Ukrán áramszünet elemzése
A Mandiant jelentése szerint a Sandworm, egy orosz hackercsoport áramszünetet okozott Ukrajnában tavaly év végén. A Sandworm néven nyomon követett hackercsoport feltehetően az orosz föderáció katonai hírszerző ügynökségének egy egysége. A Mandiant szerint a Sandworm okozta az áramkimaradást azzal, hogy rosszindulatú kódot telepített egy ukrán villamosenergia-szolgáltató infrastruktúrájára. A kibertámadás egybeesett a létfontosságú infrastrukturális eszközöket célzó rakétatámadások sorozatával Ukrajna-szerte.
A Mandiant nem részletezte, hogy melyik áramszolgáltatót érintette a jogsértés, illetve az áramkimaradás mértékét. Ugyanakkor részletes technikai információkat osztott meg a támadás kibontakozásáról.
A kibertámadás 2022 júniusa körül kezdődött, amikor a Sandworm hozzáfért a közüzemi hálózathoz egy internet felé néző szerver feltörésével. Egy hónappal később a hackerek egy rosszindulatú hálózati program telepítésére használták a feltört gépet. Ez a program kapcsolatot létesített egy parancs- és vezérlőkiszolgálóval, egy olyan rendszerrel, amelyet a hackerek rosszindulatú műveletek távoli végrehajtására használnak.
Néhány héttel azután, hogy megvetette a lábát a közmű hálózatában, a Sandworm hozzáférést szerzett egy SCADA alkalmazáshoz. A SCADA, vagyis felügyeleti ellenőrzési és adatgyűjtési programokat a vállalatok ipari berendezéseik kezelésére és műszaki problémák megfigyelésére használják. A Sandworm által feltört alkalmazás több elektromos alállomáshoz volt csatlakoztatva.
Tavaly októberben, körülbelül három hónappal azután, hogy először hozzáfértek a közüzemi infrastruktúrához, a hackerek a feltört SCADA alkalmazást használták arra, hogy számos alállomási megszakítót kezeljenek. Ezek a megszakítók védik az elektromos hálózatot a hirtelen áramlökésektől. Miután a Sandworm kompromittálta az alkatrészeket, a megcélzott villamosenergia-szolgáltató hálózatát áramkimaradás érte.
A Mandiant szerint Sandworm úgynevezett living off the land taktikát alkalmazott. A végrehajtás után, hogy a vizsgálatokat megnehezítsék adattörlő (wiper) alkalmazást telepítettek a rendszerre. amely megpróbálja törölni az áldozat technológiai környezetében lévő adatokat. A Mandiant szerint a Sandworm egy CADDYWIPER nevű rosszindulatú programot telepített, amelyet számos korábbi kibertámadás során alkalmazott.