Позначка: Хакери

Російські хакери Sandworm атакували українську енергоінфраструктуру на тлі ракетних ударів

Компанія Mandiant розкрила деякі подробиці про кібератаку на енергосистему України, яку організувала російська хакерська група Sandworm. Ця атака посприяла на відключення електроенергії на електричній підстанції в Україні в жовтні 2022 року.

Російські хакери Sandworm спричинили відключення електроенергії в Україні на тлі ракетних ударів

Як виявилося, ракетні обстріли енергетичної інфраструктури – не єдине, що залишає нас з вами без електроживлення. За даними експертів з кібербезпеки, російські хакери атакували системи управління енергетичною інфраструктурою України за кілька днів до ракетних обстрілів. Ці атаки призвели до того, що системи управління були дестабілізовані, а отже менш керовані у випадку надзвичайних ситуацій.

Одна з таких груп – російська хакерська група Sandworm, чий спосіб дій полягав у використанні методів оперативної технології (OT). Це дозволило зловмисникам маніпулювати автоматичними вимикачами підстанції-цілі, що призводило до незапланованого відключення електроенергії. Саме цей стратегічний крок збігся з серією масованих ракетних ударів по об’єктах критичної інфраструктури по всій Україні. Дослідники з Mandiant підкреслюють, що атака мала двоетапний характер. Пізніше, Sandworm розгорнув новий варіант шкідливого програмного забезпечення CaddyWiper в ІТ-середовищі цільового об’єкта інфраструктури.

Атаки російських хакерів на українську енергосистему

Кібератаки на українську енергосистему є серйозною загрозою для національної безпеки країни. Одна з найбільш відомих кібер атак на українську енергосистему відбулася 23 грудня 2015 року. У цій атаці було використане шкідливе ПЗ BlackEnergy, яке було розроблене тією ж групою Sandworm і потрапило у цільові системи за допомогою соціальної інженерії. Внаслідок цієї атаки було відключено 30 підстанцій у Івано-Франківській області. Без світла залишилися близько 230 тисяч споживачів. Відновлення електропостачання тривало близько шести годин.

Наступна серйозна атака цього угрупування відбулася вже під час повномасштабного вторгнення – у жовтні 2022 року. Цей інцидент є частиною наполегливих зусиль Sandworm, спрямованих на виведення з ладу та компрометацію української енергосистеми. У попередніх атаках угруповання використовувало різні шкідливі програми, в тому числі Industroyer. Вибір нового варіанту CaddyWiper для цієї останньої атаки свідчить про те, що тактика Sandworm еволюціонує та адаптується.

Хронологія атаки 2022 року

Початковий вектор цієї кібер-фізичної атаки залишається незрозумілим, але вважається, що використання методів LotL прискорило її виконання, мінімізувавши час і ресурси, необхідні для успішної реалізації. Вторгнення відбулося приблизно в червні 2022 року, коли Sandworm отримав доступ до середовища операційних технологій (ОТ) через гіпервізор, на якому був розміщений екземпляр системи диспетчерського управління та збору даних (SCADA) для підстанції-жертви.

10 жовтня 2022 року Sandworm використав файл образу оптичного диска (ISO) для запуску шкідливого ПЗ, здатного вимкнути підстанції, тим самим спричинивши незаплановане відключення електроенергії. Через два дні після події, використовуючи OT група розгорнула новий варіант CaddyWiper в ІТ-середовищі жертви, потенційно спрямований на подальші перебої в роботі та вилучення артефактів для судової експертизи. Складності інциденту додає час проведення атаки, який тісно пов’язаний з початком скоординованих ракетних ударів по об’єктах критичної інфраструктури в багатьох містах України.

Схема зараження пыдстанції
Як выдбувалось зараження підстанціі

Атака Living off the land

Living off the land (LOTL, буквально “той, що живе поза суходолом”) – це назва різновиду безфайлового шкідливого програмного забезпечення та супутньої йому техніки кібератаки LOLbins. У цьому методі кіберзлочинець використовує саморобні інструменти та нешкідливі програми в системі жертви для проведення атаки. LOTL-атаки відрізняються від традиційних атак шкідливих програм відсутністю будь-якого сліду на дисках цільової системи: шкідник зберігається і виконується у оперативній пам’яті системи.

Для проведення атаки зловмисник використовує вже наявні в середовищі інструменти, такі як PowerShell, Windows Management Instrumentation (WMI) або інструмент для зламу системи аутентифікації Mimikatz. Такі атаки складніше виявити, оскільки хакер не використовує типові для кібератак види шкідливого ПЗ, і не залишає слідів на диску. Це ускладнює пошук відомих скриптів або файлів шкідливого програмного забезпечення традиційними засобами безпеки. Таким чином, хакер може залишатися непоміченим у середовищі жертви тижнями, місяцями або навіть роками через таку недосконалість в інструментах безпеки.

Наслідки атаки та їх вирішення

Наразі Mandiant не розголошує інформацію про об’єкт, на який була спрямована атака, тривалість відключення електроенергії та масштаби впливу на місцеве населення. Однак експерти підкреслили безпосередню загрозу цієї атаки, особливо для українських об’єктів критичної інфраструктури, що використовують систему диспетчерського управління MicroSCADA.

Компанія закликала власників активів по всьому світу, враховуючи активну діяльність Sandworm та широке розповсюдження продуктів MicroSCADA, вжити проактивних заходів для пом’якшення своїх тактик, методів та процедур, спрямованих проти ІТ та OT систем. Кібератака Sandworm в Україні слугує суворим нагадуванням про еволюцію кіберзагроз та нагальну потребу в глобальній пильності та проактивних заходах з кібербезпеки.

Російське угруповання хакерів Cold River атакувало ядерні лабораторії США

Агентство Рейтер встановило, що хакери, яких експерти з кібербезпеки пов’язують із Росією, намагалися атакувати американські ядерні лабораторії. Угруповання Cold River, що підтримує інформаційні операції Кремля, пов’язане з жителем Сиктивкара Андрієм Корінцем, вважають експерти.

Як стверджують журналісти, у серпні-вересні минулого року хакери з угруповання Cold River спробували проникнути у внутрішні мережі національної лабораторії Брукхейвен у штаті Нью-Йорк, Аргонської національної лабораторії в Чикаго і Ліверморської національної лабораторії в Каліфорнії. Усіма трьома лабораторіями керує міністерство енергетики США.

В агентстві Рейтер встановили, що пов’язані з хакерською групою люди намагалися отримати паролі від внутрішніх мереж установ. Та створювали фальшиві логін-екрани і надсилаючи електронні листи їхнім співробітникам. З якою метою вони хотіли зламати лабораторії, журналістам невідомо. У міністерстві енергетики США і російському посольстві у Вашингтоні не відповіли на запитання агентства.

Зв’язок цих спроб атаки з угрупованням Cold River підтверджують п’ять експертів з індустрії кібербезпеки – хакери залишили цифрові сліди, які раніше були пов’язані з Cold River.

Американське Агентство національної безпеки і британський Центр урядових комунікацій не стали коментувати активність угрупування.

Деталі про Cold River

Активність Cold River значно зросла з початком повномасштабного російського вторгнення в Україну, зазначають опитані агентством експерти з кібербезпеки. Перші кібератаки проти американських лабораторій почалися незабаром після прибуття місії Агентства ООН з атомної енергетики (МАГАТЕ) на захоплену російськими військами Запорізьку АЕС. Метою місії було забезпечити безпеку і за можливості встановити демілітаризовану зону навколо станції.

Cold River потрапила в поле зору західних експертів після атаки на системи британського міністерства закордонних справ 2016 року і відтоді, на думку експертів, брала участь у кількох десятках інформаційних операцій.

У травні хакери опублікували електронні листи колишнього глави британської розвідслужби МІ-6. В липні вони атакували сайти уряду Литви незабаром після того, як її влада заблокувала транспортування вантажів, які прямують до Росії з Калінінградської області через литовську територію. Тоді в телеграм-каналі однієї з відомих російських хакерських груп з’явився заклик атакувати литовські держустанови – разом зі списком цілей. Від початку війни хакери атакували державні сайти та внутрішні системи розвідслужб Польщі, Румунії, Молдови та Болгарії.

