Nhóm mối đe dọa dai dẳng nâng cao (APT) khét tiếng Sandworm của Nga đã sử dụng các kỹ thuật sống ngoài đất liền (LotL) để gây ra tình trạng mất điện ở một thành phố của Ukraine vào tháng 2022 năm XNUMX, trùng với một loạt cuộc tấn công bằng tên lửa.
Sandworm, được liên kết với Trung tâm Công nghệ Đặc biệt Chính của Nga, có lịch sử lâu đời về các cuộc tấn công mạng ở Ukraine: Màu đenMất điện do năng lượng vào năm 2015 và 2016, chiếc cần gạt nước khét tiếng NotPetya, và các chiến dịch gần đây hơn chồng chéo với cuộc chiến Ukraine. Ở một mức độ nào đó, chiến tranh đã tạo ra một màn khói cho các cuộc tấn công mạng có quy mô tương đương gần đây hơn.
Lấy một ví dụ từ tháng 2022 năm XNUMX, được mô tả ngày hôm nay trong báo cáo của Mandiant. Trong một trận mưa như trút nước 84 tên lửa hành trình và 24 cuộc tấn công bằng máy bay không người lái trên khắp 20 thành phố của Ukraina, Sandworm đã kiếm được tiền sau hai tháng chuẩn bị và khiến một thành phố bị ảnh hưởng bị mất điện bất ngờ.
Không giống như các cuộc tấn công lưới Sandworm trước đây, cuộc tấn công này không gây chú ý đối với một số loại vũ khí mạng tiên tiến. Thay vào đó, nhóm này đã lợi dụng các tệp nhị phân LotL để phá hoại hệ thống phòng thủ mạng cơ sở hạ tầng quan trọng ngày càng tinh vi của Ukraine.
Đối với nhà phân tích trưởng John Hultquist của Mandiant, nó đặt ra một tiền lệ đáng lo ngại. Ông nói: “Chúng ta sẽ phải tự hỏi mình một số câu hỏi hóc búa về việc liệu chúng ta có thể phòng thủ trước những điều như thế này hay không”.
Lại một vụ mất điện khác của Sandworm
Mặc dù phương pháp xâm nhập chính xác vẫn chưa được biết nhưng các nhà nghiên cứu đã xác định thời điểm lần xâm nhập đầu tiên của Sandworm vào trạm biến áp ở Ukraine ít nhất là vào tháng 2022 năm XNUMX.
Ngay sau đó, nhóm này đã có thể vi phạm ranh giới giữa mạng CNTT và công nghệ vận hành (OT), đồng thời truy cập vào một trình ảo hóa lưu trữ phiên bản quản lý thu thập dữ liệu và điều khiển giám sát (SCADA) (nơi người vận hành nhà máy quản lý máy móc và quy trình của họ).
Sau tối đa ba tháng truy cập SCADA, Sandworm đã chọn được thời điểm. Trùng hợp (trùng hợp hay không) với sự tấn công dữ dội của chiến tranh động lực vào cùng ngày, nó đã sử dụng tệp hình ảnh đĩa quang (ISO) để thực thi tệp nhị phân gốc của hệ thống điều khiển MicroSCADA. Các lệnh chính xác vẫn chưa được xác định, nhưng nhóm này có thể đã sử dụng máy chủ MicroSCADA bị nhiễm virus để gửi lệnh đến các thiết bị đầu cuối từ xa (RTU) của trạm biến áp, hướng dẫn chúng mở cầu dao và từ đó cắt điện.
Hai ngày sau khi ngừng hoạt động, Sandworm đã quay trở lại trong vài giây và triển khai phiên bản mới của phần mềm độc hại cần gạt nước CaddyWiper. Cuộc tấn công này không chạm tới các hệ thống công nghiệp - chỉ mạng CNTT - và có thể nhằm mục đích xóa sạch bằng chứng pháp lý về cuộc tấn công đầu tiên của chúng hoặc đơn giản là gây ra sự gián đoạn hơn nữa.
Nga vs Ukraine đang trở nên cân bằng hơn
Các cuộc tấn công BlackEnergy và NotPetya của Sandworm là những sự kiện quan trọng trong lịch sử an ninh mạng, Ukraine và quân sự, ảnh hưởng đến cả cách các cường quốc toàn cầu nhìn nhận chiến tranh mạng động học kết hợp và cách những người bảo vệ an ninh mạng bảo vệ các hệ thống công nghiệp.
Do nhận thức được nâng cao này, trong nhiều năm kể từ đó, các cuộc tấn công tương tự của cùng một nhóm đã không còn đạt tiêu chuẩn ban đầu nữa. Ví dụ, đã có cuộc tấn công công nghiệp lần thứ hai, không lâu sau cuộc xâm lược - mặc dù phần mềm độc hại có sức mạnh tương đương, nếu không muốn nói là mạnh hơn phần mềm đã làm sụp đổ quyền lực của Ukraine vào năm 2016, nhưng nhìn chung cuộc tấn công không gây ra bất kỳ hậu quả nghiêm trọng nào.
Hultquist nói: “Bạn có thể nhìn lại lịch sử của diễn viên này khi cố gắng tận dụng các công cụ như Industroyer và cuối cùng thất bại vì chúng bị phát hiện”.
“Tôi nghĩ rằng vụ việc này chứng tỏ rằng có một cách khác, và thật không may, cách khác đó sẽ thực sự thách thức chúng tôi với tư cách là những người bảo vệ bởi vì đây là điều mà chúng tôi không nhất thiết có thể sử dụng chữ ký chống lại và tìm kiếm hàng loạt ," anh ta nói. “Chúng ta sẽ phải làm việc rất chăm chỉ để tìm ra thứ này.”
