Rusya’nın askeri GRU biriminde faaliyet gösteren kötü şöhretli Sandworm tehdit grubu, izlendiğini fark ettiğinde araştırmacılarla alay etmekten çekinmiyor. Bu yılın başlarında Sandworm’un daha yeni kötü amaçlı yazılım türevlerinden birini incelediklerinde mesajı yüksek ve net bir şekilde alan Robert Lipovsky ve ESET’teki diğer araştırmacılarına sorun: Sandworm saldırganları, yükleyiciyi veri silme varyantlarından biri için IDAPro tersi olarak gizledi. mühendislik aracı – araştırmacıların saldırganların kötü amaçlı yazılımlarını analiz etmek için kullandığı aracın aynısı.
ESET’teki tehdit istihbaratı araştırmacısı Lipovsky, bunun tesadüf olmadığını biliyordu. Kum kurdu büyük ihtimalle yüzsüzce ve alaycı bir şekilde grubun ESET’in peşinde olduğunu bildiğini söylüyordu. Bir mühendislik trafo merkezine yapılan saldırıda “IDAPro’yu kullanmak için hiçbir neden yok” çünkü bu, o sistemde kullanılacak bir araç değil, diye açıklıyor. “Saldırganların üzerlerinde olduğumuzun ve tehditlerini engellediğimizin tamamen farkında oldukları oldukça açık. Belki bizi trolluyorlar, diyebilirim.”
Sandworm’un gönderdiği tek mesaj bu değildi. Grup ayrıca, Ukrayna ağlarını hedef alırken ESET’in güvenlik yazılımının Truva atlı bir sürümünü de yayınladı. Lipovsky, “Ukrayna’daki kullanıcıları korumak için işimizi yaptığımızın farkında olduklarına dair bir mesaj gönderiyorlardı” diyor.
Lipovsky, Nisan ayında Ukrayna’nın bilgisayar acil müdahale ekibi (CERT-UA) ve Microsoft ile birlikte, Sandworm’un Ukrayna’daki bir enerji şirketine, oyunun kurallarını değiştiren Industroyer kötü amaçlı yazılım silahının yeni bir sürümünü kullanarak yaptığı bir siber saldırıyı engelleyen ESET ekibinin bir parçasıydı. Sanayici2. Zamanında engellenmemiş olsaydı, saldırı ülkenin elektrik şebekesinin bir kısmından birkaç yüksek voltajlı trafo merkezini devirecekti.
Industroyer2, Sandworm’un Aralık 2016’da piyasaya sürdüğü ve Ukrayna’nın başkenti Kiev’in bazı bölgelerinde geçici olarak elektrik kesintisi yaptığı ilk yinelemenin (Industroyer) daha özel bir versiyonudur. Nisan ayındaki Industroyer2 saldırı girişimi, saldırganların planlı elektrik kesintisi yaşandığında kurtarma operasyonlarını engellemek amacıyla Windows, Linux ve Solaris çalıştıran mühendislik iş istasyonlarını yok etmek için tasarlanmış yıkıcı disk silme araçlarıyla da geldi. Industroyer, ışıkları kapatabilen bilinen ilk kötü amaçlı yazılımdı ve elektrik trafo merkezlerindeki ICS donanımıyla (örneğin devre kesiciler ve koruyucu röleler) popüler endüstriyel ağ protokolleri aracılığıyla iletişim kurabilir.
Nisan ayında Ukrayna’ya yönelik Industroyer2 saldırı girişiminin yüksek profilli bir şekilde engellenmesinden sonra bile Sandworm, Ukrayna’nın siber savunmasını acımasızca dövmeye devam ediyor. ESET kıdemli kötü amaçlı yazılım araştırmacısı Anton Cherepanov ile paylaşacak olan Lipovsky, “Industroyer2 ile bitmedi. Bugün de devam ediyor” diyor. içerdekilerin görüşü Sandworm ve grubun Industroyer2 kötü amaçlı yazılımını inceleyin önümüzdeki ay Las Vegas’ta Black Hat USA’da.
“Bugün daha fazla silici var… ve yeni yürütme zincirleri kullanılıyor” diyor.
Sandworm’un Ukrayna’nın altyapısına yönelik mevcut saldırı girişimlerinin çoğu artık disk silme silahları taşıyor. “Yıkım faaliyeti gördük [attempts] Rusya’nın Ukrayna’yı ilk işgal ettiği şubat ayından bu yana artan oranlarda” diyor. Siber casusluk saldırıları yoluyla bilgi toplama da etkindi, diye ekliyor, Sandworm’un Ukrayna’yı hedef alan en önde gelen Rus tehdit aktörü olmasına rağmen, bu değil. sadece bir.
