Sandworm olarak bilinen Rus devlet destekli bilgisayar korsanlığı grubu, Cuma günü, endüstriyel kontrol sistemleri için Industroyer kötü amaçlı yazılımın (ICS) yeni bir çeşidi ve CaddyWiper veri imhasının yeni bir sürümü ile elektrik trafo merkezlerinin bağlantısını keserek büyük bir Ukraynalı enerji sağlayıcısını devirmeye çalıştı. kötü amaçlı yazılım
Tehdit aktörü, hedef yüksek voltajlı elektrik trafo merkezleri için özelleştirilmiş Industroyer ICS kötü amaçlı yazılımının bir sürümünü kullandı ve ardından CaddyWiper ve Orcshred, Soloshred ve Awfulshred for Linux olarak izlenen diğer veri silme kötü amaçlı yazılım ailelerini yürüterek saldırının izlerini silmeye çalıştı. ve Solaris sistemleri.
Saldırıya uğrayan ağı düzeltmek ve korumak için Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT) ile işbirliği yapan siber güvenlik şirketi ESET’teki araştırmacılar, saldırganın ortamı nasıl ele geçirdiğini veya BT ağından ICS ortamına nasıl geçmeyi başardıklarını bilmediklerini söylüyor.
Aşağıdaki resim, saldırıda kullanılan veri silme bileşenlerine genel bir bakışı göstermektedir:
Bugün bir duyuruda, CERT-UA notları tehdit aktörünün amacının “birkaç altyapı unsurunun hizmet dışı bırakılması” olduğunu söyledi.
Saldırıda kullanılan ICS kötü amaçlı yazılımı artık Industroyer2 olarak izleniyor ve ESET, 2016 yılında Ukrayna’da elektriği kesmek için kullanılan Industroyer kaynak kodu kullanılarak oluşturulduğunu ve devlet destekli Rus hack grubu Sandworm’a atfedildiğini “yüksek güvenle” değerlendiriyor. .
CERT-UA ve ESET, Sandworm’un saldırının son aşamasını 8 Nisan Cuma günü (14:58 UTC’de) aşağıdaki sistem türlerine kötü amaçlı yazılım dağıtarak başlatmayı planladığını söylüyor:
- CaddyWiper kötü amaçlı yazılımını dağıtarak, şifresi çözülerek, yüklenerek ve ArgeuPatch ve Tailjump araçları aracılığıyla çalıştırılarak Windows bilgisayarlar ve otomatikleştirilmiş iş istasyonları (14:58 UTC’de)
- OrcShred, Soloshred ve AwfulShred komut dosyalarını kullanan Linux sunucuları (14:58 UTC’de)
- INDUSTROYER2 kötü amaçlı yazılımını kullanan yüksek voltajlı elektrik trafo merkezleri, her yürütülebilir dosya kendi ilgili trafo merkezi hedefleri için belirlenmiş bir dizi benzersiz parametre içerir. Sandworm operatörleri, kötü amaçlı yazılımı 16:10 UTC’de başlatmak ve bir Ukrayna bölgesinde gücü kesmek için 15:02:22 UTC’de zamanlanmış bir görev oluşturdu
- aktif ağ ekipmanı
16:20 UTC’de rakip, Industroyer2’nin izlerini silmek için makinelerde CaddyWiper’ı çalıştırdı.
CERT-UA, “uygulanması [Sandworm’s] kötü niyetli plan şimdiye kadar engellendi”, ESET ise bir teknik rapor Bu saldırıda kullanılan kötü amaçlı yazılım hakkında “Sandworm saldırganları, Industroyer2 kötü amaçlı yazılımını Ukrayna’daki yüksek voltajlı elektrik trafo merkezlerine dağıtmaya çalıştı.”
ESET araştırmacıları, Industroyer2’nin yüksek düzeyde yapılandırılabilir olduğunu ve her yeni kurban ortamı için yeniden derlenmesini gerektiren sabit kodlanmış ayrıntılı yapılandırmayla birlikte geldiğini söylüyor.
