Кібератаки Sandworm вибили українську енергомережу під час ракетних ударів

Сумно відоме російське угруповання Advanced Persistent Threat (APT) Sandworm використовувало методи живих поза межами землі (LotL), щоб спровокувати відключення електроенергії в українському місті в жовтні 2022 року, що збіглося з серією ракетних ударів.

Компанія Sandworm, пов’язана з Головним центром спеціальних технологій Росії, має відому історію кібератак в Україні: Відключення електроенергії, спричинені BlackEnergy у 2015 та 2016 роках сумнозвісний склоочисник NotPetya, і останні кампанії збігається з війною в Україні. Певною мірою війна стала димовою завісою для недавніх кібератак такого ж масштабу.

Візьмемо один випадок із жовтня 2022 року, описаний сьогодні в репортаж Mandiant. Під час зливи 84 крилаті ракети та 24 атаки безпілотників у 20 українських містах Sandworm використав два місяці підготовки та спричинив несподіване відключення електроенергії в одному постраждалому місті.

На відміну від попередніх сіткових атак Sandworm, ця не була помітною якоюсь передовою кіберзброєю. Натомість група скористалася двійковими файлами LotL, щоб підірвати все більш досконалий кіберзахист критичної інфраструктури України.

На думку головного аналітика Mandiant Джона Халтквіста, це створює тривожний прецедент. «Нам доведеться поставити собі кілька важких запитань про те, чи можемо ми захиститися від чогось подібного», — каже він.

Ще одне відключення електроенергії Sandworm

Хоча точний спосіб вторгнення досі невідомий, дослідники датували перший вторгнення Sandworm на українську підстанцію принаймні червнем 2022 року.

Незабаром після цього група змогла подолати розрив між ІТ-мережами та мережами операційних технологій (OT) і отримати доступ до гіпервізора, на якому розміщено екземпляр керування диспетчерським контролем і збором даних (SCADA) (де оператори заводу керують своїм обладнанням і процесами).

Після трьох місяців доступу до SCADA Sandworm вибрав свій момент. Одночасно (випадково чи іншим чином) із натиском кінетичної війни того самого дня він використав файл образу оптичного диска (ISO) для виконання двійкового файлу, рідного для системи керування MicroSCADA. Точні команди невідомі, але група, ймовірно, використовувала заражений сервер MicroSCADA, щоб надсилати команди на віддалені термінальні пристрої (RTU) підстанції, вказуючи їм розімкнути автоматичні вимикачі та таким чином відключити електроенергію.

Через два дні після збою Sandworm повернувся на кілька секунд, розгорнувши нову версію свого зловмисного ПЗ CaddyWiper. Ця атака не торкнулася промислових систем — лише ІТ-мережа — і, можливо, мала на меті знищити судово-медичні докази першої атаки або просто спричинити подальші збої.

Росія проти України стає більш рівною

Атаки Sandworm на BlackEnergy та NotPetya стали основоположними подіями в кібербезпеці, українській та військовій історії, які вплинули як на те, як світові держави бачать поєднання кінетичної та кібервійни, так і на те, як захисники кібербезпеки захищають промислові системи.

У результаті цієї підвищеної обізнаності за минулі роки подібні атаки тієї самої групи дещо не відповідали раннім стандартам. Був, наприклад, друга атака Industroyer, незабаром після вторгнення — хоча зловмисне програмне забезпечення було настільки ж потужним, якщо не більшим, ніж те, що позбавило влади України в 2016 році, атака загалом не спричинила серйозних наслідків.

«Ви можете поглянути на історію того, як цей актор намагався використати такі інструменти, як Industroyer, і врешті зазнав невдачі, оскільки їх було виявлено», — каже Хултквіст, розмірковуючи над тим, чи став цей останній випадок поворотним моментом.

«Я думаю, що цей інцидент демонструє, що є інший спосіб, і, на жаль, цей інший спосіб дійсно кине виклик нам як захисникам, тому що це те, проти чого ми не обов’язково зможемо використовувати підписи та масово шукати ," він каже. «Нам доведеться дуже багато працювати, щоб знайти цей матеріал».

Він також пропонує інший спосіб поглянути на російсько-українську кіберісторію: не те, що атаки Росії стали приборканими, а більше те, що захист України став міцнішим.

«Якби українські мережі перебували під таким же тиском, як зараз, із тими самими засобами захисту, які були, можливо, десять років тому, ситуація була б значно іншою», — підсумовує Халтквіст. «Вони більш досвідчені, ніж будь-хто, хто захищається від кібервійни, і нам є чому в них повчитися».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes