Ukrayna’nın bilgisayar acil müdahale ekibi (CERT-UA), geçen hafta ESET ve Microsoft’tan araştırmacılarla işbirliği içinde, 8 Nisan’da ülkenin elektrik şebekesinin bir bölümünden birkaç yüksek voltajlı trafo merkezinin bağlantısını kesecek olan bir enerji şirketine yönelik bir siber saldırıyı önledi.
Rusya’nın kötü şöhretli Sandworm grubu tarafından gerçekleştirilen saldırı, Industroyer’ın yeni ve daha özelleştirilmiş bir sürümünün kullanımını içeriyordu; bu, tehdit aktörünün ilk olarak Aralık 2016’da Ukrayna’nın başkenti Kiev’de geçici bir elektrik kesintisine neden olmak için kullandığı bir kötü amaçlı yazılım aracı. ICS özellikli kötü amaçlı yazılıma ek olarak, en son saldırı, enerji şirketinin Windows, Linux ve Solaris işletim sistemi ortamları için kurtarma çabalarını karmaşıklaştırmak için tasarlanmış yıkıcı disk silme araçlarını da içeriyordu.
Ülkenin Ukrayna’daki ezici savaşının ortasındaki Rus siber saldırısı, Ukrayna’daki ve ülke dışındaki diğer enerji şirketlerine yönelik benzer saldırılar konusunda endişeleri artırdı. harekete geçirdi CERT-UA dağıtılacak Ukrayna’daki enerji şirketlerine ve “sınırlı sayıda” uluslararası ortak olarak tanımladıklarına yönelik uzlaşma ve diğer saldırı eserlerinin göstergeleri.
Şu anda CERT-UA danışmanı olarak Ukrayna’da bulunan SOC Prime’ın CEO’su Andrii Bezverkhyi, enerji şirketlerinin her yerde en son Sandworm siber operasyonunu bir tırmanma sinyali olarak görmeleri ve yüksek alarmda olmaları gerektiğini söylüyor.
“Tüm bölgeye eşzamanlı olarak saldırma yeteneğine sahipler. [industries or geographies],” diyor Bezverkhyi. Her yerdeki enerji şirketlerinin tehdit aktörünü daha iyi tespit edip bunlara karşı koruma sağlayabilmeleri için Sandworm’un taktiklerini, tekniklerini ve prosedürlerini geliştirmelerini tavsiye ediyor.
Tehlikeli, Kalıcı Bir Tehdit
Sandworm, Rusya Genelkurmay Ana İstihbarat Müdürlüğü’ndeki (GRU) özel teknoloji operasyonları grubuna bağlı gelişmiş bir kalıcı tehdit aktörüdür. Grup, yıllar boyunca, özellikle de Ukrayna’nın elektrik sisteminde olmak üzere, birkaç yüksek profilli ve yıkıcı saldırıyla ilişkilendirildi. 2015 yılında Sandworm, Ukrayna’nın elektrik şebekesinin büyük bir bölümünü birkaç saatliğine çökerten bir saldırıda BlackEnergy adlı kötü amaçlı yazılımı kullandı. 2016’da Ukrayna’da benzer bir etki için Industroyer’ı kullandı ve sonraki yıl NotPetya kötü amaçlı yazılım aracını kullanarak yıkıcı veri silme saldırıları izledi. Sandworm grubunun, Gürcistan ülkesindeki hizmet reddi saldırılarının yanı sıra 2018 Kış Olimpiyatlarını hedef alan bir kampanyanın da arkasında olduğu düşünülüyor.
Tehdit aktörünün son saldırıda tercih ettiği silah olan Industroyer, elektrik şebekeleriyle ilişkili ekipmanı bozmak için özel olarak yapılmış kötü amaçlı yazılımdır. tarafından önceki araştırma ESET ve Dragolar kötü amaçlı yazılımın, tehdit aktörlerinin yüksek voltajlı trafo merkezlerindeki anahtarların ve devre kesicilerin uzaktan kontrolünü ele geçirmesine ve kesintileri tetikleyecek şekilde manipüle etmesine izin verecek şekilde tasarlandığını gösterdi. Örneğin, 2016 Ukrayna saldırısında kullanılan kötü amaçlı yazılımın sürümü, devre kesicileri açık kalmaya zorlamak için kullanılabilir ve bu da trafo merkezinin enerjisinin kesilmesine neden olabilir.
Kötü amaçlı yazılım ayrıca 2016’da saldırganların, koruma önlemleri trafo merkezinden “adaya” gelene kadar devre kesicileri sürekli olarak “açık” ve “kapalı” arasında değiştirerek bir trafo merkezini şebekenin geri kalanından ayırmasına izin verdi – ve bunda bir karartmayı tetikledi. ızgara bölümü.
Industroyer’ın en önemli özelliklerinden biri, herhangi bir güvenlik açığından yararlanmaması ve tek bir satıcının teknolojisine saldırmakla sınırlı olmamasıdır. Aksine, kötü amaçlı yazılım – 2016 saldırılarında kullanıldığı gibi – endüstriyel kontrol ortamlarındaki sistemlerle doğrudan iletişim kurmak için farklı endüstriyel kontrol protokolleri kullanır.
ESET’te tehdit araştırması direktörü Jean-Ian Boutin, kötü amaçlı yazılımın yeni sürümü, Industroyer2, endüstriyel ekipmanla iletişim kurmak için yalnızca bir protokol kullanır. “Orijinal sürüm modülerdi ve dört endüstriyel protokol kullanıyordu” diyor. Yeni sürümün yalnızca bir sabit kodlu yapılandırma kullanmasının nedeni, dağıtılmasının daha kolay olması muhtemeldir. “Kötü amaçlı yazılım, doğrudan ekipmanla iletişim kuran endüstriyel protokol IEC-104’ü kullanır. Koruma rölelerindeki devre kesicileri değiştirebilir [and] karartmaya neden olabilir.”
Kötü amaçlı yazılımın gelişmişliği, hedeflenen gibi endüstriyel bir ortamda benzer ekipman ve sunucularla test edildiğini gösteriyor.
CERT-UA, saldırganların amacının sadece yüksek voltajlı elektrik trafo merkezlerini değil, aynı zamanda enerji şirketinin Windows, Linux ve Solaris sunucularını bozmak için tasarlanmış farklı kötü amaçlı yazılım araçları kullanarak diğer altyapı unsurlarını da devre dışı bırakmak olduğunu söyledi. Sandworm’un enerji şirketinin ağına yerleştirdiği araçlar arasında, CaddyWiper adlı bir Windows disk sileceği ve Linux ve Solaris sistemleri için Orcshred, Soloshred ve Awfulshred adlı benzer disk silme araçları vardı.
Boutin, “Saldırganlar bu sunuculardaki verileri silmek istedi, bu da bir saldırının ardından hızlı bir şekilde kurtarmayı zorlaştıracak” dedi.
Sandworm’un enerji şirketinin ağına ilk erişimi nasıl elde ettiği veya kurumsal ağdan ICS sistemlerine nasıl taşınmış olabileceği açık değil. CERT-UA’ya göre, veriler şirkete yönelik en az iki “saldırı dalgası” olduğunu gösteriyor – biri muhtemelen Şubat’ta, diğeri Nisan’da. “Elektrik trafo merkezlerinin bağlantısının kesilmesi ve şirketin altyapısının hizmet dışı bırakılması 8 Nisan Cuma akşamı olarak planlandı” dedi.
Olgunlaşma Yetenekleri
Bezverkhyi, saldırının Rus tehdit aktörünün yeteneklerini güç şebekelerine birden fazla düzeyde zarar verebilecek bir noktaya kadar olgunlaştırdığını gösterdiğini söylüyor: ICS ekipmanı, ağ cihazları ve işletim iş istasyonları ve sunucular.
“Bir saldırı tamamen başarılı olursa, operasyonların iyileşmesi haftalar olmasa da günler alacaktır” diyor. Bezverkhyi, Sandworm’un çok vektörlü karar ağaçlarıyla yüksek düzeyde otonom kötü amaçlı yazılım kullanmasıyla bilindiğini söylüyor. Bu saldırıda, ikili dosyalar hedef başına derlendi ve görünüşe göre saldırının başarı olasılığını artırmak için hedef başına benzersiz bir talimat seti içeriyordu.
Bezverkhyi, ilk giriş vektörünün belirsiz kalmasına rağmen, Sandworm’un geçmişteki saldırılarının geçerli hesapların kullanımını ve ilk erişim için uzak servislerin istismarını içerdiğini söylüyor. Sandworm ayrıca, grubun NotPetya kampanyası sırasında NSA tarafından geliştirilen EternalBlue istismarını kullanmasına işaret ederek, en son istismarlara erişme yeteneğini de gösterdiğini söylüyor.
Sandworm, ilk erişimin ötesinde, kötü amaçlı yazılımları dağıtmak ve ayrıcalıkları yükseltmek için Windows’ta görev zamanlayıcıyı veya Unix’te cron iş zamanlayıcıyı kullanmak gibi arazi dışında yaşama tekniklerine büyük ölçüde güveniyor. “Sömürünün ötesindeki tüm teknikler, 2019’dan beri vahşi doğada oldukça iyi biliniyor ve gözlemleniyor” diyor.
Mandiant’ın baş analisti Luke McNamara, son saldırılarda dikkate değer bir TTP’nin, birkaç durumda kurban ağlarında yayılmak için Grup İlkesi Nesnelerinin (GPO) rapor edilmiş kullanımı olduğuna dikkat çekiyor. “Bu, Active Directory çevresinde savunmayı güçlendirmenin önemini vurguluyor” diyor.
McNamara, Rus tehdit aktörlerinin geçmişte Ukrayna’nın enerji şebekesini bozma kabiliyetini kesinlikle gösterdiklerini belirtti. “Şimdi eklenen karmaşıklık, tüm bunların Rusya’nın Ukrayna’ya askeri işgali sırasında, enerji altyapısındaki kısa vadeli kesintilerin bile savaş alanı ve halk üzerinde kademeli etkilere sahip olabileceği sırada gerçekleşiyor olması” diyor.