Rus devlet hackerları, saldırının son aşamasına daha hızlı ve daha az kaynak ile ulaşılmasını sağlayan karadan geçme tekniklerini benimseyerek endüstriyel kontrol sistemlerini ihlal etme yöntemlerini geliştirdiler.
Güvenlik araştırmacıları, değişikliğin tespit edilmesi daha zor olan ve endüstriyel kontrol sistemleri (ICS) için karmaşık kötü amaçlı yazılım gerektirmeyen saldırıların kapısını açtığını vurgulamaktadır.
Geçen yıl, Sandworm Tehdit Grubu, son aşamaya ulaşmak için dört aydan daha az bir süre gerektiren bir saldırıda Ukrayna kritik bir altyapı organizasyonunu ihlal etti, bu da ülke genelindeki kritik tesislerdeki füze saldırılarıyla iki katına çıktı.
Sandworm, en az 2009'dan beri aktif olan bir hacker grubudur ve Rusya'nın Genel Personel Ana İstihbarat Müdürlüğü'ne (GRU) bağlantılıdır. Endüstriyel kontrol sistemlerini (ICS) hedeflemeye ve casusluk ve yıkıcı siber saldırılara odaklanmaktadır.
2022'nin sonlarında, Google'a ait Mantiant'taki olay müdahalecileri, Ukrayna'daki kum kurtlarına atfedilen yıkıcı bir siber saldırıya yanıt verdi ve taktikleri, teknikleri ve prosedürleri analiz etti.
Araştırmacılar, Sandworm'un en azından Haziran 2022'den beri saldırıya başladığını ve merkezi kontrolü sağlayan ve tüm güç dağıtım sisteminin çalışmasını otomatikleştiren bir Microscada sunucusu barındıran bir hipevisor aracılığıyla Operasyonel Teknoloji (OT) ortamına erişim elde ettiğini belirlediler.
“Yanal hareketin kanıtlarına dayanarak, saldırgan potansiyel olarak SCADA sistemine üç aya kadar erişebilirdi” - Maniant
İlk saldırı vektörü şu anda bilinmemekle birlikte, araştırmacılar, Sandworm etkinliğinin ilk olarak Haziran 2022'de gözlemlendiğini ve Neo-Regeorg Webshell'in kamuya açık bir sunucuda açıklanmasıyla gözlemlendiğini belirtiyorlar.
Bir ay sonra, bilgisayar korsanları Golang tabanlı GoGetter Tunneler'ı Yamux açık kaynak kütüphanesini kullanarak komut ve kontrol sunucusu için şifreli iletişimleri vekalet etti.
Saldırı iki yıkıcı olayla sonuçlandı. Bunlardan biri, Sandworm'un yerli Microscada yardımcı programı SCILC.exe'yi çalıştırmak için bir ISO CD-ROM görüntü dosyası kullandığı ve trafo merkezlerini kapatacak kötü amaçlı komutları çalıştırması için bir elektrik kesintisi idi.
ISO görüntüsünün yüklenmesi mümkün oldu, çünkü Microscada'nın üzerinde çalıştığı sanal makine, Autorun özelliği etkinleştirildi ve CD-ROM'ların, fiziksel veya sanal (örneğin bir ISO dosyası) otomatik olarak çalışmasına izin verdi.
SCILC.EXE yardımcı programı, Microscada yazılım paketinin bir parçasıdır ve Sandworm, sunucunun trafo merkezindeki uzak terminal birimlerine (RTU - alan aygıtları) aktaracağı SCIL (Microscada için üst düzey bir programlama dili) komutlarını çalıştırmak için kullanılır.
Araştırmacıların bulgularına göre, tehlikeye atılan Microscada sunucusu, SCIL-API'ye varsayılan erişime izin veren bir yaşam sonu yazılım sürümü yürütüyordu.
Saldırıda yerli bir ikili (lolbin) kullanmak, bilgisayar korsanlarının daha hafif ve jenerik araçlara dayanan ve tehdit faaliyetlerini tespit etmeyi zorlaştıran daha hafif ve jenerik araçlara dayanan karaya (LOL/LOTL) değişimini gösterir.
ISO dosyasının içinde en azından aşağıdaki üç dosya vardı:
Araştırmacı, LUN.VBS betiğinin 23 Eylül zaman damgası olduğunu buldu, bu da bilgisayar korsanlarının ilk erişim aşamasından bu yana OT yeteneklerini geliştirmek için yaklaşık iki ay olduğunu gösteriyor.
