Rus Hackerlar Kum Solucanı, Füze Saldırılarının Ortasında Ukrayna'da Elektrik Kesintisine Neden Oldu
Sandworm olarak bilinen kötü şöhretli Rus bilgisayar korsanları, geçen yıl Ukrayna'daki bir elektrik trafo merkezini hedef alarak Ekim 2022'de kısa bir elektrik kesintisine neden oldu.
Bulgular, saldırıyı endüstriyel kontrol sistemlerini (ICS) etkilemek için yeni bir teknikten yararlanan "çok olaylı bir siber saldırı" olarak nitelendiren Google'ın Mandiant'ından geliyor.
Şirket, "Aktör ilk olarak, kurbanın trafo merkezi devre kesicilerini açmak için OT düzeyinde karada yaşama (LotL) tekniklerini kullandı ve Ukrayna genelinde kritik altyapıya toplu füze saldırılarıyla aynı zamana denk gelen planlanmamış bir elektrik kesintisine neden oldu" dedi.
"Sandworm daha sonra kurbanın BT ortamına yeni bir CaddyWiper varyantı yerleştirerek ikinci bir yıkıcı olay gerçekleştirdi."
Tehdit istihbarat firması, hedeflenen enerji tesisinin yerini, kesintinin süresini ve olaydan etkilenen kişi sayısını açıklamadı.
Gelişme, Sandworm'un en az 2015'ten beri Industroyer gibi kötü amaçlı yazılımlar kullanarak Ukrayna'daki yıkıcı saldırılar düzenleme ve elektrik şebekesini tehlikeye atma konusundaki sürekli çabalarına işaret ediyor.
Siber-fiziksel saldırı için kullanılan ilk vektör şu anda belirsizdir ve tehdit aktörünün LotL tekniklerini kullanmasının bunu başarmak için gereken zamanı ve kaynakları azalttığına inanılmaktadır.
İzinsiz girişin Haziran 2022 civarında gerçekleştiği ve Sandworm aktörlerinin kurbanın trafo merkezi ortamı için bir denetleyici kontrol ve veri toplama (SCADA) yönetimi örneğini barındıran bir hipervizör aracılığıyla operasyonel teknoloji (OT) ortamına erişim kazandığı düşünülüyor.
10 Ekim 2022'de, trafo merkezlerini kapatabilen kötü amaçlı yazılım başlatmak için bir optik disk (ISO) görüntü dosyası kullanıldı ve bu da planlanmamış bir elektrik kesintisine neden oldu.
Mandiant, "OT olayından iki gün sonra Sandworm, daha fazla kesintiye neden olmak ve potansiyel olarak adli eserleri kaldırmak için kurbanın BT ortamında yeni bir CaddyWiper varyantı kullandı" dedi.
CaddyWiper, ilk olarak Mart 2022'de Rusya-Ukrayna savaşıyla bağlantılı olarak ortaya çıkan bir veri silme kötü amaçlı yazılımını ifade eder.
Mandiant, saldırının nihai olarak infaz edilmesinin, adı açıklanmayan kurbanın bulunduğu şehir de dahil olmak üzere bir dizi Ukrayna şehrinde kritik altyapıya yönelik çok günlük bir dizi koordineli füze saldırısının başlamasıyla aynı zamana denk geldiğini belirtti.
Şirket, "Bu saldırı, MicroSCADA denetim kontrol sisteminden yararlanan Ukrayna'nın kritik altyapı ortamları için acil bir tehdit oluşturuyor" dedi.
"Sandworm'un küresel tehdit faaliyeti ve MicroSCADA ürünlerinin dünya çapında dağıtımı göz önüne alındığında, varlık sahipleri küresel olarak BT ve OT sistemlerine karşı taktiklerini, tekniklerini ve prosedürlerini azaltmak için harekete geçmelidir."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı