Kibernetski napadalci Sandworm so med raketnimi napadi uničili ukrajinsko električno omrežje

Zloglasna ruska skupina napredne trajne grožnje Sandworm (APT) je uporabila tehnike življenja zunaj zemlje (LotL), da je povzročila izpad električne energije v ukrajinskem mestu oktobra 2022, kar je sovpadalo s plazom raketnih napadov.

Sandworm, povezan z glavnim ruskim centrom za posebne tehnologije, ima bogato zgodovino kibernetskih napadov v Ukrajini: BlackEnergy povzročene zatemnitve leta 2015 in 2016 razvpiti brisalec NotPetya, in novejše akcije ki se prekriva z ukrajinsko vojno. Do neke mere je vojna zagotovila dimno zaveso za svoje novejše kibernetske napade primerljive velikosti.

Vzemimo en primer iz oktobra 2022, opisan danes v poročilo Mandianta. Med nalivom v 84 križarskih raket in 24 napadov brezpilotnih letal v 20 ukrajinskih mestih je Sandworm unovčil dvomesečne priprave in izsilil nepričakovan izpad električne energije v enem prizadetem mestu.

Za razliko od prejšnjih napadov Sandworm grid, ta ni bil opazen po kakšnem kosu naprednega kibernetskega orožja. Namesto tega je skupina izkoristila binarne datoteke LotL, da bi spodkopala ukrajinsko vse bolj sofisticirano kibernetsko obrambo kritične infrastrukture.

Za glavnega analitika Mandianta Johna Hultquista je to zaskrbljujoč precedens. "Zastaviti si bomo morali nekaj težkih vprašanj o tem, ali se lahko ubranimo pred nečim takim," pravi.

Še en izpad električne energije Sandworm

Čeprav natančna metoda vdora še vedno ni znana, so raziskovalci prvotni vdor Sandworma v ukrajinsko postajo datirali vsaj v junij 2022.

Kmalu zatem je skupina uspela preseči ločnico med omrežji IT in operativno tehnologijo (OT) ter dostopati do hipervizorja, ki gosti instanco upravljanja nadzornega nadzora in pridobivanja podatkov (SCADA) (kjer operaterji obratov upravljajo svoje stroje in procese).

Po do treh mesecih dostopa do SCADA je Sandworm izbral svoj trenutek. Ob sovpadanju (po naključju ali drugače) z napadom kinetičnega bojevanja istega dne je uporabil slikovno datoteko optičnega diska (ISO) za izvedbo binarne datoteke, ki je izvirna iz nadzornega sistema MicroSCADA. Natančni ukazi niso znani, vendar je skupina verjetno uporabila okuženi strežnik MicroSCADA za pošiljanje ukazov oddaljenim terminalskim enotam (RTU) postaje in jim naročila, naj odprejo odklopnike in s tem prekinejo napajanje.

Dva dni po izpadu se je Sandworm vrnil za nekaj sekund in uvedel novo različico zlonamerne programske opreme brisalcev CaddyWiper. Ta napad se ni dotaknil industrijskih sistemov – samo omrežja IT – in morda je bil namenjen brisanju forenzičnih dokazov o njihovem prvem napadu ali pa preprosto povzroči nadaljnje motnje.

Rusija proti Ukrajini postaja vse bolj izenačena

Napada BlackEnergy in NotPetya podjetja Sandworm sta bila prelomna dogodka v kibernetski varnosti, ukrajinski in vojaški zgodovini, ki sta vplivala na to, kako svetovne sile gledajo na kombinacijo kinetično-kibernetske vojne in na to, kako zagovorniki kibernetske varnosti ščitijo industrijske sisteme.

Zaradi te povečane ozaveščenosti so v letih od takrat podobni napadi iste skupine nekoliko zaostajali za zgodnjim standardom. Bilo je npr. drugi napad na Industroyer, nedolgo po invaziji — čeprav je bila zlonamerna programska oprema enako močna, če ne še večja, kot tista, ki je Ukrajini vzela moč leta 2016, napad na splošno ni povzročil resnih posledic.

»Lahko si ogledate zgodovino tega igralca, ki je poskušal uporabiti orodja, kot je Industroyer, in mu je nazadnje spodletelo, ker so bila odkrita,« pravi Hultquist, medtem ko razmišlja, ali je bil ta zadnji primer prelomnica.

»Mislim, da ta incident dokazuje, da obstaja še ena pot in na žalost bo ta druga pot resnično izziv za nas kot zagovornike, ker je to nekaj, proti čemur ne bomo nujno mogli uporabiti podpisov in množično iskati ," on reče. "Morali se bomo zelo potruditi, da bomo našli te stvari."

Ponuja tudi drugačen pogled na rusko-ukrajinsko kibernetsko zgodovino: manj, da so ruski napadi postali krotejši, bolj pa, da je ukrajinska obramba postala močnejša.

»Če bi bila ukrajinska omrežja pod enakim pritiskom, kot so zdaj, z enako obrambo, ki je bila vzpostavljena morda pred desetletjem, bi bila ta situacija precej drugačna,« zaključuje Hultquist. "So bolj izkušeni od vseh, ki se branijo pred kibernetsko vojno, in od njih se moramo veliko naučiti."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes