Os infames hackers russos conhecidos como Sandworm atacaram uma subestação elétrica na Ucrânia no ano passado, causando um breve apagão em outubro de 2022.
As descobertas vêm do Mandiant, do Google, que descreveu o ataque como um "ataque cibernético de múltiplos eventos" utilizando uma técnica inovadora para impactar sistemas de controle industrial (ICS).
"O ator inicialmente usou técnicas de OT-level living-off-the-land (LotL) para provavelmente acionar os disjuntores da subestação da vítima, causando uma queda de energia não planejada que coincidiu com ataques massivos de mísseis em infraestruturas críticas em toda a Ucrânia", disse a empresa.
"Sandworm depois conduziu um segundo evento disruptivo, implantando uma nova variante do CaddyWiper no ambiente de TI da vítima".
A firma de inteligência de ameaças não revelou a localização da instalação energética visada, a duração do apagão e o número de pessoas que foram impactadas pelo incidente.
O desenvolvimento marca os esforços contínuos do Sandworm para realizar ataques disruptivos e comprometer a rede elétrica na Ucrânia desde pelo menos 2015, usando malwares como o Industroyer.
O vetor inicial exato usado para o ataque ciberfísico é atualmente desconhecido, e acredita-se que o uso de técnicas de LotL pelo ator da ameaça diminuiu o tempo e os recursos necessários para realizar o ataque.
Acredita-se que a intrusão tenha acontecido por volta de junho de 2022, com os atores do Sandworm ganhando acesso ao ambiente de tecnologia operacional (OT) através de um hipervisor que hospedava uma instância de gerenciamento de controle supervisório e aquisição de dados (SCADA) para o ambiente de subestação da vítima.
Em 10 de outubro de 2022, uma imagem de arquivo de disco óptico (ISO) foi usada para lançar um malware capaz de desligar subestações, resultando em um apagão não programado.
"Dois dias após o evento OT, Sandworm implantou uma nova variante do CaddyWiper no ambiente de TI da vítima para causar mais disrupturas e potencialmente remover artefatos forenses", disse Mandiant.
CaddyWiper se refere a um pedaço de malware de limpeza de dados que veio à luz pela primeira vez em março de 2022 em conexão com a guerra Russo-Ucraniana.
A execução final do ataque, observou Mandiant, coincidiu com o início de um conjunto de ataques de mísseis coordenados em várias cidades ucranianas, incluindo a cidade em que a vítima não identificada estava situada.
"Este ataque representa uma ameaça imediata para os ambientes de infraestrutura crítica ucraniana, utilizando o sistema de controle supervisório MicroSCADA", afirmou a empresa.
"Dado a atividade da ameaça global Sandworm e a implantação mundial dos produtos MicroSCADA, donos de ativos em todo o mundo devem adotar medidas para mitigar suas táticas, técnicas e procedimentos contra sistemas de TI e OT".
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...