Sandworm olarak bilinen kötü şöhretli Rus bilgisayar korsanları, geçen yıl Ukrayna’daki bir elektrik trafo merkezini hedef alarak Ekim 2022’de kısa bir elektrik kesintisine neden oldu.
Bulgular, hack’i endüstriyel kontrol sistemlerini (ICS) etkilemek için yeni bir teknikten yararlanan “çok olaylı bir siber saldırı” olarak tanımlayan Google’ın Mandiant’ından geliyor.
Şirket, “Aktör ilk olarak kurbanın trafo merkezi devre kesicilerini tetiklemek için OT düzeyinde arazide yaşama (LotL) tekniklerini kullandı ve bu da Ukrayna genelinde kritik altyapıya yapılan kitlesel füze saldırılarıyla aynı zamana denk gelen plansız bir elektrik kesintisine neden oldu” dedi.
“Sandworm daha sonra kurbanın BT ortamına CaddyWiper’ın yeni bir versiyonunu yerleştirerek ikinci bir yıkıcı olay gerçekleştirdi.”
Tehdit istihbaratı firması, hedeflenen enerji tesisinin yerini, elektrik kesintisinin süresini ve olaydan etkilenen kişi sayısını açıklamadı.
Bu gelişme, Sandworm’un en az 2015’ten bu yana Industroyer gibi kötü amaçlı yazılımlar kullanarak yıkıcı saldırılar düzenleme ve Ukrayna’daki elektrik şebekesini tehlikeye atma yönündeki sürekli çabalarına işaret ediyor.
Siber-fiziksel saldırı için kullanılan kesin başlangıç vektörü şu anda belirsiz ve tehdit aktörünün LotL tekniklerini kullanmasının, saldırıyı gerçekleştirmek için gereken zamanı ve kaynakları azalttığına inanılıyor.
Saldırının Haziran 2022 civarında, Sandworm aktörlerinin kurbanın trafo merkezi ortamı için bir denetleyici kontrol ve veri toplama (SCADA) yönetim örneğini barındıran bir hipervizör aracılığıyla operasyonel teknoloji (OT) ortamına erişim sağlamasıyla gerçekleştiği düşünülüyor.
10 Ekim 2022’de, trafo merkezlerini kapatabilecek kötü amaçlı yazılımları başlatmak için bir optik disk (ISO) görüntü dosyası kullanıldı ve bu da planlanmamış bir elektrik kesintisine neden oldu.
Mandiant, “OT olayından iki gün sonra Sandworm, daha fazla kesintiye neden olmak ve potansiyel olarak adli artefaktları ortadan kaldırmak için kurbanın BT ortamına yeni bir CaddyWiper çeşidi yerleştirdi” dedi.
CaddyWiper, Rusya-Ukrayna savaşıyla bağlantılı olarak ilk kez Mart 2022’de ortaya çıkan, verileri silen bir kötü amaçlı yazılım parçasını ifade ediyor.
Şirket, “Bu saldırı, MicroSCADA denetleyici kontrol sisteminden yararlanan Ukrayna’nın kritik altyapı ortamlarına yönelik acil bir tehdidi temsil ediyor” dedi.
“Sandworm’un küresel tehdit faaliyeti ve MicroSCADA ürünlerinin dünya çapındaki dağıtımı göz önüne alındığında, varlık sahiplerinin küresel olarak BT ve OT sistemlerine karşı taktiklerini, tekniklerini ve prosedürlerini azaltmak için harekete geçmeleri gerekiyor.”