Rus devlet korsanları, saldırının son aşamasına daha hızlı ve daha az kaynakla ulaşmayı sağlayan arazide yaşama tekniklerini benimseyerek endüstriyel kontrol sistemlerini ihlal etme yöntemlerini geliştirdiler.
Güvenlik araştırmacıları, değişikliğin, tespit edilmesi daha zor olan ve endüstriyel kontrol sistemleri (ICS) için karmaşık kötü amaçlı yazılım gerektirmeyen saldırılara kapı açtığını vurguluyor.
Komut göndermek için yerel ikili dosya
Geçtiğimiz yıl, Sandworm tehdit grubu, son aşamaya ulaşması dört aydan kısa süren bir saldırıyla Ukrayna’nın kritik altyapı kuruluşunu ihlal etti; bu, ülke çapındaki kritik tesislere yapılan füze saldırılarıyla elektrik kesintisini ikiye katladı.
Sandworm, en az 2009’dan beri aktif olan ve Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü’ne (GRU) bağlı bir hacker grubudur. Endüstriyel kontrol sistemlerini (ICS) hedeflemeye odaklanmıştır ve casusluk ve yıkıcı siber saldırılarla uğraşmaktadır.
2022’nin sonlarında, Google’ın sahibi olduğu Mandiant’taki olay müdahale ekipleri, Ukrayna’da Sandworm’a atfedilen yıkıcı bir siber saldırıya yanıt verdi ve taktikleri, teknikleri ve prosedürleri analiz etti.
Araştırmacılar, Sandworm’un saldırıyı en az Haziran 2022’den beri başlattığını ve merkezi kontrol sağlayan ve tüm güç dağıtım sisteminin çalışmasını otomatikleştiren bir MicroSCADA sunucusunu barındıran bir hipervizör aracılığıyla operasyonel teknoloji (OT) ortamına erişim elde ettiğini belirledi.
Mandiant, “Yanal hareket kanıtlarına göre saldırganın SCADA sistemine üç aya kadar erişime sahip olma potansiyeli var” – Mandiant
İlk saldırı vektörü şu anda bilinmese de araştırmacılar, Sandworm aktivitesinin ilk kez Haziran 2022’de Neo-REGEORG web kabuğunun halka açık internetteki bir sunucuya konuşlandırılmasıyla gözlemlendiğini belirtiyor.
Bir ay sonra bilgisayar korsanları, Yamux açık kaynak kitaplığını kullanarak komuta ve kontrol (C2) sunucusu için şifreli iletişimleri proxy olarak kullanmak üzere Golang tabanlı GOGETTER tünel oluşturucuyu çalıştırdı.
Saldırı iki yıkıcı olayla sonuçlandı. Bunlardan biri, Sandworm’un yerel MicroSCADA yardımcı programını çalıştırmak için bir ISO CD-ROM görüntü dosyası kullandığı 10 Ekim 2022’deki elektrik kesintisiydi. scilc.exemuhtemelen trafo merkezlerini kapatacak kötü amaçlı komutlar çalıştıracaktır.
MicroSCADA’nın çalıştığı sanal makinede, fiziksel veya sanal CD-ROM’ların (örn. bir ISO dosyası) otomatik olarak çalışmasına izin veren otomatik çalıştırma özelliği etkin olduğundan ISO görüntüsünün yüklenmesi mümkün oldu.
scilc.exe yardımcı program, MicroSCADA yazılım paketinin bir parçasıdır ve Sandworm bunu, sunucunun trafo merkezindeki uzak terminal ünitelerine (RTU – saha cihazları) ileteceği SCIL (MicroSCADA için yüksek seviyeli bir programlama dili) komutlarını çalıştırmak için kullandı.
Araştırmacıların bulgularına göre ele geçirilen MicroSCADA sunucusu, SCIL-API’ye varsayılan erişime izin veren kullanım ömrü sonu bir yazılım sürümünü çalıştırıyordu.
Saldırıda yerel bir ikili (LoLBin) kullanılması, bilgisayar korsanlarının daha hafif ve genel araçlara dayanan ve tehdit aktivitesinin tespit edilmesini daha zor hale getiren karada yaşama (LoL/LOTL) tekniklerine geçiş yaptığını gösteriyor.
