Cyberattackare med sandmask ner i ukrainskt kraftnät under missilangrepp

Rysslands ökända grupp Sandworm Advanced persistent hot (APT) använde metoder för att leva utanför landet (LotL) för att utlösa ett strömavbrott i en ukrainsk stad i oktober 2022, vilket sammanföll med en störtflod av missilangrepp.

Sandworm, kopplad till Rysslands huvudcenter för specialteknologi, har en historisk historia av cyberattacker i Ukraina: BlackEnergy-inducerade strömavbrott 2015 och 2016, den ökända NotPetya torkaren, och nyare kampanjer överlappning med Ukrainakriget. Till viss del har kriget utgjort en rökridå för sina nyare cyberattacker av jämförbar storlek.

Ta en instans från oktober 2022, beskriven idag i en rapport av Mandiant. Under ett skyfall av 84 kryssningsmissiler och 24 drönareattacker i 20 ukrainska städer tjänade Sandworm på två månaders förberedelser och tvingade fram ett oväntat strömavbrott i en drabbad stad.

Till skillnad från tidigare Sandworm-rutnätsattacker, var den här inte känd för något avancerat cybervapen. Istället utnyttjade gruppen LotL-binärfiler för att undergräva Ukrainas allt mer sofistikerade cyberförsvar av kritisk infrastruktur.

För Mandiants chefanalytiker John Hultquist skapar det ett oroande prejudikat. "Vi kommer att behöva ställa oss några svåra frågor om huruvida vi kan försvara oss mot något sådant här," säger han.

Ännu ett strömavbrott för sandmasken

Även om den exakta metoden för intrång fortfarande är okänd, daterade forskare Sandworms första intrång i den ukrainska transformatorstationen till åtminstone juni 2022.

Strax efter kunde gruppen bryta klyftan mellan IT- och drifttekniknätverk (OT) och få tillgång till en hypervisor som var värd för en förvaltningsinstans för tillsynskontroll och datainsamling (SCADA) (där anläggningsoperatörer hanterar sina maskiner och processer).

Efter upp till tre månaders SCADA-åtkomst valde Sandworm sitt ögonblick. Sammanfallande (av en slump eller på annat sätt) med en anstormning av kinetisk krigföring samma dag, använde den en optisk skiva (ISO) bildfil för att exekvera en binär inbyggd till MicroSCADA-kontrollsystemet. De exakta kommandona är okända, men gruppen använde sannolikt en infekterad MicroSCADA-server för att skicka kommandon till transformatorstationens fjärrterminalenheter (RTU), och instruerade dem att öppna strömbrytare och därigenom bryta strömmen.

Två dagar efter avbrottet kom Sandworm tillbaka för sekunder och distribuerade en ny version av sin CaddyWiper-torkarprogramvara. Denna attack berörde inte industriella system – bara IT-nätverket – och kan ha varit avsedd att utplåna kriminaltekniska bevis för deras första attack, eller helt enkelt orsaka ytterligare avbrott.

Ryssland vs Ukraina blir jämnare

Sandworms BlackEnergy- och NotPetya-attacker var avgörande händelser i cybersäkerhet, ukrainsk och militär historia, som påverkade både hur globala makter ser på kombinationskinetisk-cyberkrigföring och hur cybersäkerhetsförsvarare skyddar industriella system.

Som ett resultat av denna ökade medvetenhet har liknande attacker från samma grupp under flera år sedan sjunkit långt från sin tidiga standard. Det fanns t.ex. den andra Industroyer-attacken, inte långt efter invasionen – även om skadlig programvara var lika kraftfull, om inte mer, än den som tog ner Ukrainas makt 2016, misslyckades attacken överlag att orsaka några allvarliga konsekvenser.

"Du kan titta på historien om den här skådespelaren som försöker utnyttja verktyg som Industroyer och till slut misslyckas för att de upptäcktes," säger Hultquist, medan han funderar på om det här senaste fallet var en vändpunkt.

"Jag tror att den här händelsen visar att det finns ett annat sätt, och tyvärr kommer det andra sättet att verkligen utmana oss som försvarare eftersom det här är något som vi inte nödvändigtvis kommer att kunna använda signaturer mot och söka efter i massor ," han säger. "Vi kommer att behöva arbeta riktigt hårt för att hitta det här."

Han erbjuder också ett annat sätt att se på den rysk-ukrainska cyberhistorien: mindre att Rysslands attacker har blivit tamare och mer att Ukrainas försvar har blivit mer robusta.

"Om Ukrainas nätverk varit under samma press som de är under nu, med samma försvar som fanns på plats för kanske ett decennium sedan, skulle den här situationen ha varit mycket annorlunda", avslutar Hultquist. "De är mer erfarna än någon annan som försvarar sig mot cyberkrig, och vi har mycket att lära av dem."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes