หนอนทรายไซเบอร์โจมตีระบบส่งไฟฟ้าของยูเครนล้มระหว่างการโจมตีด้วยขีปนาวุธ

กลุ่ม Sandworm Advanced Persistent Threatment (APT) อันโด่งดังของรัสเซียใช้เทคนิคการใช้ชีวิตนอกพื้นที่ (LotL) เพื่อเร่งให้เกิดไฟฟ้าดับในเมืองแห่งหนึ่งของยูเครนในเดือนตุลาคม พ.ศ. 2022 ซึ่งตรงกับการโจมตีด้วยขีปนาวุธ

Sandworm ซึ่งเชื่อมโยงกับศูนย์เทคโนโลยีพิเศษหลักของรัสเซีย มีประวัติการโจมตีทางไซเบอร์ในยูเครน: ไฟดับที่เกิดจากพลังงานสีดำ ในปี 2015 และ 2016 ที่ปัดน้ำฝน NotPetya ที่น่าอับอาย และแคมเปญล่าสุดเพิ่มเติม ทับซ้อนกับสงครามยูเครน สงครามได้ทำให้เกิดม่านควันสำหรับการโจมตีทางไซเบอร์ครั้งล่าสุดที่มีขนาดพอๆ กัน

ยกตัวอย่างหนึ่งรายการตั้งแต่เดือนตุลาคม 2022 ซึ่งอธิบายไว้ในวันนี้ใน รายงานโดย Mandiant. ในช่วงที่มีฝนตกหนักของ ขีปนาวุธร่อน 84 ลูก และการโจมตีด้วยโดรน 24 ครั้ง ในเมืองต่างๆ ของยูเครน 20 เมือง Sandworm ได้เงินจากการเตรียมการเป็นเวลาสองเดือน และส่งผลให้ไฟฟ้าดับอย่างไม่คาดคิดในเมืองหนึ่งที่ได้รับผลกระทบ

ไม่เหมือนกับการโจมตีแบบตารางของ Sandworm ก่อนหน้านี้ การโจมตีนี้ไม่มีความโดดเด่นในด้านอาวุธไซเบอร์ขั้นสูงบางชิ้น แต่กลุ่มใช้ประโยชน์จากไบนารี LotL เพื่อบ่อนทำลายการป้องกันทางไซเบอร์โครงสร้างพื้นฐานที่สำคัญและซับซ้อนมากขึ้นของยูเครน

สำหรับ John Hultquist หัวหน้านักวิเคราะห์ของ Mandiant สิ่งนี้ถือเป็นแบบอย่างที่น่ากังวล “เราจะต้องถามตัวเองด้วยคำถามยากๆ ว่าเราจะป้องกันสิ่งนี้ได้หรือไม่” เขากล่าว

ไฟฟ้าดับอีกครั้งของหนอนทราย

แม้ว่าวิธีการบุกรุกที่แน่นอนจะยังไม่ทราบแน่ชัด นักวิจัยระบุวันที่ที่ Sandworm ละเมิดสถานีย่อยยูเครนครั้งแรกจนถึงเดือนมิถุนายน 2022 เป็นอย่างน้อย

หลังจากนั้นไม่นาน กลุ่มก็สามารถฝ่าฝืนการแบ่งแยกระหว่างเครือข่ายไอทีและเทคโนโลยีการดำเนินงาน (OT) และเข้าถึงไฮเปอร์ไวเซอร์ที่โฮสต์อินสแตนซ์การจัดการการควบคุมดูแลและการเก็บข้อมูล (SCADA) (ที่ผู้ปฏิบัติงานในโรงงานจัดการเครื่องจักรและกระบวนการของตน)

หลังจากเข้าถึง SCADA ได้นานถึงสามเดือน Sandworm ก็เลือกช่วงเวลานั้น บังเอิญ (บังเอิญหรืออย่างอื่น) กับการโจมตีของสงครามจลน์ในวันเดียวกัน โดยใช้ไฟล์ภาพออปติคอลดิสก์ (ISO) เพื่อดำเนินการไบนารีเนทิฟกับระบบควบคุม MicroSCADA ไม่ทราบคำสั่งที่แม่นยำ แต่กลุ่มนี้น่าจะใช้เซิร์ฟเวอร์ MicroSCADA ที่ติดไวรัสเพื่อส่งคำสั่งไปยังหน่วยเทอร์มินัลระยะไกล (RTU) ของสถานีย่อย โดยสั่งให้เปิดเบรกเกอร์วงจรและตัดไฟฟ้า

