Ruská hackerská skupina Sandworm spôsobila výpadky elektriny na Ukrajine: Kyberútoky na infraštruktúru sa snažia zjednodušiť
Bezpečnostní analytici skúmajú kyberoperácie ruských hackerov skupiny Sandworm. Od počiatku konfliktu na Ukrajine je táto skupina mimoriadne aktívna.
Od začiatku konfliktu na Ukrajine sa bojuje nielen na klasickom, ale aj kybernetickom fronte. Obe strany uplatňujú aj hackerské útoky s cieľom narušiť dôležitú infraštruktúru nepriateľa. Ako informujú bezpečnostní analytici z Mandiant, ruská hackerská skupina Sandworm opäť útočí novým variantom malvéru CADDYWIPER.
Experti podotýkajú, že tieto útoky demonštrujú evolúciu schopností Ruska útočiť v kyberpriestore. Zdá sa, že ruské kybernetické sily majú dnes už podstatne vyspelejší arzenál na vykonanie týchto útokov. Hackerská skupina Sandworm vykonala od počiatku konfliktu na Ukrajine množstvo kybernetických operácií vrátane špionáže, propagandy a samozrejme, aj samotných kybernetických útokov na kritickú infraštruktúru. Aktívna je však oveľa dlhšie, podľa expertov najmenej od roku 2009.
„Tento útok predstavuje najnovší vývoj v schopnosti ruského kybernetického fyzického útoku, ktorý je od ruskej invázie na Ukrajinu čoraz viditeľnejší. Techniky využívané počas incidentu naznačujú rastúcu vyspelosť ruského útočného OT arzenálu, vrátane schopnosti rozpoznať nové vektory OT hrozieb, vyvinúť nové schopnosti a využiť rôzne typy OT infraštruktúry na vykonávanie útokov.“, hovoria analytici na bezpečnosť.
Hackeri zo Sandworm útočili na Ukrajinu už posledných desať rokov, teda ešte dlho pred začatím momentálne prebiehajúceho konfliktu. Po invázii Ruskej federácie sa práca skupiny Sandworm znásobila. Okrem samotných útokov na Ukrajinu operujú aj na globálnej škále pričom sa venujú hlavne získavaniu spravodajských informácií.
Mandiant opisuje útok hackerskej skupiny Sandworm, v rámci ktorého sa podarilo útočníkom vyhodiť elektrinu v oblastiach Ukrajiny. Tento útok sa odohral 10. a 12. októbra minulého roku. Hackerom sa podarilo získať prístup do prostredia operačnej technológie, pričom hackeri mohli mať prístup do dôležitého systému SCADA (pozn. redakcie: Supervisory Control and Data Acquisition) až tri mesiace pred útokom.
10. októbra hackeri zneužili infikovaný súbor typu .iso, teda virtuálny obraz optického disku. Prostredníctvom chceli spustiť škodlivý MicroSCADA kód, ktorý by im umožnil vykonať škodlivý príkaz a vypnúť substanice ukrajinskej elektrickej siete.
Neprehliadnite
Slabá koordinácia a snaha zjednodušiť útoky na infraštruktúru
Hlbšia analýza infikovaných súborov odhalila, že medzi získaním prístupu k systému SCADA a vývojom operačnej technológie prebehlo niekoľko mesiacov. Výsledný útok hackerskej skupiny Sandworm ale vyústil v neplánovaný výpadok elektriny na území Ukrajiny. Dva dni po prvotnom útoku hackeri spustili nový variant CADDYWIPER, malvéru, ktorého úlohou je odstrániť všetky dáta zo zariadenia. Týmto útokom spôsobili ešte väčšie rozrušenie ukrajinského IT prostredia a potenciálne po sebe zahladili stopy.
Bezpečnostní experti si všimli, že wiper ovplyvnil len IT prostredie obete, neovplyvnil systém SCADA a iné systémy. V tomto smere ide o zvláštny krok, pretože Sandworm z tohto systému vymazal po sebe stopy a wiper by skupine pomohol po sebe ukryť ešte viac stôp. Bezpečnostní experti podotýkajú, že medzi jednotlivými tímami skupiny nemusí existovať dobrá komunikácia alebo koordinácia.
Tento útok, rovnako ako minuloročný útok pomocou malvéru INDUSTROYER.V2, sú ukážkou toho, ako sa Rusko pokúša zjednodušiť kyberútoky na infraštruktúru Ukrajiny. Bezpečnostní experti zatiaľ nemajú dôkazy na to, aby to potvrdili, no domnievajú sa, že činnosť hackerskej skupiny Sandworm môže byť koordinovaná s vojenskými operáciami Ruska. Hackeri majú potrebnú technológiu na vykonanie útokov, no aj tak analytici pozorovali dlhú dobu medzi nabúraním sa do systému a vykonaním kyberútoku.
Komentáre