沙虫网络攻击者在导弹袭击期间摧毁了乌克兰电网

2022 年 XNUMX 月，俄罗斯臭名昭著的“沙虫”高级持续威胁 (APT) 组织使用离地生存 (LotL) 技术，导致乌克兰一座城市停电，同时发生了一连串导弹袭击。

Sandworm 与俄罗斯主要特种技术中心有联系，在乌克兰有一段传奇的网络攻击历史： 黑色能源引起的停电 2015年和2016年，臭名昭著的NotPetya雨刮器， 以及最近的活动 与乌克兰战争重叠。 在某种程度上，这场战争为其最近发生的规模相当的网络攻击提供了烟幕弹。

以 2022 年 XNUMX 月的一个例子为例，今天在 曼迪安特的报告。 一场倾盆大雨期间 84 枚巡航导弹和 24 次无人机攻击 Sandworm 在乌克兰 20 个城市进行了两个月的准备工作，并迫使其中一个受影响的城市意外停电。

与之前的沙虫网格攻击不同，这次攻击并不因使用某种先进的网络武器而引人注目。 相反，该组织利用 LotL 二进制文件破坏乌克兰日益复杂的关键基础设施网络防御。

对于 Mandiant 首席分析师 John Hultquist 来说，这开创了一个令人担忧的先例。 “我们必须问自己一些棘手的问题，看看我们是否能够防御这样的事情，”他说。

又一次沙虫停电

尽管确切的入侵方式仍不得而知，但研究人员将 Sandworm 首次入侵乌克兰变电站的时间确定为至少 2022 年 XNUMX 月。

不久之后，该团队就能够突破 IT 和运营技术 (OT) 网络之间的鸿沟，并访问托管监督控制和数据采集 (SCADA) 管理实例（工厂操作员在其中管理其机械和流程）的虚拟机管理程序。

经过长达三个月的 SCADA 访问后，Sandworm 抓住了时机。 与同一天的动能战猛攻同时发生（无论是巧合还是其他），它使用光盘 (ISO) 映像文件来执行 MicroSCADA 控制系统的本地二进制文件。 确切的命令尚不清楚，但该组织可能使用受感染的 MicroSCADA 服务器向变电站的远程终端单元 (RTU) 发送命令，指示它们打开断路器，从而切断电源。

中断两天后，Sandworm 又回来了几秒钟，部署了新版本的 CaddyWiper 擦除器恶意软件。 此次攻击并未触及工业系统，仅触及 IT 网络，其目的可能是消除第一次攻击的取证证据，或者只是造成进一步的破坏。

俄罗斯与乌克兰的战况变得更加势均力敌

Sandworm 的 BlackEnergy 和 NotPetya 攻击是网络安全、乌克兰和军事史上的重大事件，影响了全球大国如何看待组合动能网络战，以及网络安全捍卫者如何保护工业系统。

由于这种认识的提高，自此以后的几年里，同一组织发起的类似攻击在某种程度上已经低于其早期的标准。 例如，有 第二次 Industroyer 攻击入侵后不久，尽管该恶意软件的威力与 2016 年摧毁乌克兰政权的恶意软件同样强大，甚至更强大，但这次攻击总体上并未造成任何严重后果。

“你可以看看这个行为者试图利用 Industroyer 等工具并最终因被发现而失败的历史，”Hultquist 说道，同时思考这个最新案例是否是一个转折点。

“我认为这一事件表明还有另一种方式，不幸的是，另一种方式将真正挑战我们作为捍卫者，因为这是我们不一定能够使用签名来对抗和集体搜索的东西，“ 他说。 “我们必须非常努力才能找到这些东西。”

他还提供了另一种看待俄罗斯-乌克兰网络历史的方法：与其说俄罗斯的攻击变得更加温和，不如说乌克兰的防御变得更加强大。

“如果乌克兰的网络面临与现在相同的压力，并且拥有与十年前相同的防御措施，那么情况将会大不相同，”胡尔奎斯特总结道。 “他们比任何防御网络战的人都更有经验，我们可以向他们学习很多东西。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes