Kısa bir süre sonra grup, BT ile operasyonel teknoloji (OT) ağları arasındaki ayrımı aşmayı başardı ve denetleyici kontrol ve veri toplama (SCADA) yönetim örneğini (tesis operatörlerinin makinelerini ve süreçlerini yönettiği yer) barındıran bir hipervizöre erişmeyi başardı ” “Siber savaşa karşı savunma yapan herkesten daha deneyimliler ve onlardan öğrenecek çok şeyimiz var
Sandworm, üç aya kadar SCADA erişiminin ardından doğru anı seçti Bu saldırı endüstriyel sistemlere değil, yalnızca BT ağına dokundu ve ilk saldırıya ilişkin adli kanıtları silmeyi veya yalnızca daha fazla kesintiye neden olmayı amaçlıyor olabilir Mandiant’ın bir raporu
Kesintiden iki gün sonra Sandworm, CaddyWiper temizleme yazılımının yeni bir sürümünü dağıtarak saniyeler içinde geri geldi
Rusya’nın Özel Teknolojiler Ana Merkezi’ne bağlı olan Sandworm’un Ukrayna’daki siber saldırılarla ilgili hikayeli bir geçmişi var: 2015 ve 2016’da BlackEnergy kaynaklı elektrik kesintileri, kötü şöhretli NotPetya silici ve Ukrayna savaşıyla örtüşen daha yeni kampanyalar
Hultquist şu sonuca varıyor: “Ukrayna’nın ağları şu anki baskının aynısı altında olsaydı ve belki on yıl önce mevcut olan savunmaların aynısı olsaydı, bu durum çok daha farklı olurdu ”
Aynı zamanda Rusya-Ukrayna siber tarihine bakmanın başka bir yolunu da sunuyor: Rusya’nın saldırıları daha az ehlileşti ve Ukrayna’nın savunması daha sağlam hale geldi
Bir Kum Solucanı Daha Elektrik KesintisiKesin izinsiz giriş yöntemi hala bilinmemekle birlikte, araştırmacılar Sandworm’un Ukrayna trafo merkezine ilk ihlalini en az Haziran 2022 olarak tarihlendirdiler
Bu artan farkındalığın bir sonucu olarak, aynı grubun yıllar içinde yaptığı benzer saldırılar, ilk standartlarının oldukça gerisinde kaldı Örneğin, işgalden kısa bir süre sonra ikinci Industroyer saldırısı gerçekleşti; her ne kadar kötü amaçlı yazılım, 2016’da Ukrayna’nın gücünü deviren saldırıyla aynı derecede güçlü olsa da, saldırı genel olarak herhangi bir ciddi sonuca yol açamadı Kesin komutlar bilinmiyor, ancak grup muhtemelen trafo merkezinin uzak terminal birimlerine (RTU’lar) komutlar göndermek için virüslü bir MicroSCADA sunucusu kullanmış ve onlara devre kesicileri açmaları ve böylece gücü kesmeleri talimatını vermiştir
Hultquist, bu son vakanın bir dönüm noktası olup olmadığını düşünürken, “Industroyer gibi araçlardan yararlanmaya çalışan ve keşfedildikleri için sonunda başarısız olan bu aktörün geçmişine bakabilirsiniz” diyor Aynı gündeki bir kinetik savaş saldırısıyla (tesadüfen veya başka bir şekilde) çakışan bu sistem, MicroSCADA kontrol sistemine özgü bir ikili dosyayı yürütmek için bir optik disk (ISO) görüntü dosyası kullandı Bunun yerine grup, Ukrayna’nın giderek karmaşıklaşan kritik altyapı siber savunmasını baltalamak için LotL ikili dosyalarından yararlandı “Böyle bir şeye karşı savunma yapıp yapamayacağımız konusunda kendimize bazı zor sorular sormamız gerekecek” diyor “Bu şeyleri bulmak için gerçekten çok çalışmamız gerekecek ,” diyor ”
siber-1
“Bence bu olay başka bir yol olduğunu gösteriyor ve ne yazık ki bu diğer yol savunmacılar olarak bizi gerçekten zorlayacak çünkü bu bizim mutlaka karşı imza kullanıp topluca arayamayacağımız bir şey Savaş, bir dereceye kadar, daha yakın tarihli, benzer büyüklükteki siber saldırılar için bir sis perdesi oluşturdu
Bugün açıklanan Ekim 2022’den bir örneği ele alalım
Rusya-Ukrayna Daha EşitleşiyorSandworm’un BlackEnergy ve NotPetya saldırıları siber güvenlik, Ukrayna ve askeri tarih açısından ufuk açıcı olaylardı; hem küresel güçlerin kinetik-siber savaş kombinasyonuna bakışını hem de siber güvenlik savunucularının endüstriyel sistemleri nasıl koruduğunu etkiledi Sağanak yağış sırasında 84 seyir füzesi ve 24 drone saldırısı Sandworm, Ukrayna’nın 20 şehrinde iki aylık hazırlıktan yararlandı ve etkilenen şehirlerden birinde beklenmedik bir elektrik kesintisine neden oldu
Önceki Sandworm ızgara saldırılarından farklı olarak bu saldırı, bazı gelişmiş siber silahlar açısından dikkate değer değildi
Rusya’nın kötü şöhretli Kum Solucanı gelişmiş kalıcı tehdit (APT) grubu, Ekim 2022’de Ukrayna’nın bir şehrinde bir füze saldırısı barajına denk gelen bir elektrik kesintisini hızlandırmak için arazide yaşama (LotL) tekniklerini kullandı
Mandiant’ın baş analisti John Hultquist’e göre bu durum endişe verici bir emsal teşkil ediyor