Industroyer2 yukarı Kapat
Black Hat konuşmalarında Lipovsky ve Cherepanov, Sandworm hakkında henüz kamuya açıklanmayan daha fazla teknik ayrıntıyı açıklamayı ve ulus devlet grubunun saldırılarına karşı savunmak için kamu hizmetlerine yönelik tavsiyeleri paylaşmayı planlıyor.
Lipovsky ve ekibi, Industroyer2’yi ilk versiyonun daha basit, daha akıcı bir versiyonu olarak tanımlıyor. İlk Industroyer’dan farklı olarak Industroyer2, yalnızca bir OT protokolü, IEC 104 konuşur. Orijinal versiyonda dört farklı endüstriyel protokol kullanılmıştır. Muhtemelen bu şekilde daha verimli ve odaklıdır: “[IEC 104 is] en yaygın olanlardan biri [OT] Avrupa’da protokoller ve bölgesel bir şey” diye belirtiyor.
Industroyer2’nin disk silme özellikleri, ilk sürümünkileri gölgede bırakıyor. “Birincisi, birden fazla bileşene sahip bir çerçeveydi ve ayrıca silme için orada bulunan ek modülleri de çağırıyordu” diyor. Industroyer2 daha “bağımsız” ve silecekleri ayrı yürütülebilir dosyalar olarak sunuyor, diyor, diğer son siber olaylarda keşfedilen kötü amaçlı yazılım silahları.
CaddySilecek Industroyer2 ile kullanılan ana disk sileceğidir. Sandworm, Rusya’nın Şubat ayında Ukrayna’yı işgal etmesinden 24 saat önce CaddyWiper’ı bir Ukrayna bankasına, Nisan ayı başlarında bir devlet kurumuna ve hedeflenen Ukraynalı enerji firmasındaki bazı Windows iş istasyonlarına yöneltti. Sandworm ayrıca oradaki Linux ve Solaris iş istasyonlarında ORCSHRED, SOLOSHRED ve AWFULSHRED yıkıcı kötü amaçlı yazılım programları kurdu. Ve son bir dokunuş olarak, Sandworm, Industroyer2’nin tüm kanıtlarını silmek için CaddyWiper’ı 8 Nisan’da yürütmeyi planlamıştı, ancak engellendi.
İlginç bir şekilde Sandworm, kurbanın ağındaki kendi dayanağını bozmamak için tipik olarak etki alanı denetleyicilerini silmez. Lipovsky, “Bir hedefin operasyonlarını bozmak için normal iş istasyonlarını silerler, ancak bir ortama sızdıktan sonra varlıklarını korumak isterler” diyor.
ESET ve diğer araştırmacıların artık Industroyer2 hakkında bildiklerine rağmen, Ukraynalı enerji firmasına yapılan Industroyer2 saldırısındaki ilk saldırı vektörünün tam bir resmi hala yok. CERT-UA, saldırının iki aşamada gerçekleştiğini söyledi; birincisi muhtemelen bu yılın Şubat ayında, diğeri ise hedefin 8 Nisan’da elektrik trafo merkezlerinin bağlantısını kesmek ve elektrik operasyonlarını sabote etmek olduğu Nisan ayında.
Industroyer, Sandworm’a Karşı Savunma
Industroyer2 Ukrayna konusunda eğitilmiş olsa da, ortaya çıkışı OT endüstrisini sarstı. Lipovsky, “Industroyer, tüm ICS topluluğu için bir uyandırma çağrısıydı. Bu ciddi bir tehdit” diyor.
Bir OT ağını Industroyer ve ilgili saldırılardan korumaya yönelik oyun kitabı diğerlerinden çok farklı değil. Lipovsky, “Her zaman söylediğimiz şey buydu: Çevreyi görün; EDR, XDR araçlarına sahip olun; yığında birden çok güvenlik katmanına ve erişim kontrollerine sahip olun” diyor.
Black Hat Lipovsky ve Cherepanov’daki konuşmalarında ayrıca EDR kurallarını, yanal hareketi durdurmak için konfigürasyon önerilerini ve Snort ve YARA araçları için kuralları paylaşacaklar.
Ayrıca, OT ağlarındaki mühendislik iş istasyonlarının ana hedefler haline geldiğini ve bu nedenle güvenlik denkleminin bir parçası olmaları gerektiğini yinelemeyi planlıyorlar. “Windows veya Linux çalıştıran normal iş istasyonlarında pek çok SCADA yazılımı ve izleme yapılıyor. Bu makineler, EDR veya XDR araçlarını çalıştırmak da dahil olmak üzere, uygun güvenlik önlemlerine ve çok katmanlı çözümlere sahip olmalıdır” diyor.