新闻中心

NEWS CENTER

OT攻击协同导弹打击!俄罗斯“沙虫”APT新型攻击摧毁了乌克兰电网


Mandiant公司11月9日发布报告称,2022年底,该公司响应了一起破坏性网络物理事件,其中与俄罗斯有关的威胁参与者Sandworm针对乌克兰关键基础设施组织进行了攻击。该事件是一次多事件网络攻击,利用一种影响工业控制系统 (ICS)/操作技术 (OT) 的新技术。该攻击者首先使用OT级陆上生活 (LotL) 技术来可能触发受害者的变电站断路器,导致意外停电,同时乌克兰各地的关键基础设施遭到大规模导弹袭击。Sandworm随后在受害者的IT环境中部署了CADDYWIPER擦除器的新变种,从而实施了第二次破坏性事件。Mandiant没有透露目标能源设施的位置、停电时间以及受影响的人数。

 

这次攻击代表了俄罗斯网络物理攻击能力的最新演变,自俄罗斯入侵乌克兰以来,这种攻击能力变得越来越明显。事件期间使用的技术表明俄罗斯进攻性 OT武器库日益成熟,包括识别新的OT威胁向量、开发新功能以及利用不同类型的 OT基础设施执行攻击的能力。通过使用LotL技术,攻击者可能减少了进行网络物理攻击所需的时间和资源。虽然Mandiant无法确定最初的入侵点,但他们的分析表明,这次攻击OT部分的技术与工具可能是在短短两个月内开发出来的。这表明威胁行为者可能能够快速开发针对来自全球不同原始设备制造商 (OEM) 的其他OT系统的类似功能。 

 

在将该组织与Sandworm归并之前,他们最初将此活动跟踪为UNC3810。Sandworm是一个全方位的威胁行为者,至少自2009年以来一直为支持俄罗斯主要情报局(GRU)开展间谍活动、影响力和攻击行动。该组织长期以来的中心焦点一直是乌克兰,并在那里开展了一系列活动。过去十年中,包括在俄罗斯 2022年再次入侵期间,该组织利用擦除器恶意软件发起了破坏性和损毁性攻击。在乌克兰之外,该组织继续开展全球范围的间谍活动,这体现了俄罗斯军方深远的野心和利益。政府起诉书将该组织与特殊技术主要中心(也称为 GTsST和军事单位74455)联系起来。鉴于Sandworm的全球威胁活动和新颖的OT攻击能力,他们敦促OT资产所有者采取行动减轻这一威胁。他们在本博客文章的附录中提供了一系列检测、狩猎和强化指导、MITRE ATT&CK映射等。

 

Mandiant首席分析师John Hultquist强调:“没有太多证据表明这次攻袭击是出于任何实际的军事需要。平民通常是这类攻击的受害者,攻击可能是为了加剧战争造成的心理损失。重要的是,人们不要忽视乌克兰仍然面临的严重威胁,尤其是在冬季临近之际。”“人们有一种误解,认为乌克兰的袭击事件并未达到预期。事实上,乌克兰防御者及其合作伙伴的出色工作限制了袭击,他们不知疲倦地努力防止了一百种类似的情况。这一事件是孤立的,这一事实证明了他们的出色工作。”

 

事件概要

 

根据Mandiant的分析,入侵始于2022年6月或之前,并在2022年10月10日和12日导致两次破坏性事件。虽然他们无法识别进入IT环境的初始访问向量,但Sandworm获得了对OT环境通过虚拟机管理程序托管受害者变电站环境的监控和数据采集 (SCADA) 管理实例。根据横向移动的证据,攻击者可能可以访问SCADA系统长达三个月。 

 

在初次访问时,俄罗斯沙虫在面向互联网的服务器上部署了一个名为neo-regeorg的Web shell,其活动“与该组织之前扫描和利用面向互联网的服务器进行初始访问的活动一致”。后来他们部署了GoGetter,一种定制的TCP隧道工具,用于命令和控制。他们通过部署 Systemd来获得持久性,Systemd是一种Linux操作系统服务,允许程序在特定条件下运行。

 

10月10日,攻击者利用名为“a.iso”的光盘 (ISO) 映像执行本机MicroSCADA二进制文件,可能试图执行恶意控制命令来关闭变电站。ISO 文件至少包含以下内容:

“lun.vbs”,运行n.bat

“n.bat”,可能运行本机scilc.exe实用程序

“s1.txt”,可能包含未经授权的MicroSCADA命令

 

根据“lun.vbs”的9月23日时间戳,从攻击者首次访问SCADA系统到开发OT功能,可能有两个月的时间段。尽管他们无法完全恢复二进制文件实现的ICS命令执行,但他们知道攻击导致了意外断电。图1包含导致破坏性OT事件的执行链的可视化。

 

图1:破坏性OT事件执行链

 

