Sandworm является одной из основных и наиболее искусных хакерских групп на службе Кремля. В мае 2023 года мы уже писали о них, когда та же компания Mandiant нашла и проанализировала программное обеспечение CosmicEnergy, предназначенное для перебоев в электроснабжении, которое используется преступниками для обучения.

Смотрите также Ракушки вместо рублей: на России взломали платежную систему "Мир" и оставили сообщение об Украине

Подробности отчета

Как отмечают исследователи, инцидент состоял из нескольких шагов, а не одной атаки. Хакеры использовали новую технику воздействия на промышленные системы управления энергосистемой (ICS) и операционные технологии (OT).

  • Согласно анализу, вторжение началось с проникновения в компьютерную систему и ее изучения в июне 2022 года или ранее, а завершилось двумя разрушительными событиями 10 и 12 октября 2022 года.
  • Сначала Sandworm заставили сработать автоматические выключатели на подстанции, что повлекло незапланированное отключение электроэнергии, совпавшее с массовыми ракетными ударами по объектам критической инфраструктуры по всей территории Украины. Злоумышленник использовал образ оптического диска (ISO) для выполнения собственного двоичного файла MicroSCADA, вероятно, пытаясь запустить злонамеренные команды управления для отключения подстанций. Исходя из временной метки от 23 сентября, потенциально существовал двухмесячный промежуток времени от момента, когда злоумышленник получил начальный доступ к SCADA-системе, до момента, когда он реализовал OT-возможности.
  • Через два дня провели второй этап, развернув новый вариант вируса-вайпера CADDYWIPER (предназначенный для стирания данных) в IТ-среде компании-жертвы. Вероятно, целью было вызвать дальнейшие сбои и удалить собственные следы. Развертывание вируса-стирателя было ограничено IТ-средой и не повлияло на гипервизор или виртуальную машину SCADA. Это необычно, поскольку злоумышленник удалил другие "криминальные артефакты", как их называют исследователи, из системы SCADA, возможно, пытаясь замести следы, которые были бы усилены деятельностью вайпера. Это может указывать на отсутствие координации между различными лицами или оперативными подгруппами, участвовавшими в атаке.

Хотя мы не смогли определить начальный вектор доступа к IТ-среде, Sandworm получил доступ к среде OT через гипервизор, на котором был размещен экземпляр системы диспетчерского управления и сбора данных (SCADA) для среды подстанции жертвы. Судя по следам бокового перемещения, злоумышленник потенциально имел доступ к системе SCADA до трех месяцев,
– пишут исследователи.

Анализ методов работы и использованного хакерами кода свидетельствует о "развитии российских возможностей" в области кибератак. Специалисты Mandiant сравнили методы, которые использовали Sandworm в атаках INDUSTROYER, INDUSTROYER.V2 и этой новой, заявив, что в каждой из них находились новые компоненты, которых не было в предыдущих. Это свидетельствует о постоянных инвестициях России в "наступательные кибермощности, ориентированные на операционные системы".

Смотрите также За сентябрьской атакой на крупнейшие российские аэропорты стояла IТ-Армия Украины

Эта группа выполняет работу для российского ГРУ (Главного управления разведки), по меньшей мере, с 2009 года. В течение длительного времени центром внимания группировки была Украина, где в последнее десятилетие она проводила кампанию взрывных и разрушительных атак с использованием вредоносного программного обеспечения, в том числе и вирусов-шифровальщиков. Эта группа, вероятно, стоит за атаками на украинскую энергосистему в 2015 и 2016 годах, которые приводили к массовому отключению электроэнергии.