สองวันหลังจากการหยุดทำงาน Sandworm ก็กลับมาอีกครั้งในไม่กี่วินาที โดยติดตั้งมัลแวร์ปัดน้ำฝน CaddyWiper เวอร์ชันใหม่ การโจมตีนี้ไม่ได้กระทบต่อระบบอุตสาหกรรม — เฉพาะเครือข่ายไอทีเท่านั้น — และอาจมีวัตถุประสงค์เพื่อล้างหลักฐานทางนิติเวชของการโจมตีครั้งแรก หรือเพียงทำให้เกิดการหยุดชะงักเพิ่มเติม

รัสเซียกับยูเครนกำลังมีความเท่าเทียมกันมากขึ้น

การโจมตี BlackEnergy และ NotPetya ของ Sandworm ถือเป็นเหตุการณ์สำคัญในประวัติศาสตร์ความมั่นคงปลอดภัยทางไซเบอร์ ยูเครน และการทหาร ซึ่งส่งผลกระทบต่อทั้งวิธีที่มหาอำนาจระดับโลกมองการผสมผสานระหว่างสงครามจลน์กับไซเบอร์ และวิธีที่ผู้ปกป้องความปลอดภัยทางไซเบอร์ปกป้องระบบอุตสาหกรรม

ผลจากความตระหนักรู้ที่เพิ่มมากขึ้นนี้ ในช่วงหลายปีที่ผ่านมา การโจมตีที่คล้ายกันโดยกลุ่มเดียวกันได้ลดระดับลงจากมาตรฐานเดิมบางประการ มีตัวอย่างเช่น การโจมตีในอุตสาหกรรมครั้งที่สองไม่นานหลังจากการบุกรุก แม้ว่ามัลแวร์จะมีพลังพอๆ กัน หรือมากกว่าที่ทำลายอำนาจของยูเครนในปี 2016 การโจมตีโดยรวมก็ล้มเหลวในการสร้างผลกระทบร้ายแรงใดๆ

“คุณสามารถดูประวัติของนักแสดงคนนี้ที่พยายามใช้ประโยชน์จากเครื่องมืออย่าง Industroyer และล้มเหลวในที่สุดเพราะพวกมันถูกค้นพบ” ฮัลท์ควิสต์กล่าว ขณะกำลังไตร่ตรองว่าคดีล่าสุดนี้เป็นจุดเปลี่ยนหรือไม่

“ผมคิดว่าเหตุการณ์นี้แสดงให้เห็นว่ามีวิธีอื่น และน่าเสียดายที่วิธีอื่นนั้นจะท้าทายเราในฐานะกองหลังจริงๆ เพราะนี่คือสิ่งที่เราไม่จำเป็นต้องใช้ลายเซ็นเพื่อต่อต้านและค้นหาผู้คนจำนวนมาก ," เขาพูดว่า. “เราจะต้องทำงานอย่างหนักเพื่อค้นหาสิ่งนี้”

นอกจากนี้ เขายังเสนออีกวิธีหนึ่งในการดูประวัติศาสตร์ไซเบอร์รัสเซีย-ยูเครน กล่าวคือ น้อยกว่าที่การโจมตีของรัสเซียกลายเป็นผู้ควบคุม และมากกว่านั้น การป้องกันของยูเครนแข็งแกร่งขึ้น

“หากเครือข่ายของยูเครนอยู่ภายใต้แรงกดดันแบบเดียวกับที่พวกเขาเป็นอยู่ในปัจจุบัน ด้วยการป้องกันแบบเดียวกับที่เคยใช้เมื่อประมาณสิบปีก่อน สถานการณ์นี้คงจะแตกต่างออกไปมาก” ฮัลท์ควิสต์สรุป “พวกเขามีประสบการณ์มากกว่าใครก็ตามในการป้องกันสงครามไซเบอร์ และเรามีหลายสิ่งที่ต้องเรียนรู้จากพวกเขา”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes