SANDWORM olarak bilinen Rus Devlet Sponsorlu Hacking Grubu Cuma günü, endüstriyel kontrol sistemleri (IC'ler) için Endüstriyel Kontrol Sistemleri (IC'ler) ve Caddywiper veri yıkımının yeni bir sürümü olan Elektrik Trafouslarının yeni bir varyantı ile bağlantısını keserek büyük bir Ukrayna enerji sağlayıcısını azaltmaya çalıştı. kötü amaçlı yazılım.
Tehdit Oyuncusu, Hedef Yüksek Voltajlı Elektrikli Trafo Merkezleri için Özelleştirilmiş Industroyer ICS Malware'in bir versiyonunu kullandı ve ardından Caddywiper ve ORCSHRED, Soloshred ve Linux için Awfulshred olarak izlenen diğer veri silme kötü amaçlı yazılımlı aileleri yürüterek saldırının izlerini silmeye çalıştı. ve Solaris sistemleri.
Siber Güvenlik Şirketi'ndeki araştırmacılar, saldıran ağı iyileştirmek ve korumak için Ukrayna bilgisayar acil durum müdahale ekibiyle (CERT) işbirliği yapan ESET, saldırganın ortamı nasıl tehlikeye attığını veya BT ağından ICS ortamına nasıl geçmeyi başardıklarını söyleyin.
Aşağıdaki görüntü, saldırıda kullanılan veri silme bileşenlerine genel bir bakış gösterilmektedir:
Bugün bir duyuruda, CERT-UA, tehdit aktörünün hedefinin "birkaç altyapı unsurunun görevden alınması" olduğunu belirtti.
Saldırıda kullanılan ICS Malware şimdi IndustRoyer2 olarak takip edilmektedir ve ESET, 2016 yılında Ukrayna'daki gücü kesmek için kullanılan ve Devlet Sponsorlu Rus Hack Topluluğu Sandworm'a atfedilen Industroyer'in kaynak kodu kullanılarak inşa edildiğini " .
Cert-UA ve ESET, Sandworm'un, aşağıdaki sistem türlerine göre kötü amaçlı yazılımları dağıtarak 8 Nisan, 8 Nisan Cuma günü (14:58 UTC'de) son aşamaya başlamayı planladığını söylüyor:
16:20 UTC'de, rakip, Caddywiper'ı, Industroyer2'nin izlerini silmek için makinelerde yürüttü.
CERT-UA, "[SANDWORM'İN] kötü niyetli planının uygulanmasının şu ana kadar önlendiğini" söylüyor, "Bu saldırıda kullanılan kötü amaçlı yazılımlar hakkında teknik bir raporda," Sandworm saldırganları, yüksek voltaja karşı Industoyer2 kötü amaçlı yazılımını dağıtma girişiminde bulundu "dedi. Ukrayna'da Elektrik Trafo Merkezleri. "
ESET araştırmacıları, IndustRoyer2'nin son derece yapılandırılabilir olduğunu söylüyor ve her yeni kurban ortamı için yeniden derlenmesini gerektiren sertleştirilmiş ayrıntılı yapılandırma ile birlikte geliyor.
"Bununla birlikte, Industroyer Malware ailesinin sadece iki kez konuşlandırıldığı göz önüne alındığında, her sürüm arasında beş yıllık bir boşlukla, bu muhtemelen Sandworm operatörleri için bir sınırlama değildir." - ESET
Araştırmacılar, Industroyer2'nin taşınabilir yürütülebilir bir zaman damgasının 23 Mart'ta derlendiğini gösterdiğini, bu da saldırının en az iki hafta boyunca planlandığını gösteriyor.
Saldırıda kullanılan ek araçlar arasında kullanılan Grup İlkesi eklemek için kullanılan PowerGap PowerShell Script'i içerir.
Bu saldırıda solucan bileşeni - sc.sh adlı bir bash betiği - erişilebilir ağları arar (IP rotası veya ifconfig aracılığıyla) ve mevcut tüm ana bilgisayarlara SSHH (TCP bağlantı noktası 22, 2468, 24687, 522) ile bağlanmaya çalışır. Script'te eklenen rakip bir liste.
Crathoverride olarak da bilinen Internationer, ilk olarak 2017 yılında örneklendi ve analiz edildi, ESET, "STUXNET'ten beri Endüstriyel Kontrol Sistemlerine En Büyük Tehdit" olarak adlandırdı.
Ukrayna enerji sağlayıcısında geçen hafta geçen yeni varyant, Ukrayna'daki 2016 elektrik kesintisi saldırılarında kullanılan orijinal kötü amaçlı yazılımın evrimidir.
IndustRoyer2, yalnızca endüstriyel ekipmanlarla iletişim kurmak için IEC-104 protokolünü kullanır, oysa daha önce, birden fazla ICS protokolünü desteklemektedir.
Orijinal suştan daha fazla yapılandırılabilir ve IOA'lar, zaman aşımıları ve ASDU'lar da dahil olmak üzere ayarlar, IEC-104 iletişim rutininden geçirilen bir dize olarak depolanır.
ESET'in analizine göre, son zamanlarda analiz edilen numune aynı anda sekiz cihazla iletişim kurdu.
Industroyer2 tarafından rölelere olan bağlantısından sonra yapılan tam eylemler hala inceleniyor, ancak endüstriyel ekipmanın standart çalışmasında gerçekleştirdiği meşru süreçleri sona erdirdiği tespit edildi.
Cuma günü yapılan son saldırı, Sandworm'tan paralel bir operasyon gibi görünüyor, aynı zamanda StatchGuard Firewall Appliances'u ve Asus yönlendiricilerinin Cyclops Blink Botnet'i kullanarak hedeflemeye odaklanmış gibi görünüyor.
Amerikan kolluk kuvvetlerinin ve siber-zeka ajanslarının koordineli etkisi nedeniyle Botnet'in geçen hafta ciddi şekilde bozuldu.
CERT-UA, başlangıçtaki uzlaşmayı Şubat 2022'ye yerleştirdi ve kurban örgütüne karşı iki farklı saldırı dalgası belirledi, bazı trafo tesislerinin kesilmesiyle sonuçlandı.
Bu, Sandworm ile paralel olarak paralel olarak çalışan başka bir işlemle çakışıyor, bu da SterdGuard Firewall aletlerine saldırdı ve daha sonra ASUS yönlendiricileri olan Botnet'i yanıp sönen botnet.
Fransız Ulusal Siber Güvenlik Ajansı Anssi, Sandworm'u, 2017 yılında başlayan bir kampanya için, Centreon Network, System ve İzleme Aracı'nın eski bir versiyonunu kullanan Fransız BT sağlayıcılarını ödün vermeye odaklanan bir kampanya için suçluyor.
SANDWORM, ana istihbarat müdürlüğünün (GRU) Rus askeri birimiyle ilişkili olan deneyimli bir siber-casusluk tehdit grubudur.
CERT-UA, bu tehdit aktöründeki yeni saldırıların önlenmesine yardımcı olmak için uzlaşma (YARA Kuralları, Dosya Hashes, Hosts, Ağ) göstergelerine sahiptir.
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
ABD, İngiltere Link Yeni Cyclops Rus Devlet Hacker'larına kötü amaçlı yazılımları yanıp sönüyor
Yeni CaddyWiper Veri Silme Malware Ukrayna Ağlarına Hits Hits
Hackerlar, Rus şirketlerine saldırmak için Conti'nin sızdırılmış fidye yazılımını kullanıyor
Ukrayna: Rus Armageddon Kimlik Avı Hedefleri AB Govt Acenteleri
Kaynak: Bleeping Computer