dati come IDAPro inverso- strumento di ingegneria: lo stesso strumento utilizzato dai ricercatori per analizzare il malware degli aggressori.
Lipovsky, principale ricercatore di intelligence sulle minacce presso ESET, sapeva che non era una coincidenza. Molto probabilmente Sandworm stava sfacciatamente - e con sarcasmo - affermando che il gruppo sapeva che ESET era sulle sue tracce. "Non c'è motivo di utilizzare IDAPro" in un attacco a una sottostazione di ingegneria perché non è uno strumento che verrebbe utilizzato su quel sistema, spiega. “È abbastanza chiaro che gli aggressori sono pienamente consapevoli che siamo su di loro e stiamo bloccando le loro minacce. Forse ci stanno trollando, direi.
Non era l'unico messaggio che Sandworm sembrava inviare. Il gruppo ha anche abbandonato una versione contenente trojan del software di sicurezza di ESET nel prendere di mira le reti ucraine. "Stavano inviando un messaggio che sapevano che stiamo facendo il nostro lavoro proteggendo gli utenti in Ucraina", afferma Lipovsky.
Lipovsky faceva parte del team ESET che, insieme al team di risposta alle emergenze informatiche dell'Ucraina (CERT-UA) e Microsoft, ad aprile ha bloccato un attacco informatico di Sandworm a una società energetica in Ucraina utilizzando una nuova versione della sua rivoluzionaria arma malware Industroyer, Industrie2. Se non fosse stato sventato in tempo, l'attacco avrebbe fatto cadere diverse sottostazioni ad alta tensione da parte della rete elettrica nazionale.
Industroyer2 è una versione più personalizzata della prima iterazione (Industroyer) che Sandworm è stato rilasciato a dicembre 2016, interrompendo temporaneamente l'elettricità in alcune parti di Kiev, la capitale dell'Ucraina. Il tentativo di attacco di Industroyer2 di aprile è arrivato anche con strumenti distruttivi di pulizia del disco progettati per distruggere le workstation di ingegneria che eseguono Windows, Linux e Solaris, nel tentativo di contrastare le operazioni di ripristino quando si è verificato un blackout di alimentazione pianificato dagli aggressori. Industroyer è stato il primo malware conosciuto in grado di spegnere le luci e può comunicare con l'hardware ICS nelle sottostazioni elettriche, ad esempio interruttori automatici e relè di protezione, tramite i protocolli di rete industriali più diffusi.
Anche dopo lo sventato di alto profilo del tentativo di attacco di Industroyer2 all'Ucraina ad aprile, Sandworm continua a martellare incessantemente le difese informatiche dell'Ucraina. “Non è finita con Industroyer2. Continua ancora oggi", afferma Lipovsky, che condividerà con Anton Cherepanov, ricercatore di malware senior di ESET punto di vista dei loro addetti ai lavori di Sandworm e analizza il malware Industroyer2 del gruppo al Black Hat USA di Las Vegas il mese prossimo.
"Oggi ci sono più tergicristalli... e vengono utilizzate nuove catene di esecuzione", afferma.
La maggior parte degli attuali tentativi di attacco di Sandworm contro le infrastrutture dell'Ucraina ora trasportano armi per la pulizia del disco. "Abbiamo assistito a attività di interruzione [tentativi] a ritmi aumentati da febbraio", afferma, quando la Russia ha invaso per la prima volta l'Ucraina. Anche la raccolta di informazioni tramite attacchi di cyber-spionaggio è stata attiva, aggiunge, osservando che mentre Sandworm è il più importante attore di minacce russo che prende di mira l'Ucraina, non è l'unico.
Industroyer2 da vicino
Nel loro discorso di Black Hat, Lipovsky e Cherepanov hanno in programma di rivelare ulteriori dettagli tecnici su Sandworm che non sono stati ancora resi pubblici, oltre a condividere raccomandazioni per le utility per difendersi dagli attacchi del gruppo statale-nazione.
Lipovsky e il suo team descrivono Industroyer2 come una versione più semplice e snella della prima versione. A differenza del primo Industroyer, Industroyer2 parla di un solo protocollo OT, IEC 104. La versione originale utilizzava quattro diversi protocolli industriali. È probabilmente più efficiente e mirato in questo modo: "[IEC 104 è] uno dei protocolli [OT] più comuni e una cosa regionale" in Europa, osserva.
Le capacità di pulizia del disco con Industroyer2 eclissano quelle della prima versione. "Il primo era un framework con più componenti e chiamava anche moduli aggiuntivi che erano disponibili per la pulizia", afferma. Industroyer2 è più "autosufficiente" e offre wipers come eseguibili separati, dice, armi malware che sono state scoperte in altri recenti incidenti informatici.
Caddy Wiper è il wiper del disco principale utilizzato con Industroyer2. Sandworm ha indicato CaddyWiper contro una banca ucraina 24 ore prima che la Russia invadesse l'Ucraina a febbraio, contro un'agenzia governativa all'inizio di aprile e su alcune workstation Windows presso l'azienda energetica ucraina presa di mira. Sandworm ha anche installato programmi malware distruttivi ORCSHRED, SOLOSHRED e AWFULSHRED su workstation Linux e Solaris. E, come tocco finale, Sandworm aveva programmato l'esecuzione di CaddyWiper l'8 aprile come un modo per cancellare tutte le prove di Industroyer2, ma è stato bloccato.
È interessante notare che Sandworm in genere non cancella i controller di dominio, in modo da non interrompere il proprio punto d'appoggio nella rete della vittima. "Cancellano le normali workstation per interrompere le operazioni di un obiettivo, ma vogliono mantenere la loro presenza una volta che si sono infiltrati in un ambiente", afferma Lipovsky.
Anche con tutto ciò che ESET e altri ricercatori ora sanno su Industroyer2, non esiste ancora un quadro completo del vettore di attacco iniziale nell'attacco di Industroyer2 all'azienda energetica ucraina. CERT-UA ha affermato che l'attacco sembrava essere in due fasi, la prima probabilmente a febbraio di quest'anno e l'altra ad aprile, quando l'obiettivo era di scollegare le sottostazioni elettriche e sabotare le operazioni elettriche l'8 aprile.
Difesa contro l'industriale, Sandworm
Sebbene Industroyer2 sia stato addestrato in Ucraina, la sua comparsa ha scosso l'industria OT. “Industroyer è stato un campanello d'allarme per l'intera comunità ICS. Questa è una seria minaccia", afferma Lipovsky.
Il playbook per proteggere una rete OT da Industroyer e dai relativi attacchi non è molto diverso dagli altri. “È quello che abbiamo sempre detto: avere visibilità nell'ambiente; avere strumenti EDR, XDR; più livelli di sicurezza nello stack; e controlli di accesso", afferma Lipovsky.
Nella loro conferenza al Black Hat Lipovsky e Cherepanov condivideranno anche le regole EDR, i suggerimenti di configurazione per fermare il movimento laterale e le regole per gli strumenti Snort e YARA
Hanno anche in programma di ribadire che le workstation di progettazione nelle reti OT sono diventate obiettivi principali, quindi devono far parte dell'equazione della sicurezza. “Molto software SCADA e monitoraggio vengono eseguiti su normali workstation che eseguono Windows o Linux. Queste macchine dovrebbero avere le misure di sicurezza appropriate e le soluzioni multistrato", inclusa l'esecuzione di strumenti EDR o XDR, afferma.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
