Mandiant, especialista en inteligencia de amenazas respaldado por Google Cloud, ha compartido detalles de un incidente perturbador a finales del año pasado, en el que el grupo de amenazas persistentes avanzadas (APT) Sandworm, respaldado por la agencia rusa de inteligencia y fuerzas especiales GRU, desplegó técnicas novedosas en un ciberataque contra Ucrania. infraestructura eléctrica. Sandworm es bien conocido por su interés en la infraestructura nacional crítica (CNI) de Ucrania, que ha atacado con gran frecuencia a lo largo de los años, intensificando su acoso durante la guerra en curso, que se acerca a su segundo aniversario. Ahora, por primera vez, Mandiant ha revelado lo que aprendió durante su respuesta a una intrusión Sandworm de “evento múltiple” que aprovechó nuevas técnicas para impactar los sistemas de control industrial (ICS) y la tecnología operativa (OT), explotando la vida fuera de la red. -Técnicas terrestres para disparar los disyuntores de las subestaciones que provocaron un corte de energía no planificado que coincidió con ataques masivos con misiles rusos contra objetivos del CNI en Ucrania. El analista jefe de Mandiant, John Hultquist, dijo: “No hay mucha evidencia de que este ataque haya sido diseñado para alguna necesidad práctica y militar. Los civiles suelen ser los que sufren estos ataques y probablemente se llevan a cabo para exacerbar el costo psicológico de la guerra. Es importante que no perdamos de vista la grave amenaza que aún enfrenta Ucrania, especialmente a medida que se acerca el invierno”. Y añadió: “Ha habido una idea errónea de que los ataques en Ucrania no han estado a la altura de las predicciones. El hecho es que los ataques se han visto limitados por el trabajo excepcional de los defensores ucranianos y sus socios, que han trabajado incansablemente para evitar cien escenarios como este. El hecho de que este incidente sea aislado es un testimonio de su trabajo excepcional”. Los investigadores de Mandiant, Ken Proska, John Wolfram, Jared Wilson, Dan Black, Keith Lunden, Daniel Kapellmann Zafra, Nathan Brubaker y Tyler McLellan, dijeron que el ataque demostró una clara evolución en las capacidades ciberfísicas de Rusia y sugiere que el arsenal OT ofensivo del Kremlin está cada vez más maduro. «Esto indica que el actor de la amenaza probablemente sea capaz de desarrollar rápidamente capacidades similares contra otros sistemas OT de diferentes fabricantes de equipos originales (OEM) aprovechados en todo el mundo», dijeron. Cómo ocurrió El equipo de Mandiant evaluó que el incidente en cuestión comenzó alrededor de junio de 2022 y culminó con los ataques finales los días 10 y 12 de octubre del año pasado. Se sabe que Sandworm obtuvo acceso al entorno OT de la víctima a través de un hipervisor que alojaba una instancia de control de supervisión y adquisición de datos (SCADA) para la subestación de la víctima. Luego, el 10 de octubre, Sandworm utilizó una imagen de disco óptico (ISO) para ejecutar un binario MicroSCADA nativo, probablemente un intento de ejecutar comandos de control maliciosos para bloquear las subestaciones. Según las marcas de tiempo del contenido del archivo ISO, estas capacidades OT probablemente se desarrollaron durante el período desde que Sandworm obtuvo acceso por primera vez hasta que ejecutó el ataque. Dos días después, Sandworm implementó una variante actualizada del malware conocido como Caddywiper para causar más interrupciones y posiblemente, según Mandiant, eliminar artefactos forenses. Sin embargo, esta implementación se limitó al entorno de TI de la víctima y no afectó ni al hipervisor ni a la instancia SCADA, lo cual es un poco extraño y puede indicar algunos problemas internos dentro del grupo. El equipo de Mandiant dijo que el uso de binarios que viven de la tierra (LoLBins), que son herramientas y ejecutables legítimos y naturales en un sistema, en este caso el MicroSCADA nativo, fue un cambio significativo para Sandworm. Al utilizar herramientas livianas y genéricas, Sandworm pudo disminuir tanto el tiempo como los recursos que necesitaba consumir para su ataque, al tiempo que dificultaba que los defensores lo detectaran, porque dado que los LoLBins son legítimos, no necesariamente habrían sido buscando en el lugar correcto. “Este ataque representa una amenaza inmediata a los entornos de infraestructura crítica de Ucrania que aprovechan el sistema de control de supervisión MicroSCADA. Dada la actividad de amenazas global de Sandworm y la implementación mundial de productos MicroSCADA, los propietarios de activos a nivel mundial deberían tomar medidas para mitigar sus tácticas, técnicas y procedimientos contra los sistemas de TI y OT”, escribió el equipo. «Además, nuestro análisis de la actividad sugiere que Rusia sería capaz de desarrollar capacidades similares contra otros sistemas SCADA y lenguajes de programación más allá de MicroSCADA y SCIL». Mandiant ha publicado detalles técnicos más detallados del incidente y recomendaciones para detectar y mitigar actividades similares, que se pueden encontrar aquí.

Source link