Rus bilgisayar korsanları, toplu füze saldırılarının ortasında Ukrayna'da gücü bozmak için OT saldırısını kullandı

Mandiant'taki tehdit avcıları, geçen Ekim ayında Rusya'nın "Sandworm" bilgisayar korsanları tarafından planlanmamış bir elektrik kesintisine neden olan ve Ukrayna'daki kritik altyapıya yönelik toplu füze saldırılarıyla aynı zamana denk gelen, daha önce belgelenmemiş bir çift operasyonel teknoloji (OT) saldırısına ışık tutuyor.

Birkaç ay süren ve geçen yıl 10 ve 12 Ekim'de iki yıkıcı olayla sonuçlanan saldırılar, Mandiant'ın endüstriyel kontrol sistemlerini (ICS) ve OT'yi etkilemek için "yeni bir teknik" olarak tanımladığı şeyden yararlandı.

Mandiant, Sandworm'un kullanım ömrü sona eren bir MicroSCADA kontrol sistemi içinde kod yürüttüğünü ve kurbanın bağlı trafo merkezlerini etkileyen komutlar verdiğini yakaladığını söyledi.

Bir Hitachi Energy ürünü olan MicroSCADA, 10.000'den fazla trafo merkezinde konuşlandırılmıştır ve elektrik şebekeleri, proses endüstrileri, hastaneler, limanlar ve veri merkezleri gibi kritik altyapılarda gücü yönetir ve izler.

Mandiant, saldırılarla ilgili ayrıntıları içeren teknik bir makalede, "Aktör ilk olarak, kurbanın trafo merkezi devre kesicilerini muhtemelen açmak için OT düzeyinde karadan yaşam (LotL) tekniklerini kullandı ve Ukrayna genelinde kritik altyapıya toplu füze saldırılarıyla aynı zamana denk gelen planlanmamış bir elektrik kesintisine neden oldu" dedi.

OT saldırısından sadece iki gün sonra, Rus bilgisayar korsanları, ek hasara neden olmak ve potansiyel olarak "adli eserleri kaldırmak" için kurbanın BT ortamına yeni bir CADDYWIPER varyantı yerleştirerek ikinci bir yıkıcı olay gerçekleştirdi.

Şirket, "Bu saldırı, Rusya'nın siber fiziksel saldırı kabiliyetindeki en son evrimi temsil ediyor" uyarısında bulundu ve "Rusya'nın yeni OT tehdit vektörlerini belirleme, yeni yetenekler geliştirme ve saldırıları yürütmek için farklı OT altyapısından yararlanma yeteneğini içeren saldırgan OT cephaneliğinin artan olgunluğuna dikkat çekti.

Mandiant, Rusya'nın Ana İstihbarat Müdürlüğü'nü (GRU) desteklemek için casusluk, etki ve kötü amaçlı yazılım saldırısı operasyonları yürütürken birkaç kez yakalanan Sandworm hack ekibinin, saldırının OT bileşenini iki ay gibi kısa bir sürede geliştirmiş gibi göründüğünü söyledi.

Şirket, "Bu, tehdit aktörünün, dünya çapında kullanılan farklı orijinal ekipman üreticilerinin (OEM'ler) diğer OT sistemlerine karşı benzer yetenekleri hızla geliştirebileceğini gösteriyor" dedi.

Bilgisayar korsanlarının kuruluşun sistemlerine ilk erişimi nasıl elde ettikleri belli değil. İlk olarak Haziran 2022'de internete maruz kalan bir sisteme bir web kabuğu dağıttıklarında hedefin ortamında görüldüler.

Saldırının OT tarafı için Sandworm, hedefin trafo merkezi ortamı için MicroSCADA denetleyici kontrol ve veri toplama (SCADA) örneğini barındıran bir hipervizörde sanal bir CD-ROM olarak bir ISO görüntü dosyası dağıttı. Bu ISO, saldırganların rastgele komutlar çalıştırmasını sağlayan meşru bir MicroSCADA yardımcı programı olan 'scilc.exe' çalıştıran dosyalar içeriyordu.

Mandiant, saldırganlar tarafından tam olarak hangi komutların yürütüldüğünü belirleyemese de, muhtemelen devre kesicileri açmaya çalıştılar. MicroSCADA sunucusu, komutları seri bağlantılar için IEC-60870-5-101 protokolü veya TCP/IP bağlantıları için IEC-60870-5-104 protokolü aracılığıyla trafo merkezi uzak terminal birimlerine (RTU'lar) iletirdi.

Mandiant, tehdit aktörünün SCADA sistemine üç aya kadar erişimi olduğuna inanıyor.

Mandiant ekibi, saldırının inceliklerinin, Rus bilgisayar korsanlarının basitleştirilmiş dağıtım özellikleri aracılığıyla OT saldırı yeteneklerini düzene sokmak için hızlı hareket ettiğini gösterdiğini söyledi ve Sandworm'un bir OT ortamını bozmak için Living off the Land ikili dosyasını (LotLBin) kullanmasının "tekniklerde önemli bir değişiklik gösterdiği" konusunda uyardı.

SecurityWeek'e arka planda konuşan araştırma ekibinin bir üyesi, OT'de sözde 'karadan yaşamanın' kritik altyapı kurulumlarındaki savunucuları endişelendirmesi gereken yeni bir saldırı sınıfı olduğu konusunda uyardı.

Mandiant, "Sandworm'un küresel tehdit etkinliği ve yeni OT yetenekleri göz önüne alındığında, OT varlık sahiplerini bu tehdidi azaltmak için harekete geçmeye çağırıyoruz" dedi. Güvenlik firması raporunda bir dizi tespit, avlanma ve sertleştirme kılavuzu ve MITRE ATT&CK haritalamaları paylaştı.

Rusya, Ukrayna'nın enerji sektörünü hedef alan önceki saldırılarda Industroyer ve Industroyer2 gibi OT kötü amaçlı yazılımlarını kullanmıştı.

Mandiant'ın araştırmacılarının Perşembe günü Washington DC'deki CYBERWARCON etkinliğinde yıkıcı Ekim saldırıları hakkında ek ayrıntılar paylaşması bekleniyor.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği