Rusya’nın GRU askeri istihbarat teşkilatının Sandworm olarak bilinen kötü şöhretli birimi, siber saldırılarıyla elektrik kesintilerini tetikleyen ve geçtiğimiz on yılda yüz binlerce Ukraynalı sivilin ışıklarını bir değil iki kez kapatan tek hacker ekibi olmaya devam ediyor. Şimdi öyle görünüyor ki, Rusya’nın Ukrayna’daki geniş çaplı savaşının ortasında grup, siber savaş tarihinde şüpheli bir ayrım daha elde etti: Karartma saldırısıyla sivilleri hedef alırken, aynı zamanda füze saldırıları da şehirlerini vuruyor; benzeri görülmemiş ve acımasız. Dijital ve fiziksel savaşın birleşimi.
Siber güvenlik firması Mandiant bugün, Rusya’nın GRU casus teşkilatına ait Birim 74455’in siber güvenlik sektörü adı olan Sandworm’un, geçen yılın Ekim ayında Ukraynalı bir elektrik kuruluşunu hedef alan üçüncü başarılı elektrik şebekesi saldırısı gerçekleştirdiğini ve bilinmeyen sayıda Ukraynalı sivilin elektrik kesintisine neden olduğunu açıkladı. . Mandiant, bu durumda, daha önceki hackerların neden olduğu elektrik kesintilerinden farklı olarak, siber saldırının ülke genelinde Ukrayna’nın kritik altyapısını hedef alan bir dizi füze saldırısının başlangıcıyla aynı zamana denk geldiğini söylüyor; bu saldırılar arasında Sandworm’un elektrik kesintisini tetiklediği elektrik şebekesi ile aynı şehirdeki kurbanlar da var . Elektrik kesintisinden iki gün sonra, bilgisayar korsanları, belki de izinsiz girişleri analiz etmek için kullanılabilecek kanıtları yok etmek amacıyla, kamu hizmeti ağındaki bilgisayarların içeriğini silmek için verileri yok eden bir “silecek” kötü amaçlı yazılım parçası kullandılar.
Şubat 2022’de Rus işgalinin başlamasından bu yana dijital savunma ve ağ ihlallerinin araştırılması konusunda Ukrayna hükümetiyle yakın işbirliği içinde çalışan Mandiant, hedeflenen elektrik kuruluşunun veya bulunduğu şehrin adını vermeyi reddetti. Ortaya çıkan güç kaybının süresi veya etkilenen sivil sayısı gibi bilgiler de sunmuyor.
Mandiant, olayla ilgili raporunda, elektrik kesintisinden iki hafta önce Sandworm’un bilgisayar korsanlarının, tesisin elektrik trafo merkezlerindeki güç akışını denetleyen endüstriyel kontrol sistemi yazılımını ele geçirmek için gerekli tüm erişim ve yeteneklere zaten sahip olduklarını belirtiyor. . Ancak siber saldırıyı gerçekleştirmek için Rusya’nın füze saldırısını gerçekleştireceği güne kadar beklemiş görünüyor. Bu zamanlama tesadüfi olsa da, muhtemelen hava saldırıları öncesinde kaos yaratmak, onlara karşı savunmayı zorlaştırmak veya siviller üzerindeki psikolojik etkilerini artırmak için tasarlanmış koordineli siber ve fiziksel saldırıları akla getiriyor.
Yaklaşık on yıldır Sandworm’u takip eden ve 2014 yılında gruba isim veren Mandiant’ın tehdit istihbaratı başkanı John Hultquist, “Siber olay, fiziksel saldırının etkisini daha da artırıyor” diyor. “Onların gerçek emirlerini görmeden, bu bizim için gerçekten zor. Bunun kasıtlı olup olmadığına dair bir tespit yapılması gerekiyor. Bunun bir askeri aktör tarafından yapıldığını ve başka bir askeri saldırıyla örtüştüğünü söyleyeceğim. Eğer tesadüfse, son derece ilginç bir tesadüftü.”
Daha Çevik, Daha Gizli Sibersabotajcılar
Ukrayna hükümetinin siber güvenlik kurumu SSSCIP, WIRED’in talebi üzerine Mandiant’ın bulgularını tam olarak doğrulamayı reddetti, ancak bunlara itiraz etmedi. SSSCIP’in başkan yardımcısı Viktor Zhora, yaptığı açıklamada ajansın geçen yıl ihlale yanıt verdiğini ve “etkiyi en aza indirmek ve yerelleştirmek” için kurbanla birlikte çalıştığını yazdı. Neredeyse eş zamanlı elektrik kesintisi ve füze saldırılarını takip eden iki gün boyunca yapılan bir soruşturmada, teşkilatın bilgisayar korsanlarının kamu hizmetinin BT ağından endüstriyel kontrol sistemlerine bir “köprü” bulduğunu ve buraya, sistemi manipüle edebilecek kötü amaçlı yazılım yerleştirdiğini doğruladığını söylüyor. Kafes.
Mandiant’ın izinsiz girişe ilişkin daha ayrıntılı dökümü, GRU’nun şebeke hacklemesinin zaman içinde nasıl çok daha gizli ve çevik hale gelecek şekilde geliştiğini gösteriyor. Bu son karartma saldırısında grup, tespit edilmekten kaçınmak isteyen devlet destekli bilgisayar korsanları arasında daha yaygın hale gelen “toprakla geçinme” yaklaşımını kullandı. Kendi özel kötü amaçlı yazılımlarını dağıtmak yerine, makineden makineye yayılmak için ağda zaten mevcut olan meşru araçları kullandılar ve sonunda tesisin MicroSCADA olarak bilinen endüstriyel kontrol sistemi yazılımına erişimlerini kullanarak karartmaya neden olan otomatik bir komut dosyası çalıştırdılar. .
Sandworm’un 2017’de başkenti Kiev’in kuzeyindeki bir iletim istasyonunu vuran elektrik kesintisinde ise bilgisayar korsanları, devre kesicileri açmak için çeşitli protokoller üzerinden otomatik olarak komutlar gönderebilen, Crash Override veya Industroyer olarak bilinen özel yapım bir kötü amaçlı yazılım parçası kullandı. Ukrayna hükümetinin kesintiyi tetiklemeye yönelik başarısız bir girişim olarak tanımladığı 2022’deki bir başka Sandworm elektrik şebekesi saldırısında grup, bu kötü amaçlı yazılımın Industroyer2 olarak bilinen daha yeni bir sürümünü kullandı.