Siber Muhbir

Bulgular, saldırıyı endüstriyel kontrol sistemlerini (ICS) etkilemek için yeni bir teknikten yararlanan "çok olaylı bir siber saldırı" olarak nitelendiren Google'ın Mandiant'ından geliyor.

Şirket, "Aktör ilk olarak, kurbanın trafo merkezi devre kesicilerini açmak için OT düzeyinde karada yaşama (LotL) tekniklerini kullandı ve Ukrayna genelinde kritik altyapıya toplu füze saldırılarıyla aynı zamana denk gelen planlanmamış bir elektrik kesintisine neden oldu" dedi.

"Sandworm daha sonra kurbanın BT ortamına yeni bir CaddyWiper varyantı yerleştirerek ikinci bir yıkıcı olay gerçekleştirdi."

Tehdit istihbarat firması, hedeflenen enerji tesisinin yerini, kesintinin süresini ve olaydan etkilenen kişi sayısını açıklamadı.

Gelişme, Sandworm'un en az 2015'ten beri Industroyer gibi kötü amaçlı yazılımlar kullanarak Ukrayna'daki yıkıcı saldırılar düzenleme ve elektrik şebekesini tehlikeye atma konusundaki sürekli çabalarına işaret ediyor.

Siber-fiziksel saldırı için kullanılan ilk vektör şu anda belirsizdir ve tehdit aktörünün LotL tekniklerini kullanmasının bunu başarmak için gereken zamanı ve kaynakları azalttığına inanılmaktadır.

İzinsiz girişin Haziran 2022 civarında gerçekleştiği ve Sandworm aktörlerinin kurbanın trafo merkezi ortamı için bir denetleyici kontrol ve veri toplama (SCADA) yönetimi örneğini barındıran bir hipervizör aracılığıyla operasyonel teknoloji (OT) ortamına erişim kazandığı düşünülüyor.

10 Ekim 2022'de, trafo merkezlerini kapatabilen kötü amaçlı yazılım başlatmak için bir optik disk (ISO) görüntü dosyası kullanıldı ve bu da planlanmamış bir elektrik kesintisine neden oldu.

Mandiant, "OT olayından iki gün sonra Sandworm, daha fazla kesintiye neden olmak ve potansiyel olarak adli eserleri kaldırmak için kurbanın BT ortamında yeni bir CaddyWiper varyantı kullandı" dedi.

CaddyWiper, ilk olarak Mart 2022'de Rusya-Ukrayna savaşıyla bağlantılı olarak ortaya çıkan bir veri silme kötü amaçlı yazılımını ifade eder.

Mandiant, saldırının nihai olarak infaz edilmesinin, adı açıklanmayan kurbanın bulunduğu şehir de dahil olmak üzere bir dizi Ukrayna şehrinde kritik altyapıya yönelik çok günlük bir dizi koordineli füze saldırısının başlamasıyla aynı zamana denk geldiğini belirtti.

Şirket, "Bu saldırı, MicroSCADA denetim kontrol sisteminden yararlanan Ukrayna'nın kritik altyapı ortamları için acil bir tehdit oluşturuyor" dedi.

"Sandworm'un küresel tehdit faaliyeti ve MicroSCADA ürünlerinin dünya çapında dağıtımı göz önüne alındığında, varlık sahipleri küresel olarak BT ve OT sistemlerine karşı taktiklerini, tekniklerini ve prosedürlerini azaltmak için harekete geçmelidir."