Sandorm-cyberangripere ned ukrainsk kraftnett under rakettangrep

Russlands beryktede Sandworm Advanced Persistent Trussel-gruppe (APT) brukte "live-off-the-land"-teknikker (LotL) for å fremskynde et strømbrudd i en ukrainsk by i oktober 2022, sammenfallende med en bølge av missilangrep.

Sandorm, knyttet til Russlands hovedsenter for spesialteknologi, har en historie med cyberangrep i Ukraina: BlackEnergy-indusert blackout i 2015 og 2016, den beryktede NotPetya-viskeren, og nyere kampanjer overlapper med Ukraina-krigen. Til en viss grad har krigen gitt et røykteppe for sine nyere, sammenlignelig størrelse cyberangrep.

Ta ett eksempel fra oktober 2022, beskrevet i dag i en rapport av Mandiant. Under et regnskyll på 84 kryssermissiler og 24 droneangrep over 20 ukrainske byer innkasserte Sandworm to måneders forberedelse og fremtvang et uventet strømbrudd i en berørt by.

I motsetning til tidligere Sandworm grid-angrep, var ikke denne kjent for noe avansert cybervåpen. I stedet utnyttet gruppen LotL-binærfiler for å undergrave Ukrainas stadig mer sofistikerte cyberforsvar av kritisk infrastruktur.

For Mandiant-sjefanalytiker John Hultquist skaper det en bekymringsfull presedens. "Vi er nødt til å stille oss selv noen tøffe spørsmål om hvorvidt vi kan forsvare oss mot noe slikt," sier han.

Nok et strømbrudd for sandorm

Selv om den nøyaktige metoden for inntrengning fortsatt er ukjent, daterte forskere Sandworms første brudd på den ukrainske transformatorstasjonen til minst juni 2022.

Like etter klarte gruppen å bryte skillet mellom IT- og operasjonsteknologinettverk (OT) og få tilgang til en hypervisor som var vert for en administrasjonsinstans for tilsynskontroll og datainnhenting (SCADA) (der anleggsoperatører administrerer maskineriet og prosessene deres).

Etter opptil tre måneder med SCADA-tilgang, valgte Sandworm sitt øyeblikk. Sammenfallende (tilfeldigvis eller på annen måte) med et angrep av kinetisk krigføring samme dag, brukte den en optisk plate (ISO) bildefil for å utføre en binær innfødt til MicroSCADA-kontrollsystemet. De nøyaktige kommandoene er ukjente, men gruppen brukte sannsynligvis en infisert MicroSCADA-server for å sende kommandoer til understasjonens eksterne terminalenheter (RTU), og instruerte dem om å åpne strømbrytere og dermed kutte strømmen.

To dager etter strømbruddet kom Sandworm tilbake i sekunder, og distribuerte en ny versjon av sin CaddyWiper wiper malware. Dette angrepet berørte ikke industrielle systemer - bare IT-nettverket - og kan ha vært ment å slette rettsmedisinske bevis for deres første angrep, eller rett og slett forårsake ytterligere forstyrrelser.

Russland vs Ukraina blir jevnere

Sandworms BlackEnergy- og NotPetya-angrep var avgjørende hendelser i cybersikkerhet, ukrainsk og militær historie, og påvirket både hvordan globale makter ser på kombinasjon av kinetisk-cyberkrigføring, og hvordan cybersikkerhetsforsvarere beskytter industrielle systemer.

Som et resultat av denne økte bevisstheten har lignende angrep fra den samme gruppen i mange år siden kommet langt under den tidlige standarden. Det var f.eks. det andre Industroyer-angrepet, ikke lenge etter invasjonen - selv om skadevaren var like kraftig, om ikke mer, enn den som tok ned Ukrainas makt i 2016, klarte ikke angrepet generelt å forårsake noen alvorlige konsekvenser.

"Du kan se på historien til denne skuespilleren som prøver å utnytte verktøy som Industroyer og til slutt mislykkes fordi de ble oppdaget," sier Hultquist, mens han lurer på om denne siste saken var et vendepunkt.

"Jeg tror at denne hendelsen viser at det er en annen måte, og dessverre vil den andre måten virkelig utfordre oss som forsvarere fordi dette er noe vi ikke nødvendigvis vil kunne bruke signaturer mot og søke etter i massevis ," han sier. "Vi må jobbe hardt for å finne disse tingene."

Han tilbyr også en annen måte å se på russisk-ukrainsk cyberhistorie: mindre at Russlands angrep har blitt tammere og mer at Ukrainas forsvar har blitt mer robust.

"Hvis Ukrainas nettverk var under det samme presset som de er under nå, med det samme forsvaret som var på plass for kanskje et tiår siden, ville denne situasjonen vært mye annerledes," konkluderer Hultquist. "De er mer erfarne enn noen som forsvarer seg mot nettkrig, og vi har mye å lære av dem."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes