Het Computer Emergency Response Team van Oekraïne (CERT-UA) op dinsdag onthuld dat het een cyberaanval door Sandworm, een hackgroep die is aangesloten bij de Russische militaire inlichtingendienst, heeft verijdeld om de activiteiten van een niet nader genoemde energieleverancier in het land te saboteren.
“De aanvallers probeerden verschillende infrastructuurcomponenten van hun doelwit uit te schakelen, namelijk: elektrische onderstations, door Windows bediende computersystemen, door Linux bediende serverapparatuur, [and] actieve netwerkapparatuur,” The State Service of Special Communications and Information Protection of Ukraine (SSSCIP) zei in een verklaring.
Het Slowaakse cyberbeveiligingsbedrijf ESET, dat samenwerkte met CERT-UA om de aanval te analyseren, zei dat de poging tot inbraak het gebruik van ICS-compatibele malware en reguliere schijfwissers betrof, waarbij de tegenstander een bijgewerkte variant van de Industroyer-malware ontketende, die voor het eerst werd ingezet in een aanval in 2016 op het elektriciteitsnet van Oekraïne.
“De aanvallers van Sandworm hebben geprobeerd de Industroyer2-malware in te zetten tegen elektrische hoogspanningsstations in Oekraïne”, zegt ESET. uitgelegd. “Naast Industroyer2 gebruikte Sandworm verschillende destructieve malwarefamilies, waaronder CaddyWiper, OrcShred, SoloShred en AwfulShred.”
Het elektriciteitsnet van het slachtoffer zou in twee golven zijn binnengedrongen, het eerste compromis vond uiterlijk in februari 2022 plaats, samenvallend met de Russische invasie van Oekraïne, en een daaropvolgende infiltratie in april waardoor de aanvallers Industroyer2 konden uploaden.
Industroyer, ook bekend als “CrashOverride” en ook wel de “grootste bedreiging voor industriële besturingssystemen sinds Stuxnet”, is zowel modulair als in staat om directe controle te krijgen over schakelaars en stroomonderbrekers op een onderstation voor elektriciteitsdistributie.
De nieuwe versie van de geavanceerde en zeer aanpasbare malware maakt, net als zijn voorganger, gebruik van een industrieel communicatieprotocol genaamd IEC-104 om de industriële apparatuur op te eisen, zoals beveiligingsrelais die worden gebruikt in elektrische onderstations.
Forensische analyse van de artefacten die door Industroyer2 zijn achtergelaten, heeft een compilatietijdstempel van 23 maart 2022 onthuld, wat aangeeft dat de aanval al minstens twee weken gepland was. Dat gezegd hebbende, is het nog steeds onduidelijk hoe de beoogde stroomvoorziening in eerste instantie werd gecompromitteerd, of hoe de indringers van het IT-netwerk naar het Industrial Control System (ICS)-netwerk verhuisden.
ESET zei dat de destructieve acties tegen de infrastructuur van het bedrijf gepland waren op 8 april 2022, maar uiteindelijk werden verijdeld. Dit zou worden gevolgd door de uitvoering van CaddyWiper 10 minuten later op dezelfde machine om sporen van de Industroyer2-malware te wissen.
Naast Industroyer2 en CaddyWiper zou het netwerk van de beoogde energieleverancier ook zijn geïnfecteerd door een Linux-worm genaamd OrcShred, die vervolgens wordt gebruikt om twee verschillende wiper-malware te verspreiden die gericht is op Linux- en Solaris-systemen – AwfulShred en SoloShred – en de machines onbruikbaar te maken.
De bevindingen komen dicht op de hielen van de door de rechtbank geautoriseerde verwijdering van Cyclops Blink, een geavanceerd modulair botnet dat wordt beheerd door de Sandworm-dreigingsactor, vorige week.
CERT-UA van zijn kant heeft ook gewaarschuwd voor een aantal spear-phishing campagnes opgezet door Armageddon, een andere in Rusland gevestigde groep die banden heeft met de Federale Veiligheidsdienst (FSB) die sinds ten minste 2013 Oekraïense entiteiten heeft aangevallen.
“Oekraïne is opnieuw het middelpunt van cyberaanvallen op hun kritieke infrastructuur”, aldus ESET. “Deze nieuwe Industroyer-campagne volgt meerdere golven van ruitenwissers die zich op verschillende sectoren in Oekraïne hebben gericht.”
