Kum Solucanı Siber Saldırganları Füze Saldırıları Sırasında Ukrayna Güç Şebekesini Düşürdü - Dünyadan Güncel Teknoloji Haberleri

Kum Solucanı Siber Saldırganları Füze Saldırıları Sırasında Ukrayna Güç Şebekesini Düşürdü - Dünyadan Güncel Teknoloji Haberleri

Aynı zamanda Rusya-Ukrayna siber tarihine bakmanın başka bir yolunu da sunuyor: Rusya’nın saldırıları daha az ehlileşti ve Ukrayna’nın savunması daha sağlam hale geldi Aynı gündeki bir kinetik savaş saldırısıyla (tesadüfen veya başka bir şekilde) çakışan bu sistem, MicroSCADA kontrol sistemine özgü bir ikili dosyayı yürütmek için bir optik disk (ISO) görüntü dosyası kullandı

Hultquist şu sonuca varıyor: “Ukrayna’nın ağları şu anki baskının aynısı altında olsaydı ve belki on yıl önce mevcut olan savunmaların aynısı olsaydı, bu durum çok daha farklı olurdu Bu saldırı endüstriyel sistemlere değil, yalnızca BT ağına dokundu ve ilk saldırıya ilişkin adli kanıtları silmeyi veya yalnızca daha fazla kesintiye neden olmayı amaçlıyor olabilir

“Bence bu olay başka bir yol olduğunu gösteriyor ve ne yazık ki bu diğer yol savunmacılar olarak bizi gerçekten zorlayacak çünkü bu bizim mutlaka karşı imza kullanıp topluca arayamayacağımız bir şey

Mandiant’ın baş analisti John Hultquist’e göre bu durum endişe verici bir emsal teşkil ediyor ” “Siber savaşa karşı savunma yapan herkesten daha deneyimliler ve onlardan öğrenecek çok şeyimiz var Sağanak yağış sırasında 84 seyir füzesi ve 24 drone saldırısı Sandworm, Ukrayna’nın 20 şehrinde iki aylık hazırlıktan yararlandı ve etkilenen şehirlerden birinde beklenmedik bir elektrik kesintisine neden oldu



Rusya’nın kötü şöhretli Kum Solucanı gelişmiş kalıcı tehdit (APT) grubu, Ekim 2022’de Ukrayna’nın bir şehrinde bir füze saldırısı barajına denk gelen bir elektrik kesintisini hızlandırmak için arazide yaşama (LotL) tekniklerini kullandı “Böyle bir şeye karşı savunma yapıp yapamayacağımız konusunda kendimize bazı zor sorular sormamız gerekecek” diyor

Rusya’nın Özel Teknolojiler Ana Merkezi’ne bağlı olan Sandworm’un Ukrayna’daki siber saldırılarla ilgili hikayeli bir geçmişi var: 2015 ve 2016’da BlackEnergy kaynaklı elektrik kesintileri, kötü şöhretli NotPetya silici ve Ukrayna savaşıyla örtüşen daha yeni kampanyalar

Kesintiden iki gün sonra Sandworm, CaddyWiper temizleme yazılımının yeni bir sürümünü dağıtarak saniyeler içinde geri geldi Mandiant’ın bir raporu Savaş, bir dereceye kadar, daha yakın tarihli, benzer büyüklükteki siber saldırılar için bir sis perdesi oluşturdu

Hultquist, bu son vakanın bir dönüm noktası olup olmadığını düşünürken, “Industroyer gibi araçlardan yararlanmaya çalışan ve keşfedildikleri için sonunda başarısız olan bu aktörün geçmişine bakabilirsiniz” diyor “Bu şeyleri bulmak için gerçekten çok çalışmamız gerekecek

Kısa bir süre sonra grup, BT ile operasyonel teknoloji (OT) ağları arasındaki ayrımı aşmayı başardı ve denetleyici kontrol ve veri toplama (SCADA) yönetim örneğini (tesis operatörlerinin makinelerini ve süreçlerini yönettiği yer) barındıran bir hipervizöre erişmeyi başardı

Bir Kum Solucanı Daha Elektrik Kesintisi

Kesin izinsiz giriş yöntemi hala bilinmemekle birlikte, araştırmacılar Sandworm’un Ukrayna trafo merkezine ilk ihlalini en az Haziran 2022 olarak tarihlendirdiler

Rusya-Ukrayna Daha Eşitleşiyor

Sandworm’un BlackEnergy ve NotPetya saldırıları siber güvenlik, Ukrayna ve askeri tarih açısından ufuk açıcı olaylardı; hem küresel güçlerin kinetik-siber savaş kombinasyonuna bakışını hem de siber güvenlik savunucularının endüstriyel sistemleri nasıl koruduğunu etkiledi Bunun yerine grup, Ukrayna’nın giderek karmaşıklaşan kritik altyapı siber savunmasını baltalamak için LotL ikili dosyalarından yararlandı ”



siber-1

Bu artan farkındalığın bir sonucu olarak, aynı grubun yıllar içinde yaptığı benzer saldırılar, ilk standartlarının oldukça gerisinde kaldı

Bugün açıklanan Ekim 2022’den bir örneği ele alalım Kesin komutlar bilinmiyor, ancak grup muhtemelen trafo merkezinin uzak terminal birimlerine (RTU’lar) komutlar göndermek için virüslü bir MicroSCADA sunucusu kullanmış ve onlara devre kesicileri açmaları ve böylece gücü kesmeleri talimatını vermiştir Örneğin, işgalden kısa bir süre sonra ikinci Industroyer saldırısı gerçekleşti; her ne kadar kötü amaçlı yazılım, 2016’da Ukrayna’nın gücünü deviren saldırıyla aynı derecede güçlü olsa da, saldırı genel olarak herhangi bir ciddi sonuca yol açamadı ,” diyor

Önceki Sandworm ızgara saldırılarından farklı olarak bu saldırı, bazı gelişmiş siber silahlar açısından dikkate değer değildi

Sandworm, üç aya kadar SCADA erişiminin ardından doğru anı seçti