Також Cold River пов’язують щонайменше з трьома фейковими вебсайтами, що імітують сайти НКО, які розслідують воєнні злочини в Україні. Принаймі так кажуть у французькій компанії SEKOIA.IO. Кібератаки почалися незабаром після публікації в жовтні висновків незалежної комісії ООН про те, що російські військові несуть відповідальність за переважну більшість військових злочинів в Україні. У SEKOIA.IO вважають, що метою цих спроб злому був збір Росією інформації про свідчення військових злочинів.

Ряд помилок хакерів

За останні роки хакери з Cold River зробили низку помилок, які дали змогу експертам із кібербезпеки принаймні частково їх відстежити і підтвердити їхній зв’язок із Росією, кажуть експерти з компаній Google, BAE і Nisos. Кілька пов’язаних із сайтами електронних адрес, як виявилося, належать 35-річному жителю Сиктивкара Андрію Корінцу, відомому в ІТ-середовищі міста.

Біллі Леонард, експерт із державних хакерських операцій із Google, вважає, що Корінець пов’язаний з операціями Cold River. “Google ідентифікувала цю людину як пов’язану з групою Cold River та їхніми ранніми операціями”, – каже він.

Директор з безпеки компанії Nisos Вінцас Чажунас теж пов’язує Корінця з цими хакерами і називає їх угрупування “центральною фігурою” в хакерській спільноті Сиктивкара. Зареєстровані на його ім’я електронні адреси пов’язали зі створеними хакерами сайтами і самі журналісти, за допомогою інструментів Constella Intelligence і DomainTools.

Сам Корінець відповів на запитання агентства. Він сказав, що його єдиний хакерський досвід мав місце кілька років тому. Тоді коли російський суд призначив йому штраф за кібератаку.

“Чи мав Корінець стосунок до операцій Cold River після 2020 року, незрозуміло. Він не став пояснювати, як пов’язані з операціями хакерів його електронні адреси, і перестав відповідати на дзвінки та листи”, – пише агентство.

Хакери, без досвіду в розробці, використовують штучний інтелект ChatGPT для створення вірусів

З моменту запуску чат-бота ChatGPT люди використовували його для написання есе, сценаріїв, коду, а також спілкувалися про фінанси та дізнавалися нове. Цього разу чат-бот використовували для написання шкідливого коду. Про це з посиланням на ArsTechnica пише MC.today.

Експерти з кібербезпеки Check Point Research повідомили, що після запуску ChatGPT учасники форумів кіберзлочинності використовували чат-бот для написання шкідливого програмного забезпечення та фішингових листів. Зазначається, що у деяких користувачів навіть немає досвіду програмування.

У компанії додали, що поки зарано говорити, чи стане ChatGPT улюбленим інструментом Даркнету. Однак уже зараз можна помітити інтерес кіберзлочинців до можливостей чат-бота. В одному з прикладів розповідається, як чат-бот написав скрипт на мові Python, який у разі доопрацювання може слугувати програмою-вимагачем. За допомогою цього програмного забезпечення зловмисники можуть шифрувати дані на комп’ютері користувача.

ChatGPT
Пост на хакерському форумі, який описує використання ChatGPT для створення шкідливого ПЗ

В іншому прикладі програмне забезпечення розробили для створення майданчика для онлайн-торгівлі. На ньому здійснюється купівля або обмін скомпрометованих акаунтів, даних банківських карт, шкідливих програм та інших незаконних віртуальних товарів. Скрипт використовував сторонній інтерфейс для отримання поточних цін на криптовалюту. Це допомагає користувачеві встановлювати ціни під час здійснення покупок.

ChatGPT
Обговорення використання ChatGPT для створення скриптів для маркетплейсів Dark Web

Дослідники Check Point раніше намагалися розробити шкідливе програмне забезпечення за допомогою ChatGPT. Чат-бот створив “переконливий фішинговий лист”, у якому потенційній жертві повідомляють про блокування акаунта і пропонують відкрити вкладений файл Excel із вбудованим VBA-макросом (його також створив штучний інтелект).

Хоча умови ChatGPT забороняють його використання в незаконних або зловмисних цілях, у дослідників не виникло проблем зі зміною своїх запитів, щоб обійти ці обмеження.