Google Cloud destekli tehdit istihbaratı uzmanı Mandiant, geçen yılın sonlarında, Rusya’nın GRU istihbarat ve özel kuvvetler teşkilatı tarafından desteklenen Sandworm ileri kalıcı tehdit (APT) grubunun Ukrayna’ya yönelik bir siber saldırıda yeni teknikler uyguladığı yıkıcı bir olayın ayrıntılarını paylaştı. Güç altyapısı.
Sandworm, Ukrayna’nın kritik ulusal altyapısına (CNI) olan ilgisiyle tanınıyor; bu altyapı, yıllar boyunca sık sık saldırıyor ve ikinci yıl dönümüne yaklaşan savaş sırasında tacizlerini artırıyor.
Mandiant, endüstriyel kontrol sistemlerini (ICS) ve operasyonel teknolojiyi (OT) etkilemek için yeni tekniklerden yararlanan ve geçim kaynaklarını istismar eden “çok olaylı” Sandworm saldırısına tepkisi sırasında öğrendiklerini ilk kez açıkladı. -Ukrayna’daki CNI hedeflerine yönelik kitlesel Rus füze saldırılarıyla aynı zamana denk gelen plansız bir elektrik kesintisine neden olan trafo merkezi devre kesicilerini harekete geçirmek için kara teknikleri.
Mandiant baş analisti John Hultquist şunları söyledi: “Bu saldırının herhangi bir pratik, askeri zorunluluk için tasarlandığına dair çok fazla kanıt yok. Bu saldırılardan en çok zarar görenler genellikle siviller oluyor ve muhtemelen savaşın psikolojik yükünü daha da ağırlaştırmak için yapılıyor. Özellikle kış yaklaşırken Ukrayna’nın hâlâ karşı karşıya olduğu ciddi tehdidi gözden kaçırmamamız önemli.”
Şöyle ekledi: “Ukrayna’daki saldırıların tahminleri karşılamadığı yönünde bir yanlış algı oluştu. Gerçek şu ki, buna benzer yüzlerce senaryoyu önlemek için yorulmadan çalışan Ukraynalı savunmacıların ve ortaklarının olağanüstü çalışmaları nedeniyle saldırılar sınırlı kaldı. Bu olayın münferit olması onların olağanüstü çalışmalarının bir kanıtıdır.”
Mandiant’ın müfettişleri Ken Proska, John Wolfram, Jared Wilson, Dan Black, Keith Lunden, Daniel Kapellmann Zafra, Nathan Brubaker ve Tyler McLellan, saldırının Rusya’nın siber-fiziksel yeteneklerinde açık bir evrimi gösterdiğini söyledi ve Kremlin’in saldırı amaçlı OT cephaneliğinin giderek olgunlaşıyor.
“Bu, tehdit aktörünün dünya çapında farklı orijinal ekipman üreticilerinin (OEM’ler) kullandığı diğer OT sistemlerine karşı benzer yetenekleri hızla geliştirebileceğini gösteriyor” dediler.
Nasıl düştü
Mandiant’ın ekibi, söz konusu olayın Haziran 2022 civarında başladığını ve geçen yılın 10 ve 12 Ekim tarihlerinde son saldırılarla sonuçlandığını değerlendirdi. Sandworm’un, kurbanın trafo merkezi için denetleyici kontrol ve veri toplama (SCADA) örneğini barındıran bir hiper yönetici aracılığıyla kurbanın OT ortamına erişim sağladığı biliniyor.
Daha sonra, 10 Ekim’de Sandworm, yerel bir MicroSCADA ikili dosyasını yürütmek için bir optik disk (ISO) görüntüsü kullandı; bu muhtemelen trafo merkezlerini çökertmek için kötü niyetli kontrol komutlarını yürütme girişimiydi. ISO dosyasının içeriğindeki zaman damgalarına bağlı olarak, bu OT yetenekleri büyük ihtimalle Sandworm’un ilk erişim kazandığı andan saldırıyı gerçekleştirdiği zamana kadar geçen süre boyunca geliştirildi.
İki gün sonra Sandworm, daha fazla kesintiye neden olmak ve muhtemelen Mandiant’a göre adli artefaktları ortadan kaldırmak için kötü amaçlı yazılımın Caddywiper olarak bilinen güncellenmiş bir versiyonunu kullandı. Ancak bu dağıtım kurbanın BT ortamıyla sınırlıydı ve ne hipervizörü ne de SCADA örneğini etkiledi; bu biraz garip ve grup içindeki bazı iç sorunlara işaret edebilir.
Mandiant ekibi, meşru, doğal olarak oluşan araçlar ve bir sistemde çalıştırılabilir olan, bu durumda yerel MicroSCADA olan, arazide yaşayan ikili dosyaların (LoLBins) kullanımının Sandworm için önemli bir değişim olduğunu söyledi.
Sandworm, hafif ve genel araçlar kullanarak saldırısı için tüketmesi gereken zamanı ve kaynakları azaltmayı başardı, aynı zamanda savunucuların bunu tespit etmesini de zorlaştırdı çünkü LoLBin’ler meşru olduğundan, bunların mutlaka tespit edilmesi gerekmiyordu. doğru yere bakıyorum.
“Bu saldırı, MicroSCADA denetleyici kontrol sisteminden yararlanan Ukrayna’nın kritik altyapı ortamlarına yönelik acil bir tehdidi temsil ediyor. Sandworm’un küresel tehdit faaliyeti ve MicroSCADA ürünlerinin dünya çapındaki dağıtımı göz önüne alındığında, varlık sahiplerinin küresel olarak BT ve OT sistemlerine karşı taktiklerini, tekniklerini ve prosedürlerini azaltmak için harekete geçmeleri gerekiyor,” diye yazdı ekip.
“Ayrıca, faaliyete ilişkin analizimiz, Rusya’nın diğer SCADA sistemlerine ve MicroSCADA ve SCIL’in ötesindeki programlama dillerine karşı benzer yetenekler geliştirebileceğini gösteriyor.”
Mandiant, olayla ilgili daha ayrıntılı teknik ayrıntılar ve benzer etkinlikleri tespit edip azaltmaya yönelik öneriler yayınladı; bunlara buradan ulaşabilirsiniz.