“Ancak, Industroyer kötü amaçlı yazılım ailesinin her sürüm arasında beş yıllık bir boşlukla yalnızca iki kez konuşlandırıldığı göz önüne alındığında, bu muhtemelen Sandworm operatörleri için bir sınırlama değildir.” – ESET
Araştırmacılar, Industroyer2’nin Portable Executable zaman damgasının 23 Mart’ta derlendiğini gösterdiğini ve bu da saldırının en az iki hafta için planlandığını gösteriyor.
Saldırıda kullanılan ek araçlar, yükleri indiren ve zamanlanmış görevler oluşturan bir Grup İlkesi eklemek için kullanılan PowerGap PowerShell komut dosyasını ve uzaktan komut yürütme için kullanılan Impacket’i içerir.
Bu saldırıdaki solucan bileşeni – adlı bir Bash betiği sc.sh – erişilebilir ağları arar (aracılığıyla ip yolu veya ifconfig) ve düşmanın komut dosyasına eklediği bir listedeki kimlik bilgilerini kullanarak SSHH (TCP bağlantı noktası 22, 2468, 24687, 522) aracılığıyla mevcut tüm ana bilgisayarlara bağlanmaya çalışır.
Yeni Industroyer versiyonu
CrashOverride olarak da bilinen Industroyer, ilk olarak örneklendi ve analiz edildi ile 2017 yılında ESET “Stuxnet’ten bu yana endüstriyel kontrol sistemlerine yönelik en büyük tehdit” olarak nitelendiriyor.
Ukraynalı bir enerji sağlayıcısında geçen hafta kullanılan yeni varyant, Ukrayna’daki 2016 elektrik kesintisi saldırılarında kullanılan orijinal kötü amaçlı yazılımın bir evrimidir.
Industroyer2, endüstriyel ekipmanla iletişim kurmak için yalnızca IEC-104 protokolünü kullanırken, daha önce birden fazla ICS protokolünü destekledi.
Orijinal zorlamadan daha yapılandırılabilir ve IOA’lar, zaman aşımları ve ASDU’lar dahil ayarlar, IEC-104 iletişim rutininden geçirilen bir dizi olarak saklanır.
ESET’in analizine göre, yakın zamanda analiz edilen numune aynı anda sekiz cihazla iletişim kurdu.
Industroyer2’nin rölelere bağlandıktan sonra gerçekleştirdiği kesin işlemler halen incelenmekte ancak endüstriyel ekipmanın standart çalışmasında gerçekleştirdiği meşru süreçleri sonlandırdığı tespit edilmiştir.
Son Kum kurdu faaliyetleri
Cuma günkü son saldırı, aynı zamanda WatchGuard güvenlik duvarı cihazlarını hedef almaya odaklanan Sandworm’un paralel bir operasyonu gibi görünüyor. ASUS yönlendiriciler kullanmak Cyclops Blink botnet.
Bu botnet ciddi şekilde geçen hafta bozuldu Amerikan kolluk kuvvetleri ve siber istihbarat teşkilatlarının koordineli eylemi nedeniyle.
CERT-UA, ilk uzlaşmayı Şubat 2022’ye verdi ve kurban kuruluşa karşı iki farklı saldırı dalgası belirledi ve bu da bazı trafo merkezi bağlantılarının kesilmesine neden oldu.
Bu, Sandworm tarafından paralel olarak yürütülen başka bir operasyonla çakışıyor. Cyclops Blink botnet WatchGuard güvenlik duvarı cihazlarına saldıran ve daha sonra ASUS yönlendiriciler.
Fransız ulusal siber güvenlik kurumu ANSSI, 2017’de başlayan bir kampanya için Sandworm’u suçluyor. Fransız BT sağlayıcılarından ödün vermek Centreon ağının, sisteminin ve izleme aracının eski bir sürümünü kullananlar.
Sandworm, Ana İstihbarat Müdürlüğü’nün (GRU) Rus Askeri Birimi 74455 ile ilişkilendirilmiş deneyimli bir siber casusluk tehdit grubudur.
CERT-UA, bu tehdit aktöründen gelen yeni saldırıları önlemeye yardımcı olmak için ortak uzlaşma göstergelerine (Yara kuralları, dosya karmaları, ana bilgisayarlar, ağ) sahiptir.