Erkennung von Industroyer2 und CaddyWiper Malware: Sandworm APT trifft ukrainische Stromanlagen

CERT-UA in Zusammenarbeit mit Microsoft und ESET hat vor kurzem berichtet über den groß angelegten Cyberangriff auf die ukrainischen Energieanbieter, der den zweiten Stromausfallangriff in der Geschichte der Menschheit markiert. Diese jüngste Aktivität wird der russland-affiliierten Sandworm-APT-Gruppe zugeschrieben, die auch als UAC-0082 verfolgt wird.

In diesem ganz speziellen Angriff nutzten die Bedrohungsakteure Industroyer2, das neueste Sample der berüchtigten Industroyer-Malware , die dazu entwickelt wurde, Stromnetze anzugreifen und erstmals im Juni 2017 von ESET-Forschern entdeckt wurde. Der Cyberangriff von 2017 geht auf die malwareinduzierten massiven Stromausfälle zurück, die durch die berüchtigte BlackEnergy-Malware verursacht wurden, die darauf ausgelegt war, die kritische Infrastruktur ukrainischer Stromunternehmen zu lähmen.

Beim jüngsten Cyberangriff auf ukrainische Stromanlagen nutzte die Sandworm-APT-Gruppe neben dem Einsatz der Industroyer-Malware-Familie auch ein berüchtigtes Datenlöschprogramm namens CaddyWiper. Letzteres ist eine weitere datenlöschende Malware, die schnell nach HermeticWiper- and und WhisperGate- Angriffen auf ukrainische Organisationen auftauchte.

Industroyer Reloaded: Sandworm setzt Industroyer2 ein, um das ukrainische Stromnetz zu behindern

CERT-UA hat in Zusammenarbeit mit den ESET- und Microsoft-Cybersicherheitsexperten den massiven Cyberangriff auf ukrainische Energieversorger vereitelt. Es ist der zweite Stromausfallangriff in der Menschheitsgeschichte, der gründlich von der russlandgestützten Sandworm-APT geplant wurde, um die kritische Infrastruktur der Ukraine zu stören.

Laut ESET- Analysewurden die bösartigen Aktionen von Hackern mindestens zwei Wochen im Voraus arrangiert und der Angriffsstart war für den 8. April 2022 geplant. Sandworm-Bedrohungsakteure planten, Industroyer2, den Nachfolger der berüchtigten Industroyer-Malware, einzusetzen, um die Operationen der Hochspannungs-Elektrounterstationen in der Ukraine zu stören.

Neben der ICS-fähigen Malware verwendeten Hacker mehrere Wiper-Familien. Insbesondere berichtet CERT-UA, dass kürzlich enthüllter CaddyWiper gegen Personal Computer, Server und automatisierte Prozesskontrollsysteme mit Windows OS eingesetzt wurde. Für Linux-basierte Systeme nutzten die Angreifer die datenlöschenden Scripts RSHRED, SOLOSHRED und AWFULSHRED. Vermutlich wurden die Wiper mit der weiteren Absicht eingesetzt, Industroyer2-Spuren zu löschen und die Wiedererlangung der Kontrolle über die ICS-Konsolen für die Betreiber des Stromnetzes zu erschweren.

The Die Sandworm-Gruppe ist dafür bekannt, der Hauptdirektion für Aufklärung des Generalstabs des russischen Militärs (GRU) Hauptzentrum für Spezialtechnologien (GTsST) Militäreinheit 74455 zugeschrieben worden zu sein. In den Jahren 2015-2017 griff Sandworm wiederholt die kritische Infrastruktur der Ukraine mit den berüchtigten BlackEnergy- und Industroyer-Malware-Samples an. Die Unterbrechungen der Stromnetzleistung endeten in massiven Stromausfällen im ganzen Land und markierten den ersten Fall in der Menschheitsgeschichte, bei dem eine Cyberbedrohung zu ernsthaften Schäden an physischen Betriebsmitteln führte. Weiterhin wurde 2017 die berüchtigte NotPetya-Malware von der Sandworm-Gruppe eingesetzt, um die ukrainischen Bankinstitute zu lähmen. Dieser Cyberangriff entwickelte sich zu einer globalen Krise mit Millionen kompromittierter Instanzen und Milliarden Dollar an Verlusten. Später, im Jahr 2018, nutzte Russland eine weitere verheerende Malware, VPNFilter, um die Auly-Chlor-Destillationsstation anzugreifen. Und schließlich gewannen multiple destruktive Cyberangriffe der Sandworm-APT in den Jahren 2020-2021 an Dynamik, bei denen viele Regierungsinstitutionen und Unternehmen angegriffen wurden. Sie können die detaillierte Zeitleiste des russischen Krieges hier.

Industroyer2-Erkennung: Jüngster Angriff der Sandworm-APT

Sicherheitsexperten können mögliche Cyberangriffe einschließlich der Industroyer2 und CaddyWiper-Malware-Familien in ihrer Infrastruktur mit einem Satz kuratierter Sigma-Regeln basierend auf Windows- und Linux-Protokollquellen erkennen:

Sigma-Regeln zur Erkennung von Cyberangriffen durch Sandworm APT (UAC-0082)

Um die Suche nach dedizierten Erkennungsinhalten für die neuesten Sandworm APT (UAC-0082)-Aktivitäten zu vereinfachen, sind alle oben genannten Erkennungsalgorithmen entsprechend als #UAC-0082 markiert.

Bitte beachten Sie, dass nur registrierte Benutzer diese Erkennungen von SOC Prime’s Detection as Code Plattform nutzen können. Alle Sigma-basierten Regeln, die in diesem Erkennungsstapel enthalten sind, sind über das Kreditkartenbereich #Sigma2SaveLives Abonnementebene als Teil von über 500 Bonusregeln gegen russische staatlich unterstützte APTs verfügbar. 100 % der Einnahmen aus jedem Abonnementkauf gehen an die ukrainische Come Back Alive Foundation.

Sicherheitsfachleute können auch kuratierte Jagdanfragen aus dem obigen Regelkit nutzen, um sofort nach verwandten russlandbezogenen Cyberbedrohungen mit SOC Prime’s Quick Hunt-Modulzu suchen. Für weitere Details, wie man die Jagd nach den neuesten Bedrohungen im Zusammenhang mit der Sandworm-APT-Gruppe vertieft, schauen Sie sich bitte dieses Videotutorialan.

MITRE ATT&CK®-Kontext

Um sich in den Kontext des neuesten destruktiven Cyberangriffs der Sandworm-APT-Gruppe/UAC-0082 zu vertiefen, der auf ukrainische Stromanlagen zielt, sind die dedizierten Sigma-basierten Erkennungsregeln mit der MITRE ATT&CK-Matrix v.10 ausgerichtet, die alle relevanten Taktiken und Techniken adressiert:

Sicherheitsfachleute können auch die folgende ATT&CK Navigator-Datei mit den abgebildeten TTPs überprüfen. Für weitere Details, bitte beziehen Sie sich auf hier.