Οι Ρώσοι κρατικοί χάκερ έχουν εξελίξει τις μεθόδους τους για την παραβίαση των συστημάτων βιομηχανικού ελέγχου υιοθετώντας τεχνικές που ζουν εκτός της γης που επιτρέπουν να φτάσετε στο τελικό στάδιο της επίθεσης πιο γρήγορα και με λιγότερους πόρους.
Οι ερευνητές ασφαλείας τονίζουν ότι η αλλαγή ανοίγει την πόρτα σε επιθέσεις που είναι πιο δύσκολο να εντοπιστούν και δεν απαιτούν απαραίτητα εξελιγμένο κακόβουλο λογισμικό για συστήματα βιομηχανικού ελέγχου (ICS).
Εγγενές δυαδικό για αποστολή εντολών
Πέρυσι, η ομάδα απειλών Sandworm παραβίασε έναν ουκρανικό οργανισμό υποδομής ζωτικής σημασίας σε μια επίθεση που χρειάστηκε λιγότερους από τέσσερις μήνες για να φτάσει στην τελική φάση, μια διακοπή ρεύματος που διπλασιάστηκε από πυραυλικές επιθέσεις σε κρίσιμες εγκατασ
τάσεις
σε όλη τη χώρα.
Η Sandworm είναι μια ομάδα χάκερ που δραστηριοποιείται τουλάχιστον από το 2009 και συνδέεται με την Κεντρική Διεύθυνση Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU). Επικεντρώνεται στη στόχευση συστημάτων βιομηχανικού ελέγχου (ICS) και εμπλέκεται σε κατασκοπεία και καταστροφικές επιθέσεις στον κυβερνοχώρο.
Στα τέλη του
2022
, οι υπεύθυνοι αντιμετώπισης περιστατικών στην Mandiant που ανήκει στην
Google
απάντησαν σε μια αποτρεπτική κυβερνοεπίθεση στην Ουκρανία, την οποία απέδωσαν στο Sandworm και ανέλυσαν τις τακτικές, τις τεχνικές και τις διαδικασίες.
Οι ερευνητές διαπίστωσαν ότι η Sandworm είχε ξεκινήσει την εισβολή τουλάχιστον από τον Ιούνιο του 2022 και απέκτησε πρόσβαση στο περιβάλλον λειτουργικής τεχνολογίας (OT) μέσω ενός hypevisor που φιλοξενούσε έναν διακομιστή MicroSCADA, ο οποίος επιτρέπει τον κεντρικό έλεγχο και αυτοματοποιεί τη λειτουργία ολόκληρου του συστήματος διανομής ενέργειας.
“Με βάση στοιχεία πλευρικής κίνησης, ο εισβολέας είχε πιθανώς πρόσβαση στο σύστημα SCADA για έως και τρεις μήνες” –
Mandiant
Αν και ο αρχικός φορέας επίθεσης παραμένει άγνωστος αυτή τη στιγμή, οι ερευνητές σημειώνουν ότι η δραστηριότητα Sandworm παρατηρήθηκε για πρώτη φορά τον Ιούνιο του 2022, με την ανάπτυξη του
Νεο-ΡΕΓΕΩΡΓ
webshell σε διακομιστή που εκτίθεται στο
δημόσιο
διαδίκτυο.
Μετά από ένα μήνα, οι χάκερ εκτέλεσαν το GOGETTER tunneler με βάση το Golang για κρυπτογραφημένες επικοινωνίες μεσολάβησης για τον διακομιστή εντολών και ελέγχου (C2) χρησιμοποιώντας το
Yamux
βιβλιοθήκη ανοιχτού κώδικα.
Η επίθεση κατέληξε σε δύο ανατρεπτικά γεγονότα. Το ένα ήταν μια διακοπή ρεύματος στις 10 Οκτωβρίου 2022, όταν το Sandworm χρησιμοποίησε ένα αρχείο εικόνας CD-ROM ISO για να εκτελέσει το εγγενές βοηθητικό πρόγραμμα MicroSCADA
scilc.exe
πιθανόν να εκτελούν κακόβουλες εντολές που θα απενεργοποιούσαν τους υποσταθμούς.
Η φόρτωση της εικόνας ISO ήταν δυνατή επειδή η εικονική μηχανή MicroSCADA σε λειτουργία είχε ενεργοποιημένη τη δυνατότητα αυτόματης εκτέλεσης, επιτρέποντας σε CD-ROM, φυσικά ή εικονικά (π.χ. ένα αρχείο ISO) να εκτελούνται αυτόματα.
Στάδια της ανατρεπτικής επίθεσης Sandworm
Πηγή: Mandiant
Η χρήση ενός εγγενούς δυαδικού (LoLBin) στην επίθεση υποδηλώνει τη στροφή των χάκερ σε τεχνικές που ζουν εκτός της γης (LoL/LOTL) που βασίζονται σε πιο ελαφριά και γενικά εργαλεία, τα οποία καθιστούν τη δραστηριότητα απειλής πιο δύσκολο να εντοπιστεί.
Μέσα στο αρχείο ISO υπήρχαν τουλάχιστον τα ακόλουθα τρία αρχεία:
- “lun.vbs”, το οποίο εκτελεί το n.bat
-
“n.bat”, που πιθανότατα τρέχει το native
scilc.exe
χρησιμότητα - “s1.txt”, το οποίο πιθανότατα περιέχει τις μη εξουσιοδοτημένες εντολές MicroSCADA
Ο ερευνητής διαπίστωσε ότι το
lun.vbs
Το σενάριο είχε μια χρονική σήμανση της 23ης Σεπτεμβρίου, η οποία υποδηλώνει ότι οι χάκερ είχαν περίπου δύο μήνες για να αναπτύξουν την ικανότητά τους OT από το αρχικό στάδιο πρόσβασης.
Αλυσίδα εκτέλεσης για διασπαστικό συμβάν OT
πηγή: Mandiant
Το δεύτερο ανατρεπτικό συμβάν συνέβη στις 12 Οκτωβρίου 2022, όταν το Sandworm ανέπτυξε μια νέα έκδοση του κακόβουλου λογισμικού CADDYWIPER που καταστρέφει δεδομένα, πιθανότατα μια προσπάθεια να διαταραχθεί περαιτέρω το περιβάλλον και να αφαιρεθούν τα ίχνη της επίθεσης.
“Ωστόσο, σημειώνουμε ότι η ανάπτυξη του υαλοκαθαριστήρα περιοριζόταν στο περιβάλλον πληροφορικής του θύματος και δεν επηρέασε τον hypervisor ή την εικονική μηχανή SCADA” –
Mandiant
Οι ερευνητές σημειώνουν ότι αυτή η ενέργεια ήταν ασυνήθιστη επειδή ο παράγοντας της απειλής είχε ήδη αφαιρέσει άλλα εγκληματολογικά αντικείμενα από το σύστημα SCADA. Πιστεύουν ότι αυτό θα μπορούσε να υποδηλώνει «έλλειψη συντονισμού μεταξύ διαφορετικών ατόμων ή επιχειρησιακών υποομάδων που εμπλέκονται στην επίθεση».
Οι ενδείξεις που αποκαλύφθηκαν κατά τη διάρκεια της έρευνας της επίθεσης δείχνουν ότι οι χάκερ ήταν έτοιμοι για τη διακοπή των συστημάτων τουλάχιστον τρεις εβδομάδες πριν συμβεί.
Δεν υπάρχουν επαρκή στοιχεία που να υποστηρίζουν αυτή τη θεωρία, αλλά οι ερευνητές πιστεύουν ότι ο Sandworm μπορεί να περίμενε μια συγκεκριμένη στιγμή για να ολοκληρώσει την αποστολή.
«Η τελική εκτέλεση της επίθεσης
συνέπεσε
με την έναρξη μιας πολυήμερης σειράς συντονισμένων πυραυλικών επιδρομών σε κρίσιμες υποδομές σε όλη την έκταση
αρκετά
Ουκρανικές πόλεις, συμπεριλαμβανομένης της πόλης στην οποία βρισκόταν το θύμα» – Mandiant
Το Sandworm δεν χρειάζεται προσαρμοσμένο κακόβουλο λογισμικό
Στην έκθεση που δημοσιεύτηκε σήμερα, η Mandiant υπογραμμίζει ότι οι τεχνικές που χρησιμοποιούνται στην επίθεση «υποδηλώνουν μια αυξανόμενη ωριμότητα του επιθετικού οπλοστασίου της Ρωσίας» που μεταφράζεται σε αυξημένη ικανότητα αναγνώρισης νέων φορέων απειλής OT, ανάπτυξη νέων δυνατοτήτων και αξιοποίηση διαφορετικών τύπων υποδομής OT για τις επιθέσεις τους.
Σε συνδυασμό με τη μετάβαση σε τεχνικές που ζουν εκτός της γης, οι ερευνητές πιστεύουν ότι το Sandworm είναι πιθανόν ικανό να πραγματοποιήσει επιθέσεις εναντίον συστημάτων OT από διαφορετικούς προμηθευτές.
Ο Nathan Brubaker, επικεφαλής αναδυόμενων απειλών και αναλύσεων της Mandiant, Google
Cloud
, είπε στο BleepingComputer ότι η δραστηριότητα απειλών του Sandworm εκτός Ουκρανίας δεν θα περιορίζεται από τις δυνατότητές του αλλά θα καθοδηγείται από το κίνητρο για επίθεση.
Ο ερευνητής λέει ότι η καινοτομία σε αυτήν την επίθεση είναι η ευέλικτη φύση της και αυτό θα επέτρεπε στο Sandworm να επιτίθεται «πιο εύκολα σε άλλα περιβάλλοντα παρά με κάποιο εξελιγμένο κακόβουλο λογισμικό ICS».
Ο Brubaker υπογραμμίζει ότι το Sandworm δεν χρησιμοποίησε προσαρμοσμένο κακόβουλο λογισμικό για το τμήμα OT της επίθεσης, αλλά κατέφυγε σε ένα δυαδικό LoL, το οποίο απαιτεί τεχνογνωσία OT και κατανόηση των στοχευμένων βιομηχανικών διαδικασιών, με την τεχνολογία που χρησιμοποιείται στην επίθεση (MicroSCADA σε αυτήν την περίπτωση) να είναι λιγότερο αξιοσημείωτη.
«Δεν υπάρχει κανένας λόγος που το Sandworm δεν θα μπορούσε να αναπαράγει έναν παρόμοιο τύπο επίθεσης σε άλλο περιβάλλον με διαφορετική τεχνολογία», κατέληξε ο Brubaker.
VIA:
bleepingcomputer.com