Rusya’nın kötü şöhretli Kum Solucanı gelişmiş kalıcı tehdit (APT) grubu, Ekim 2022’de Ukrayna’nın bir şehrinde bir füze saldırısı barajına denk gelen bir elektrik kesintisini hızlandırmak için arazide yaşama (LotL) tekniklerini kullandı.
Rusya’nın Özel Teknolojiler Ana Merkezi’ne bağlı olan Sandworm’un Ukrayna’daki siber saldırılarla ilgili hikayeli bir geçmişi var: 2015 ve 2016’da BlackEnergy kaynaklı elektrik kesintileri, kötü şöhretli NotPetya silici ve Ukrayna savaşıyla örtüşen daha yeni kampanyalar. Savaş, bir dereceye kadar, daha yakın tarihli, benzer büyüklükteki siber saldırılar için bir sis perdesi oluşturdu.
Bugün Mandiant’ın bir raporunda açıklanan Ekim 2022’den bir örneği ele alalım. Ukrayna’nın 20 şehrine yayılan 84 seyir füzesi ve 24 insansız hava aracı saldırısı sırasında Sandworm, iki aylık hazırlıktan para kazandı ve etkilenen şehirlerden birinde beklenmedik bir elektrik kesintisine neden oldu.
Önceki Sandworm ızgara saldırılarından farklı olarak bu saldırı, bazı gelişmiş siber silahlar açısından dikkate değer değildi. Bunun yerine grup, Ukrayna’nın giderek karmaşıklaşan kritik altyapı siber savunmasını baltalamak için LotL ikili dosyalarından yararlandı.
Mandiant’ın baş analisti John Hultquist’e göre bu durum endişe verici bir emsal teşkil ediyor. “Böyle bir şeye karşı savunma yapıp yapamayacağımız konusunda kendimize bazı zor sorular sormamız gerekecek” diyor.
Bir Kum Solucanı Elektrik Kesintisi Daha
Kesin izinsiz giriş yöntemi hala bilinmemekle birlikte, araştırmacılar Sandworm’un Ukrayna trafo merkezine ilk ihlalini en az Haziran 2022 olarak tarihlendirdiler.
Kısa bir süre sonra grup, BT ile operasyonel teknoloji (OT) ağları arasındaki ayrımı aşmayı başardı ve denetleyici kontrol ve veri toplama (SCADA) yönetim örneğini (tesis operatörlerinin makinelerini ve süreçlerini yönettiği yer) barındıran bir hipervizöre erişmeyi başardı.
Sandworm, üç aya kadar SCADA erişiminin ardından doğru anı seçti. Aynı gündeki bir kinetik savaş saldırısıyla (tesadüfen veya başka bir şekilde) çakışan bu sistem, MicroSCADA kontrol sistemine özgü bir ikili dosyayı yürütmek için bir optik disk (ISO) görüntü dosyası kullandı. Kesin komutlar bilinmiyor, ancak grup muhtemelen trafo merkezinin uzak terminal birimlerine (RTU’lar) komutlar göndermek için virüslü bir MicroSCADA sunucusu kullanmış ve onlara devre kesicileri açmaları ve böylece gücü kesmeleri talimatını vermiştir.
Kesintiden iki gün sonra Sandworm, CaddyWiper temizleme yazılımının yeni bir sürümünü dağıtarak saniyeler içinde geri geldi. Bu saldırı endüstriyel sistemlere değil, yalnızca BT ağına dokundu ve ilk saldırıya ilişkin adli kanıtları silmeyi veya yalnızca daha fazla kesintiye neden olmayı amaçlıyor olabilir.
Rusya-Ukrayna Daha Eşitleşiyor
Sandworm’un BlackEnergy ve NotPetya saldırıları siber güvenlik, Ukrayna ve askeri tarih açısından ufuk açıcı olaylardı; hem küresel güçlerin kinetik-siber savaş kombinasyonuna bakışını hem de siber güvenlik savunucularının endüstriyel sistemleri nasıl koruduğunu etkiledi.
Bu artan farkındalığın bir sonucu olarak, aynı grubun yıllar içinde yaptığı benzer saldırılar, ilk standartlarının oldukça gerisinde kaldı. Örneğin, işgalden kısa bir süre sonra ikinci Industroyer saldırısı gerçekleşti; her ne kadar kötü amaçlı yazılım, 2016’da Ukrayna’nın gücünü deviren saldırıyla aynı derecede güçlü olsa da, saldırı genel olarak herhangi bir ciddi sonuca yol açamadı.
Hultquist, bu son vakanın bir dönüm noktası olup olmadığını düşünürken, “Industroyer gibi araçlardan yararlanmaya çalışan ve keşfedildikleri için sonunda başarısız olan bu aktörün geçmişine bakabilirsiniz” diyor.
“Bence bu olay başka bir yol olduğunu gösteriyor ve ne yazık ki bu diğer yol savunmacılar olarak bizi gerçekten zorlayacak çünkü bu bizim mutlaka karşı imza kullanıp topluca arayamayacağımız bir şey. ,” diyor. “Bu şeyleri bulmak için gerçekten çok çalışmamız gerekecek.”
Aynı zamanda Rusya-Ukrayna siber tarihine bakmanın başka bir yolunu da sunuyor: Rusya’nın saldırıları daha az ehlileşti ve Ukrayna’nın savunması daha sağlam hale geldi.
Hultquist şu sonuca varıyor: “Ukrayna’nın ağları şu anki baskının aynısı altında olsaydı ve belki on yıl önce mevcut olan savunmaların aynısı olsaydı, bu durum çok daha farklı olurdu.” “Siber savaşa karşı savunma yapan herkesten daha deneyimliler ve onlardan öğrenecek çok şeyimiz var.”