Sandworm uit Rusland ontwricht Oekraïne
De Sandworm cyberaanval groep uit Rusland ontwricht de macht in Oekraïne met behulp van een nieuwe aanval op operationele technologie dat wordt gebruikt bij elektriciteitscentrales zo meldt Mandiant, onderdeel van Google.
Mandiant meldt: 'Eind 2022 reageerde Mandiant op een ontwrichtend fysiek cyberincident waarbij de aan Rusland gelinkte bedreigingsacteur Sandworm zich richtte op een Oekraïense organisatie voor kritieke infrastructuur. Dit incident was een cyberaanval met meerdere gebeurtenissen waarbij gebruik werd gemaakt van een nieuwe techniek om industriële controlesystemen (ICS) / operationele technologie (OT) te beïnvloeden. De acteur gebruikte eerst OT-level living off the land (LotL)-technieken om waarschijnlijk de stroomonderbrekers van het onderstation van het slachtoffer te activeren, waardoor een ongeplande stroomstoring ontstond die samenviel met massale raketaanvallen op kritieke infrastructuur in heel Oekraïne. Sandworm voerde later een tweede ontwrichtende gebeurtenis uit door een nieuwe variant van CADDYWIPER in de IT-omgeving van het slachtoffer te implementeren.
Deze aanval vertegenwoordigt de nieuwste evolutie in het Russische cyber-fysieke aanvalsvermogen, dat steeds zichtbaarder is geworden sinds de Russische invasie van Oekraïne. De technieken die tijdens het incident zijn ingezet suggereren een groeiende volwassenheid van het Russische offensieve OT-arsenaal, waaronder het vermogen om nieuwe OT-dreigingsvectoren te herkennen, nieuwe capaciteiten te ontwikkelen en verschillende soorten OT-infrastructuur in te zetten om aanvallen uit te voeren. Door LotL-technieken te gebruiken, heeft de actor waarschijnlijk de tijd en middelen verminderd die nodig zijn om zijn fysieke cyberaanval uit te voeren. Hoewel Mandiant het initiële inbraakpunt niet kon bepalen, suggereert onze analyse dat de OT-component van deze aanval mogelijk in slechts twee maanden is ontwikkeld. Dit geeft aan dat de bedreigingsacteur waarschijnlijk in staat is om snel vergelijkbare capaciteiten te ontwikkelen tegen andere OT-systemen van verschillende Original Equipment Manufacturers (OEM's) die over de hele wereld worden gebruikt.
We hebben deze activiteit aanvankelijk gevolgd als UNC3810 voordat we het cluster met Sandworm samenvoegden. Sandworm is een dreigingsspeler met een volledig spectrum die sinds minstens 2009 spionage-, beïnvloedings- en aanvalsoperaties heeft uitgevoerd ter ondersteuning van het Russische Hoofdinlichtingendirectoraat (GRU). De focus van de groep ligt al lang op Oekraïne, waar het een campagne van ontwrichtende en destructieve aanvallen in de afgelopen tien jaar met behulp van wiper-malware, onder meer tijdens de herinvasie van Rusland in 2022. Buiten Oekraïne blijft de groep spionageoperaties ondersteunen die mondiaal van omvang zijn en illustratief zijn voor de verreikende ambities en belangen van het Russische leger in andere regio's. Aanklachten van de regering hebben de groep in verband gebracht met het Main Center for Special Technologies (ook bekend als GTsST en Militaire Eenheid 74455). Gezien de mondiale dreigingsactiviteit van Sandworm en de nieuwe OT-mogelijkheden, dringen wij er bij eigenaren van OT-activa op aan actie te ondernemen om deze dreiging te verzachten. We hebben een reeks detecties, jacht- en verhardingsbegeleiding, MITRE ATT&CK-kaarten en meer opgenomen in de bijlagen van deze blogpost.'
Als u ondersteuning nodig heeft bij het reageren op gerelateerde activiteiten, neem dan contact op met Mandiant Consulting . Verdere analyses van Sandworm-bedreigingsactiviteiten zijn beschikbaar als onderdeel van Mandiant Advantage Threat Intelligence .
