Ukrán kritikus infrastruktúrák támadása
Az ukrán CERT-UA arra figyelmeztet, hogy az UAC-0212 csoport célzott kibertevékenységet folytat az automatizált folyamatirányítási rendszerek fejlesztői és szállítói ellen, azzal a céllal, hogy kibertámadásokat hajtson végre Ukrajna kritikus infrastruktúra létesítményei ellen.
A CERT-UA szerint 2024 elején kiberszereplők pusztító kibertámadásokat terveztek indítani az energia-, víz- és hőellátási ágazatban működő, több régiót átfogó, nagyjából 20 ukrán szervezet elektronikus információs rendszerei ellen. Ennek a tevékenységnek a nyomon követésére a kutatók azonosítottak egy kiberszereplőt, az UAC-0133-at, amely nagy valószínűséggel az orosz GU-hoz kapcsolódó csoporthoz köthető, amely a Sandworm, APT44, UAC-0002 vagy Seashell Blizzard néven is ismert.
A CERT-UA 2024 tavaszán riasztást adott ki, amelyben feltárta egy tervezett kiberszabotázs bizonyítékait, amelynek célja a kritikus infrastruktúrával rendelkező szervezetek IKT-rendszereinek megzavarása votl Ukrajna szerte. 2024 második felétől a kiberszereplők különböző TTP-kkel kísérleteznek, többek között az áldozatoknak küldött linkeket tartalmazó PDF dokumentumokkal. A hivatkozásra kattintva, a CVE-2024-38213 kihasználásával kombinálva, egy LNK fájl letöltését indította el („pdf.lnk” kiterjesztéssel) a gyanútlan felhasználó. A fájl egy PowerShell parancsot futtatott, amely nem csak letöltött és megjelenített egy csali dokumentumot, hanem perzisztenciát hozott létre (a Run registry kulcson keresztül), és EXE/DLL fájlokat futtatott.
Az UAC-0212 csoport többek között olyan malware-eket használ, mint a SECONDBEST / EMPIREPAST, a SPARK és a CROOKBAG (GoLang-alapú betöltőprogram). A támadók emellett több esetben alkalmazták az RSYNC-et a dokumentumok szivárogtatása céljából.
A 2024. július és 2025. február között lezajlott számos kampány tanulmányozásának eredményei alapján a CERT-UA megállapította, hogy a kiberszereplők célzott támadásokat hajtott végre szerb, cseh és ukrán beszállító cégek ellen (a kampányok földrajzi kiterjedése valószínűleg szélesebb körű).
– 2024. augusztusban tizenkét ukrán logisztikai vállalatot vettek célba a kiberszereplők, amelyek közúti, légi és tengeri áruszállításra szakosodtak.
– 2025. január elejétől 2025. február 20-ig kibertámadásokat hajtottak végre négy ukrán vállalkozás ellen, amelyek a gabona szárítására, szállítására és tárolására szolgáló berendezések tervezését és gyártását végzik.
– Emellett legalább huszonöt ukrán vállalkozás ellen is irányultak rosszindulatú kibertevékenységek, amelyek automatizált folyamatirányító rendszerek fejlesztésével és kapcsolódó elektromos szerelési munkákat végeznek.
A CERT-UA arra következtetett, hogy az automatizált folyamatirányító rendszereket szállító vállalatok több száz ukrán vállalkozásnak nyújtanak szolgáltatásokat, amelyek olyan létfontosságú funkciókat látnak el, mint az energiaellátás (beleértve a hőenergia-ellátást), a vízellátás és a vízelvezetés.
A kezdeti kompromittálás szakaszában a támadók egy potenciális ügyfélnek álcázzák magukat és több napon keresztül leveleznek a potenciális áldozattal, annak érdekében, hogy megismerkedjenek a „műszaki dokumentációval”, ami egy torzított tartalmú PDF dokumentum.
A CERT-UA megosztotta az IOC-kat, valamint példákat mutat be a támadási láncra.
A CERT-UA figyelmeztet, hogy potenciálisan fertőzött számítógép azonosítása és vírusirtóval való ellenőrzése (vagy az operációs rendszer újratelepítése) valószínűleg nem megoldás a kompromittácóra, mert a kezdeti kompromittálódás után néhány órán belül a támadók oldalirányú mozgást hajtanak végre az érintett hálózaton, beleértve a szervereket, az aktív hálózati eszközöket és a felhasználói munkaállomásokat is.
A Microsoft 2025. február 12-én tett közzé egy jelentést a Seashell Blizzard (Sandworm, APT44, UAC-0002, PHANTOM) orosz állami kiberszereplő alcsoportjáról és annak többéves kezdeti hozzáférési (initial access) műveletéről. A Seashell Blizzard kiberműveletei a kémkedéstől az információs műveletekig és a kibertéren keresztüli bomlasztó műveletekig terjednek, általában destruktív támadások és az ipari vezérlőrendszerek (ICS) manipulálása útján.