İkinci yıkıcı olay, Sandworm'un Caddywiper veri yok eden kötü amaçlı yazılımların yeni bir versiyonunu kullandığı 12 Ekim 2022'de gerçekleşti, muhtemelen çevreyi daha fazla bozma ve saldırının izlerini kaldırma çabası.
“Ancak, silecek dağıtımının kurbanın BT ortamı ile sınırlı olduğunu ve hipervizör veya SCADA sanal makinesini etkilemediğini not ediyoruz” - maniant
Araştırmacılar, bu eylemin olağandışı olduğunu belirtiyorlar çünkü tehdit oyuncusu SCADA sisteminden diğer adli eserleri zaten kaldırmıştı. Bunun “farklı kişilerde koordinasyon eksikliği veya saldırıda yer alan operasyonel alt takımlar” olduğuna işaret edebileceğine inanıyorlar.
Saldırının soruşturulması sırasında ortaya çıkan ipuçları, bilgisayar korsanlarının gerçekleşmeden en az üç hafta önce sistemlerin bozulmasına hazır olduklarını göstermektedir.
Bu teoriyi destekleyecek yeterli kanıt yoktur, ancak araştırmacılar Sandworm'un görevi tamamlamak için belirli bir anı beklemiş olabileceğine inanıyorlar.
“Saldırının nihai olarak yürütülmesi, kurbanın bulunduğu şehir de dahil olmak üzere birçok Ukrayna şehrinde kritik altyapı üzerine çok günlük bir dizi koordineli füze grevinin başlangıcına denk geldi” - Mantion
Bugün yayınlanan raporda Mandiant, yeni OT tehdit vektörlerini tanıma, yeni yetenekler geliştirme ve farklı OT altyapısından yararlanma yeteneğine dönüşen “Rusya'nın saldırgan OT Arsenal'in artan bir olgunluğunu önerdiğini” vurguluyor. saldırıları için.
Araştırmacılar, arazi yaşamı tekniklerine geçiş ile birleştiğinde, sandworm'un farklı satıcılardan OT sistemlerine yönelik saldırılar gerçekleştirebileceğine inanıyorlar.
Maniant ortaya çıkan tehdit ve analitik başkanı Nathan Brubaker, Google Cloud, BleepingComputer'a Sandworm’un Ukrayna dışındaki tehdit faaliyetinin kabiliyeti ile sınırlı olmayacağını, ancak saldırı motivasyonu tarafından yönlendirileceğini söyledi.
Araştırmacı, bu saldırıdaki yeniliğin çevik doğası olduğunu ve Sandworm'un “bazı sofistike ICS kötü amaçlı yazılımlardan daha kolay” saldırmasına izin vereceğini söylüyor.
Brubaker, Sandworm'un saldırının OT kısmı için özel kötü amaçlı yazılım kullanmadığını, ancak OT uzmanlığını ve hedeflenen endüstriyel süreçleri anlamasını gerektiren bir LOL ikilisine başvurduğunun altını çiziyor, saldırıda kullanılan teknoloji (bu durumda Microscada) daha az dikkate değer.
Brubaker, “Sandworm'un farklı teknolojiye sahip başka bir ortamda benzer bir saldırı türünü çoğaltamamasının bir nedeni yok” dedi.
Mantiant'ın raporu, uzlaşma göstergeleri, Yara kuralları, sert SCADA yönetim ev sahipleri için rehberlik ve savunucuların Sandworm'un ICS ortamlarındaki faaliyetlerini tespit etmesine ve tehdidi azaltmasına yardımcı olabilecek önerileri içerir.
Google, Winrar Sömürüsünü Rus, Çin Devlet Hacker'larına bağlar
Rus Sandworm Hacker'ları Mayıs ayından bu yana 11 Ukrayna telcosunu ihlal etti
Anonim Sudan tarafından iddia edilen DDOS saldırısı tarafından düşürülen Cloudflare web sitesi
Openai, devam eden chatgpt kesintilerinin arkasında DDOS saldırılarını teyit ediyor
DDOS saldırılarının iddialarını takiben dünya çapında Microsoft OneDrive
Kaynak: Bleeping Computer