Sandworm є однією з основних і найбільш вправних хакерських груп на службі Кремля. У травні 2023 року ми вже писали про них, коли та ж сама компанія Mandiant знайшла й проаналізувала програмне забезпечення CosmicEnergy, призначене для спричинення перебоїв в електропостачанні, яке використовується злочинцями для навчання.

Дивіться також Мушлі замість рублів: на Росії зламали платіжну систему "Мір" і лишили повідомлення про Україну

Деталі звіту

Як зазначають дослідники, інцидент складався з кількох кроків, а не однієї атаки. Хакери використовували нову техніку впливу на промислові системи управління енергосистемою (ICS) та операційні технології (OT).

  • Згідно з аналізом, вторгнення почалося з проникнення в комп'ютерну систему та її вивчення в червні 2022 року або раніше, а завершилося двома руйнівними подіями 10 і 12 жовтня 2022 року.
  • Спочатку Sandworm змусили спрацювати автоматичні вимикачі на підстанції, що спричинило незаплановане відключення електроенергії, яке збіглося з масовими ракетними ударами по об'єктах критичної інфраструктури по всій території України. Зловмисник використав образ оптичного диска (ISO) для виконання власного двійкового файлу MicroSCADA, ймовірно, намагаючись запустити зловмисні команди управління для вимкнення підстанцій. Виходячи з часової мітки від 23 вересня, потенційно існував двомісячний проміжок часу від моменту, коли зловмисник отримав початковий доступ до SCADA-системи, до моменту, коли він реалізував OT-можливості.
  • Через два дні провели другий етап, розгорнувши новий варіант віруса-вайпера CADDYWIPER (призначений для стирання даних) в ІТ-середовищі компанії-жертви. Імовірно, метою було спричинити подальші збої та видалити власні сліди. Розгортання віруса-стирача було обмежене ІТ-середовищем і не вплинуло на гіпервізор або віртуальну машину SCADA. Це незвично, оскільки зловмисник видалив інші "кримінальні артефакти", як їх називають дослідники, з системи SCADA, можливо, намагаючись замести сліди, які були б посилені діяльністю вайпера. Це може вказувати на відсутність координації між різними особами або оперативними підгрупами, які брали участь в атаці.

Хоча ми не змогли визначити початковий вектор доступу до ІТ-середовища, Sandworm отримав доступ до середовища OT через гіпервізор, на якому був розміщений екземпляр системи диспетчерського управління та збору даних (SCADA) для середовища підстанції жертви. Судячи зі слідів бокового переміщення, зловмисник потенційно мав доступ до системи SCADA до трьох місяців,
– пишуть дослідники.

Аналіз методів роботи й використаного хакерами коду свідчить про "розвиток російських можливостей" у сфері кібератак. Спеціалісти Mandiant порівняли методи, які використовували Sandworm в атаках INDUSTROYER, INDUSTROYER.V2 і цій новій, заявивши, що в кожній з них знаходились нові компоненти, яких не було в попередніх. Це свідчить про постійні інвестиції Росії в "наступальні кіберпотужності, орієнтовані на операційні системи".

Дивіться також За вересневою атакою на найбільші російські аеропорти стояла ІТ-Армія України

Ця група виконує роботу для російського ГРУ (Головного управління розвідки) щонайменше з 2009 року. Протягом тривалого часу центром уваги угруповання була Україна, де протягом останнього десятиліття вона проводила кампанію підривних і руйнівних атак з використанням шкідливого програмного забезпечення, в тому числі й вірусів-шифрувальників. Ця група, ймовірно, стоїть за атаками на українську енергосистему в 2015 та 2016 роках, які також призводили до масового вимкнення електроенергії.