OT事件发生两天后,Sandworm在受害者的IT环境中部署了CADDYWIPER的新变种,以造成进一步的破坏,并有可能删除取证工件。但是,他们注意到擦除器部署仅限于受害者的IT环境,不会影响虚拟机管理程序或SCADA虚拟机。这是不寻常的,因为威胁行为者从SCADA系统中删除了其他取证工件,可能试图掩盖他们的踪迹,而擦拭器活动会增强这种踪迹。这可能表明参与攻击的不同个人或操作小组之间缺乏协调。

 

俄罗斯进攻性网络能力的洞察

 

Sandworm的变电站攻击揭示了俄罗斯对面向OT的进攻性网络能力和攻击OT系统的总体方法的持续投资。此次事件和去年的INDUSTROYER.V2事件都表明了通过简化部署功能来简化OT攻击能力的努力。他们在分析一系列详细说明增强俄罗斯进攻性网络能力的项目要求的文件时发现了同样的努力。

 

同样,疑似GRU发起的OT攻击的演变表明每次攻击的破坏性活动范围有所缩小。2015年和2016年乌克兰停电事件均针对OT环境发生了多个离散的破坏性事件(例如,禁用UPS 系统、破坏串行以太网转换器、对SIPROTEC继电器进行DoS攻击、擦除OT系统等)。相比之下,INDUSTROYER.V2事件缺少许多相同的破坏性组件,并且该恶意软件不具有原始INDUSTROYER中的擦除器模块。同样,Sandworm在OT网络中的活动似乎已简化为仅执行未经授权的ICS命令消息,而擦除器活动仅限于IT环境。虽然这种转变可能反映了战时网络行动节奏的加快,但它也揭示了GRU在OT攻击中的优先目标。

 

Sandworm使用原生的Living off the Land二进制文件(LotLBin)来破坏OT环境,这显示了技术上的重大转变。使用比之前OT事件中观察到的工具更轻量级和通用的工具,攻击者可能减少了进行网络物理攻击所需的时间和资源。LotLBin技术还使防御者难以检测威胁活动,因为他们不仅需要对引入其环境的新文件保持警惕,而且还需要对已安装的OT应用程序和服务中已存在的文件的修改保持警惕。

 

正如最近详细介绍GRU颠覆性策略的研究中所概述的那样,他们观察到Sandworm在其更广泛的操作中采用LotL策略,以同样提高其操作的速度和规模,同时最大限度地减少检测的可能性。

 

虽然他们缺乏足够的证据来评估可能的联系,但他们注意到袭击的时间与俄罗斯的动能行动重叠。Sandworm可能早在OT事件发生前三周就开发出了破坏性能力,这表明攻击者可能一直在等待特定时刻来部署该能力。最终发动袭击的 同时,针对乌克兰多个城市(包括受害者所在城市)的关键基础设施开始进行为期多天的协调导弹袭击。

 

图2:历史上影响OT的俄罗斯网络攻击活动

 

结论及建议

 

此次攻击对应用MicroSCADA监控系统的乌克兰关键基础设施环境构成直接威胁。鉴于Sandworm的全球威胁活动和MicroSCADA产品的全球部署,全球资产所有者应采取行动,缓解其针对IT和OT系统的策略、技术和程序。此外,Mandiant对该活动的分析表明,俄罗斯将有能力开发针对MicroSCADA和SCIL之外的其他SCADA系统和编程语言的类似功能。Mandiant敦促资产所有者审查并实施以下建议,以减轻和检测此活动。

 

SCIL是一种专为MicroSCADA控制系统设计的高级编程语言,可以操作系统及其功能。SCI 程序通常是基于文本的语句,可以由命令、对象、变量、对预定义函数的调用和表达式组成。SCIL程序可以通过多种方法执行,例如工程师/操作员单击MicroSCADA系统内的按钮或图像、计划或过程衍生的更改,或者手动执行。

 

参考资源

 

1.https://www.mandiant.com/resources/blog/sandworm-disrupts-power-ukraine-operational-technology

2.https://www.infosecurity-magazine.com/news/russia-sandworm-disrupted-power/

 

文章来源于网空闲话

素材来源官方媒体/网络新闻

 

杭州中电安科现代科技有限公司

 

中电安科成立于2016年,是国内领先的工控网络安全产品与解决方案提供商,同时也是国家级“专精特新‘小巨人’企业”。公司始终聚焦工控网络安全产品的自主研发,以“可知”“可管”“可控”为防护理念,凭借覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域的工业网络安全产品体系,以创新赋能电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业用户。自2021年起,公司相继获中国电科、中国中车、国家电网、长江资本等央企旗下产业基金战略投资,正式进入网络安全“国家队”。

 

专注工控安全

 护航关基民生

www.zd-sec.com

 400-606-8226

渠道合作:李经理 19157600997

技术咨询:齐经理 15010390956

品牌合作:赵经理 15010923501

相关新闻