Ông cũng đưa ra một cách khác để nhìn vào lịch sử mạng Nga-Ukraina: các cuộc tấn công của Nga ít trở nên thuần hóa hơn và nhiều khả năng phòng thủ của Ukraine đã trở nên mạnh mẽ hơn.
Hultquist kết luận: “Nếu các mạng lưới của Ukraine chịu áp lực tương tự như hiện tại, với cùng hệ thống phòng thủ như cách đây một thập kỷ, thì tình hình đã khác nhiều”. “Họ có nhiều kinh nghiệm hơn bất kỳ ai bảo vệ chống lại chiến tranh mạng và chúng tôi có rất nhiều điều để học hỏi từ họ”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 20
- 2015
- 2016
- 2022
- 24
- 7
- a
- Có khả năng
- Giới thiệu
- truy cập
- mua lại
- ngang qua
- tiên tiến
- Lợi thế
- bị ảnh hưởng
- ảnh hưởng đến
- Sau
- chống lại
- cách đây
- Ngoài ra
- an
- phân tích
- và
- Một
- bất kì
- bất kỳ ai
- APT
- LÀ
- AS
- xin
- At
- tấn công
- Các cuộc tấn công
- nhận thức
- trở lại
- đập ngăn nước
- BE
- bởi vì
- trở nên
- trở thành
- được
- giữa
- cả hai
- vi phạm
- nhưng
- by
- đến
- CAN
- trường hợp
- Nguyên nhân
- Trung tâm
- thách thức
- chánh
- Các thành phố
- City
- kết hợp
- kết luận
- Hậu quả
- điều khiển
- quan trọng
- Cơ sở hạ tầng quan trọng
- hành trình
- Cắt
- không gian mạng
- Tấn công mạng
- An ninh mạng
- dữ liệu
- ngày
- ngày
- Ngày
- thập kỷ
- Hậu vệ
- Bảo vệ
- chứng minh
- triển khai
- mô tả
- ĐÃ LÀM
- khác nhau
- phát hiện
- Gián đoạn
- phân chia
- xuống
- Drone
- suốt trong
- Đầu
- như nhau
- sự kiện
- bằng chứng
- ví dụ
- thi hành
- kinh nghiệm
- mức độ
- thất bại
- không
- Rơi
- Tập tin
- Tìm kiếm
- Tên
- Trong
- Pháp y
- từ
- xa hơn
- Toàn cầu
- đi
- lưới
- Nhóm
- Cứng
- Có
- he
- nâng cao
- lịch sử
- lưu trữ
- Độ đáng tin của
- HTTPS
- i
- if
- hình ảnh
- in
- sự cố
- lên
- công nghiệp
- ô nhục
- Cơ sở hạ tầng
- ban đầu
- ví dụ
- thay vì
- dự định
- cuộc xâm lăng
- ISO
- IT
- ITS
- nhà vệ sinh
- jpg
- tháng sáu
- mới nhất
- LEARN
- ít nhất
- ít
- Tỉ lệ đòn bẩy
- Lượt thích
- Có khả năng
- liên kết
- dài
- Xem
- Rất nhiều
- máy móc thiết bị
- Chủ yếu
- phần mềm độc hại
- quản lý
- quản lý
- Có thể..
- có lẽ
- phương pháp
- Quân đội
- tên lửa
- thời điểm
- tháng
- chi tiết
- nhiều
- tự nhiên
- nhất thiết
- mạng
- mạng
- Mới
- Nổi bật
- tại
- Tháng Mười
- of
- Cung cấp
- on
- ONE
- có thể
- tấn công dữ dội
- mở
- hoạt động
- khai thác
- or
- Nền tảng khác
- nếu không thì
- mình
- mất điện
- tổng thể
- đã chọn
- mảnh
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- quyền lực
- Mạng lưới điện
- mạnh mẽ
- quyền hạn
- Tiền lệ
- cần
- chuẩn bị
- áp lực
- trước
- Quy trình
- bảo vệ
- cung cấp
- Câu hỏi
- RE
- có thật không
- gần đây
- xa
- báo cáo
- nhà nghiên cứu
- kết quả
- mạnh mẽ
- Nga
- s
- tương tự
- nói
- Tìm kiếm
- Thứ hai
- giây
- gửi
- nghiêm trọng
- máy chủ
- bộ
- ngắn
- Chữ ký
- tương tự
- đơn giản
- kể từ khi
- tình hình
- cỡ
- So
- một số
- một cái gì đó
- tinh vi
- đặc biệt
- Tiêu chuẩn
- Vẫn còn
- Đình công
- hệ thống
- hệ thống
- kỹ thuật
- Công nghệ
- Công nghệ
- Thiết bị đầu cuối
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- Đó
- bằng cách ấy
- họ
- nghĩ
- điều này
- Tuy nhiên?
- mối đe dọa
- số ba
- đến
- bây giờ
- mất
- công cụ
- chạm
- dai
- cố gắng
- Quay
- bước ngoặt
- hai
- Ukraina
- chiến tranh ukraine
- Tiếng Ukraina
- Cuối cùng
- Dưới
- Phá hoại
- Bất ngờ
- không may
- các đơn vị
- không xác định
- us
- sử dụng
- đã sử dụng
- phiên bản
- Xem
- vs
- chiến tranh
- là
- không phải
- Đường..
- cách
- we
- là
- liệu
- cái nào
- trong khi
- lau
- với
- Công việc
- đáng lo ngại
- sẽ
- năm
- Bạn
- zephyrnet
