Araştırmacılar, Mart 2024’te Sandworm grubu tarafından Ukrayna’daki kritik altyapıyı hedef alan bir siber saldırı tespit etti. Saldırının amacı, on bölgedeki enerji, su ve ısı tedarikçilerinin bilgi ve iletişim sistemlerini (ICS) bozmaktı.
Saldırganlar, daha önce bilinen QUEUESEED arka kapısına ek olarak, LOADGRIP kötü amaçlı yazılımını ve QUEUESEED’in BIASBOAT adlı Linux versiyonunu da içeren yeni bir araç seti kullandı. Bu araç, güvenliği ihlal edilmiş bir makinenin benzersiz tanımlayıcısını kullanan, sunucuya özel şifrelenmiş bir dosyaydı.
Kötü amaçlı yazılım, muhtemelen özel yerli yazılım aracılığıyla endüstriyel otomasyon süreçlerini (ASUTP) yöneten Linux sistemlerini hedef aldı.
Saldırganların, güvenlik açıkları içeren ele geçirilmiş Yazılım Tanımlı Radyo (SDR) cihazları aracılığıyla veya kuruluşun Endüstriyel Kontrol Sistemlerini (ICS) korumak için teknik ayrıcalıklara sahip tedarikçi çalışanlarının meşru erişimi yoluyla ilk erişim elde ettiği en az üç tedarik zincirinde ihlaller tespit edildi.
Saldırganlar, bu erişim noktalarından yararlanmak için WEEVELY web kabukları ve REGEORG gibi kötü amaçlı araçlar kullandı. Kurumsal ağlarda yanal hareket ve siber saldırılar başlatmak için NEO tünelleri ve PIVOTNACCI.
CERT-UA, 7-15 Mart 2024 tarihleri arasında Ukrayna’daki kritik altyapı tesislerini hedef alan bir siber saldırı kampanyasını tespit etti ve yanıt verdi.
Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın
Rus Hackerlar ve Sabotaj Saldırıları
Saldırganlar, ilk erişimi tehlikeye atılmış tedarik zincirleri üzerinden elde etti ve ağ içinde yanal hareket etmek için segmentasyon eksikliğinden yararlandı.
SDELETE kullanarak su tedarik tesisi saldırılarından sorumlu olan UAC-0133’e (Sandworm/APT44’ün bir alt kümesi) bağlı olan QUEUESEED ve GOSSIPFLOW kötü amaçlı yazılımlarını Windows makinelerini hedef alarak dağıttılar ve APT gruplarının oluşturduğu süregelen tehdidi ve uygun segmentasyonun önemini vurguladılar. güvenlik uygulamaları.
Ukrayna’nın enerji, su ve ısı tedarikçilerini hedef alan kritik altyapı saldırı kampanyası iki temel zayıflıktan yararlandı.
İlk olarak, zayıf bölümleme uygulamaları, tedarikçi yazılım tanımlı radyoların (SDR’ler), internet ve dahili erişim kontrollerini atlayarak kuruluşların ICS ağlarına doğrudan erişmesine olanak tanıdı.
İkincisi, tedarikçilerin gevşek güvenlik uygulamaları, sağladıkları yazılımlardaki uzaktan kod yürütme (RCE) kusurları gibi güvenlik açıklarını istismara açık bıraktı.
CERT-UA, bu saldırıların ICS sistemlerini tehlikeye atmayı ve 2024 baharı için planlanan fiziksel saldırıların etkisini artırmayı amaçladığından şüpheleniyor.
Bir C++ kötü amaçlı yazılımı olan QUEUESEED, sistem bilgilerini (işletim sistemi, dil, kullanıcı adı) toplar ve kontrol sunucusundan komutları çalıştırır.
Kötü amaçlı yazılım, dosyaları okuyabilir ve yazabilir, komutları çalıştırabilir, yapılandırmasını güncelleyebilir ve kendi kendini yok edebilir.
Kontrol sunucusuyla iletişim, şifrelenmiş verilerle (JSON formatı, RSA+AES) HTTPS’yi kullanır. Kontrol sunucusu URL’si de dahil olmak üzere arka kapının yapılandırma dosyası, statik bir anahtarla AES ile şifrelenmiştir.
Windows kayıt defterinde, anahtar olarak %MACHINEGUID% değeri kullanılarak AES ile şifrelenmiş, komutlar ve sonuçlar için dahili bir kuyruk bulunur. Kalıcı, zamanlanmış bir görev oluşturan bir damlalık veya “Çalıştır” anahtarı altında bir kayıt defteri girişi aracılığıyla elde edilir.
Bir bilgisayar korsanlığı grubu, Linux sistemlerini tehlikeye atmak için kötü amaçlı araçlar kullanıyor.
C tabanlı bir ELF programı olan BIASBOAT, başka bir C tabanlı ELF enjektörü olan LOADGRIP’i kullanarak yükleri enjekte eden QUEUESEED’in bir Linux çeşididir.
LOADGRIP, statik bir sabite ve makine kimliğine dayalı bir anahtar kullanarak yüklerin şifresini çözer.
Aynı zamanda, bir Go programı olan GOSSIPFLOW, tüneller oluşturur ve SOCKS5 proxy’si olarak işlev görür ve ayrıca CHISEL, LIBPROCESSHIDER, JUICYPOTATONG ve ROTTENPOTATONG gibi diğer araçları da kullanır.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP
.