Mandiant公司11月9日發布報告稱,2022年底,該公司響應了一起破壞性網絡物理事件,其中與俄羅斯有關的威脅參與者Sandworm針對烏克蘭關鍵基礎設施組織進行了攻擊。該事件是一次多事件網絡攻擊,利用一種影響工業控制系統 (ICS)/操作技術 (OT) 的新技術。該攻擊者首先使用OT級陸上生活 (LotL) 技術來可能觸發受害者的變電站斷路器,導致意外停電,同時烏克蘭各地的關鍵基礎設施遭到大規模導彈襲擊。Sandworm隨后在受害者的IT環境中部署了CADDYWIPER擦除器的新變種,從而實施了第二次破壞性事件。Mandiant沒有透露目標能源設施的位置、停電時間以及受影響的人數。

這次攻擊代表了俄羅斯網絡物理攻擊能力的最新演變,自俄羅斯入侵烏克蘭以來,這種攻擊能力變得越來越明顯。事件期間使用的技術表明俄羅斯進攻性 OT武器庫日益成熟,包括識別新的OT威脅向量、開發新功能以及利用不同類型的 OT基礎設施執行攻擊的能力。通過使用LotL技術,攻擊者可能減少了進行網絡物理攻擊所需的時間和資源。雖然Mandiant無法確定最初的入侵點,但他們的分析表明,這次攻擊OT部分的技術與工具可能是在短短兩個月內開發出來的。這表明威脅行為者可能能夠快速開發針對來自全球不同原始設備制造商 (OEM) 的其他OT系統的類似功能。 

在將該組織與Sandworm歸并之前,他們最初將此活動跟蹤為UNC3810。Sandworm是一個全方位的威脅行為者,至少自2009年以來一直為支持俄羅斯主要情報局(GRU)開展間諜活動、影響力和攻擊行動。該組織長期以來的中心焦點一直是烏克蘭,并在那里開展了一系列活動。過去十年中,包括在俄羅斯 2022年再次入侵期間,該組織利用擦除器惡意軟件發起了破壞性和損毀性攻擊。在烏克蘭之外,該組織繼續開展全球范圍的間諜活動,這體現了俄羅斯軍方深遠的野心和利益。政府起訴書將該組織與特殊技術主要中心(也稱為 GTsST和軍事單位74455)聯系起來。鑒于Sandworm的全球威脅活動和新穎的OT攻擊能力,他們敦促OT資產所有者采取行動減輕這一威脅。他們在本博客文章的附錄中提供了一系列檢測、狩獵和強化指導、MITRE ATT&CK映射等。

Mandiant首席分析師John Hultquist強調:“沒有太多證據表明這次攻襲擊是出于任何實際的軍事需要。平民通常是這類攻擊的受害者,攻擊可能是為了加劇戰爭造成的心理損失。重要的是,人們不要忽視烏克蘭仍然面臨的嚴重威脅,尤其是在冬季臨近之際。”“人們有一種誤解,認為烏克蘭的襲擊事件并未達到預期。事實上,烏克蘭防御者及其合作伙伴的出色工作限制了襲擊,他們不知疲倦地努力防止了一百種類似的情況。這一事件是孤立的,這一事實證明了他們的出色工作。”

事件概要

根據Mandiant的分析,入侵始于2022年6月或之前,并在2022年10月10日和12日導致兩次破壞性事件。雖然他們無法識別進入IT環境的初始訪問向量,但Sandworm獲得了對OT環境通過虛擬機管理程序托管受害者變電站環境的監控和數據采集 (SCADA) 管理實例。根據橫向移動的證據,攻擊者可能可以訪問SCADA系統長達三個月。 

在初次訪問時,俄羅斯沙蟲在面向互聯網的服務器上部署了一個名為neo-regeorg的Web shell,其活動“與該組織之前掃描和利用面向互聯網的服務器進行初始訪問的活動一致”。后來他們部署了GoGetter,一種定制的TCP隧道工具,用于命令和控制。他們通過部署 Systemd來獲得持久性,Systemd是一種Linux操作系統服務,允許程序在特定條件下運行。

10月10日,攻擊者利用名為“a.iso”的光盤 (ISO) 映像執行本機MicroSCADA二進制文件,可能試圖執行惡意控制命令來關閉變電站。ISO 文件至少包含以下內容:

“lun.vbs”,運行n.bat

“n.bat”,可能運行本機scilc.exe實用程序

“s1.txt”,可能包含未經授權的MicroSCADA命令

根據“lun.vbs”的9月23日時間戳,從攻擊者首次訪問SCADA系統到開發OT功能,可能有兩個月的時間段。盡管他們無法完全恢復二進制文件實現的ICS命令執行,但他們知道攻擊導致了意外斷電。圖1包含導致破壞性OT事件的執行鏈的可視化。

圖1:破壞性OT事件執行鏈

OT事件發生兩天后,Sandworm在受害者的IT環境中部署了CADDYWIPER的新變種,以造成進一步的破壞,并有可能刪除取證工件。但是,他們注意到擦除器部署僅限于受害者的IT環境,不會影響虛擬機管理程序或SCADA虛擬機。這是不尋常的,因為威脅行為者從SCADA系統中刪除了其他取證工件,可能試圖掩蓋他們的蹤跡,而擦拭器活動會增強這種蹤跡。這可能表明參與攻擊的不同個人或操作小組之間缺乏協調。

俄羅斯進攻性網絡能力的洞察

Sandworm的變電站攻擊揭示了俄羅斯對面向OT的進攻性網絡能力和攻擊OT系統的總體方法的持續投資。此次事件和去年的INDUSTROYER.V2事件都表明了通過簡化部署功能來簡化OT攻擊能力的努力。他們在分析一系列詳細說明增強俄羅斯進攻性網絡能力的項目要求的文件時發現了同樣的努力。

同樣,疑似GRU發起的OT攻擊的演變表明每次攻擊的破壞性活動范圍有所縮小。2015年和2016年烏克蘭停電事件均針對OT環境發生了多個離散的破壞性事件(例如,禁用UPS 系統、破壞串行以太網轉換器、對SIPROTEC繼電器進行DoS攻擊、擦除OT系統等)。相比之下,INDUSTROYER.V2事件缺少許多相同的破壞性組件,并且該惡意軟件不具有原始INDUSTROYER中的擦除器模塊。同樣,Sandworm在OT網絡中的活動似乎已簡化為僅執行未經授權的ICS命令消息,而擦除器活動僅限于IT環境。雖然這種轉變可能反映了戰時網絡行動節奏的加快,但它也揭示了GRU在OT攻擊中的優先目標。

Sandworm使用原生的Living off the Land二進制文件(LotLBin)來破壞OT環境,這顯示了技術上的重大轉變。使用比之前OT事件中觀察到的工具更輕量級和通用的工具,攻擊者可能減少了進行網絡物理攻擊所需的時間和資源。LotLBin技術還使防御者難以檢測威脅活動,因為他們不僅需要對引入其環境的新文件保持警惕,而且還需要對已安裝的OT應用程序和服務中已存在的文件的修改保持警惕。

正如最近詳細介紹GRU顛覆性策略的研究中所概述的那樣,他們觀察到Sandworm在其更廣泛的操作中采用LotL策略,以同樣提高其操作的速度和規模,同時最大限度地減少檢測的可能性。

雖然他們缺乏足夠的證據來評估可能的聯系,但他們注意到襲擊的時間與俄羅斯的動能行動重疊。Sandworm可能早在OT事件發生前三周就開發出了破壞性能力,這表明攻擊者可能一直在等待特定時刻來部署該能力。最終發動襲擊的 同時,針對烏克蘭多個城市(包括受害者所在城市)的關鍵基礎設施開始進行為期多天的協調導彈襲擊。

圖2:歷史上影響OT的俄羅斯網絡攻擊活動

結論及建議

此次攻擊對應用MicroSCADA監控系統的烏克蘭關鍵基礎設施環境構成直接威脅。鑒于Sandworm的全球威脅活動和MicroSCADA產品的全球部署,全球資產所有者應采取行動,緩解其針對IT和OT系統的策略、技術和程序。此外,Mandiant對該活動的分析表明,俄羅斯將有能力開發針對MicroSCADA和SCIL之外的其他SCADA系統和編程語言的類似功能。Mandiant敦促資產所有者審查并實施以下建議,以減輕和檢測此活動。

SCIL是一種專為MicroSCADA控制系統設計的高級編程語言,可以操作系統及其功能。SCI 程序通常是基于文本的語句,可以由命令、對象、變量、對預定義函數的調用和表達式組成。SCIL程序可以通過多種方法執行,例如工程師/操作員單擊MicroSCADA系統內的按鈕或圖像、計劃或過程衍生的更改,或者手動執行。


俄羅斯烏克蘭 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接