ISO dosyasının içinde en az aşağıdaki üç dosya vardı:
- n.bat’ı çalıştıran “lun.vbs”
- Muhtemelen yerel olanı çalıştıran “n.bat” scilc.exe Yarar
- Muhtemelen yetkisiz MicroSCADA komutlarını içeren “s1.txt”
Araştırmacı şunu buldu: lun.vbs betiğin 23 Eylül zaman damgası vardı, bu da bilgisayar korsanlarının ilk erişim aşamasından bu yana OT yeteneklerini geliştirmek için yaklaşık iki ayları olduğunu gösteriyor.
İkinci yıkıcı olay, 12 Ekim 2022’de Sandworm’un CADDYWIPER verilerini yok eden kötü amaçlı yazılımın yeni bir sürümünü devreye sokmasıyla meydana geldi; bu, muhtemelen ortamı daha da bozma ve saldırının izlerini kaldırma çabasıydı.
“Ancak, silme işleminin kurbanın BT ortamıyla sınırlı olduğunu ve hipervizörü veya SCADA sanal makinesini etkilemediğini not ediyoruz” – Mandiant
Araştırmacılar, tehdit aktörünün SCADA sisteminden diğer adli eserleri zaten kaldırmış olması nedeniyle bu eylemin olağandışı olduğunu belirtiyor. Bunun “saldırıya katılan farklı kişiler veya operasyonel alt ekipler arasındaki koordinasyon eksikliğine” işaret edebileceğine inanıyorlar.
Saldırının soruşturulması sırasında ortaya çıkan ipuçları, bilgisayar korsanlarının, saldırı gerçekleşmeden en az üç hafta önce sistemlerin bozulmasına hazır olduklarını gösteriyor.
Bu teoriyi destekleyecek yeterli kanıt yok ancak araştırmacılar Sandworm’un görevi tamamlamak için belirli bir anı beklemiş olabileceğine inanıyor.
“Saldırının nihai icrası çakıştı kritik altyapılara yönelik birkaç günlük koordineli füze saldırılarının başlamasıyla birçok Mağdurun bulunduğu şehir de dahil olmak üzere Ukrayna şehirleri” – Mandiant
Sandworm’un özel kötü amaçlı yazılımlara ihtiyacı yok
Bugün yayınlanan raporda Mandiant, saldırıda kullanılan tekniklerin “Rusya’nın saldırı amaçlı OT cephaneliğinin giderek olgunlaştığını gösterdiğini” ve bunun da yeni OT tehdit vektörlerini tanıma, yeni yetenekler geliştirme ve farklı OT altyapısı türlerinden yararlanma becerisinin artması anlamına geldiğinin altını çiziyor saldırıları için.
Arazide yaşama tekniklerine geçişle birlikte araştırmacılar, Sandworm’un muhtemelen farklı satıcıların OT sistemlerine saldırı gerçekleştirebileceğine inanıyor.
Google Cloud’un Mandiant’ın yeni ortaya çıkan tehditler ve analizlerden sorumlu başkanı Nathan Brubaker, BleepingComputer’a Sandworm’un Ukrayna dışındaki tehdit faaliyetinin kapasitesiyle sınırlı olmayacağını, saldırı motivasyonuyla yönlendirileceğini söyledi.
Araştırmacı, bu saldırıdaki yeniliğin çevik doğası olduğunu ve bunun Sandworm’un “diğer ortamlara bazı gelişmiş ICS kötü amaçlı yazılımlarından daha kolay” saldırmasına olanak sağlayacağını söylüyor.
Brubaker, Sandworm’un saldırının OT kısmı için özel kötü amaçlı yazılım kullanmadığını, ancak OT uzmanlığı ve hedeflenen endüstriyel süreçlerin anlaşılmasını gerektiren bir LoL ikili programına başvurduğunun altını çiziyor; saldırıda kullanılan teknoloji (bu durumda MicroSCADA) daha az dikkat çekiyor.
Brubaker, “Sandworm’un benzer türde bir saldırıyı başka bir ortamda farklı teknolojiyle kopyalamaması için hiçbir neden yok” dedi.
Mandiant’ın raporunda risk göstergeleri, YARA kuralları, SCADA yönetim ana bilgisayarlarının güçlendirilmesine yönelik rehberlik ve savunucuların Sandworm’un ICS ortamlarındaki faaliyetlerini tespit etmesine ve tehdidi azaltmasına yardımcı olabilecek öneriler yer alıyor.