Mandiant’a göre, 2022’nin sonlarında Ukrayna elektrik şebekesinin bazı bölümlerinin kesintiye uğramasına neden olan siber saldırının arkasında Rusya destekli ATP grubu Sandworm var.
Kum Solucanı Hakkında
“Sandworm, en az 2009 yılından bu yana Rusya Ana İstihbarat Müdürlüğü’ne (GRU) destek amacıyla siber operasyonlar yürüten bir tehdit aktörüdür.
Esas olarak Ukrayna’daki varlıkları hedef alan siber saldırılar gerçekleştirmeye odaklanmış olsalar da (örneğin, disk silecekleriyle), yıllar boyunca Avrupa Birliği hükümet kuruluşları, NATO ve diğerlerine yönelik siber casusluk kampanyaları da yürütüyorlar.
Mandiant tarafından açıklanan bu özel “çok olaylı siber saldırıda”, OT sistemlerini hedef almak ve Ukrayna’nın kritik altyapısına yapılan füze saldırılarıyla eş zamanlı olarak meydana gelen bir elektrik kesintisini tetiklemek için karada yaşamak (LotL) tekniklerini kullandılar.
Ukrayna elektrik şebekesi bozuldu
Araştırmacılar, hedef kuruluşun BT ortamına ilişkin ilk vektörü tanımlayamasa da, izinsiz girişin Haziran 2022 civarında başladığına inanıyorlar.
“Sandworm, kurbanın trafo merkezi ortamı için denetleyici kontrol ve veri toplama (SCADA) yönetim örneğini barındıran bir hipervizör aracılığıyla OT ortamına erişim sağladı. Yanal hareket kanıtlarına göre saldırganın SCADA sistemine üç aya kadar erişim hakkı olduğu düşünülüyor” dedi.
10 Ekim’de Sandworm bir optik disk görüntüsü kullandı (a.iso) kontrol komutları trafo merkezlerini kapatan ve planlanmamış bir elektrik kesintisine neden olan yerel bir MicroSCADA ikili dosyasını çalıştırmak için.
Yıkıcı fazla mesai olayının yürütme zinciri. (Kaynak: Mandiant)
İki gün sonra Sandworm, BT ortamında daha fazla kesintiye neden olmak ve adli delilleri ortadan kaldırmak için CaddyWiper’ın yeni bir versiyonunu devreye aldı. Silecek, hipervizörü veya SCADA sanal makinesini etkilemedi.
Taktiklerde değişiklik
Nisan 2022’de Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), ESET ve Microsoft güvenlik uzmanlarının yardımıyla Sandworm’un Ukraynalı bir enerji sağlayıcısına yönelik siber saldırısını önlemeyi başardı.
Bu sefer grup başarılı oldu.
Mandiant araştırmacıları, Sandworm’un “yıkıcı yeteneği potansiyel olarak OT olayından üç hafta önce geliştirdiğini” ve görünüşe göre bunu Ukrayna’nın çeşitli şehirlerindeki kritik altyapılara yapılan füze saldırıları sırasında konuşlandırmayı beklediğini belirtti.
“Sandworm’un bir OT ortamını bozmak için yerel bir Living off the Land ikili programını (LotLBin) kullanması, tekniklerde önemli bir değişim olduğunu gösteriyor. Önceki OT olaylarında gözlemlenenlerden daha hafif ve genel araçlar kullanan aktör, muhtemelen siber fiziksel saldırı gerçekleştirmek için gereken zamanı ve kaynakları azalttı” diye eklediler.
“Mandiant ilk saldırı noktasını belirleyemese de analizimiz bu saldırının OT bileşeninin iki ay gibi kısa bir sürede geliştirilmiş olabileceğini gösteriyor. Bu, tehdit aktörünün dünya genelinde kullanılan farklı orijinal ekipman üreticilerinin (OEM’ler) diğer OT sistemlerine karşı benzer yetenekleri hızla geliştirme yeteneğine sahip olduğunu gösteriyor.”