Rileva il Malware Industroyer2 e CaddyWiper: Il Sandworm APT Colpisce le Strutture Energetiche Ucraine

CERT-UA in collaborazione con Microsoft ed ESET ha recentemente segnalato un attacco informatico su larga scala ai fornitori di energia ucraini, segnando il secondo attacco ai sistemi elettrici nella storia. Questa recente attività è attribuita al gruppo APT affiliato alla Russia Sandworm , conosciuto anche come UAC-0082.

In questo stesso attacco, gli attori della minaccia hanno utilizzato Industroyer2, l’ultimo campione del famigerato malware Industroyer , progettato per attaccare le reti elettriche, che è stato scoperto per la prima volta dai ricercatori ESET nel giugno 2017. L’attacco informatico del 2017 risale ai massicci blackout indotti dal malware causati dal nefando malware BlackEnergy progettato per paralizzare l’infrastruttura critica delle compagnie elettriche ucraine.

Nell’ultimo attacco informatico contro le strutture energetiche ucraine, oltre all’utilizzo del ceppo di malware Industroyer, il gruppo APT Sandworm ha utilizzato anche un infame cancellatore di dati noto come CaddyWiper. Quest’ultimo è un altro malware cancellatore di dati emerso subito dopo l’attacco di HermeticWiper and WhisperGate mirato alle organizzazioni ucraine.

Industroyer Reloaded: Sandworm utilizza Industroyer2 per paralizzare la rete elettrica ucraina

CERT-UA in collaborazione con ESET e esperti di cybersecurity di Microsoft ha sventato il massiccio attacco informatico contro i fornitori di energia ucraini. È il secondo attacco ai sistemi elettrici nella storia umana pianificato a fondo da Sandworm APT supportato dalla Russia per distruggere l’infrastruttura critica dell’Ucraina.

Secondo l analisidi ESET, le azioni dannose sono state organizzate dai pirati informatici almeno due settimane in anticipo e il lancio dell’attacco era programmato per l’8 aprile 2022. Gli attori della minaccia Sandworm avevano pianificato di distribuire Industroyer2, il successore del famigerato malware Industroyer, per interrompere le operazioni delle sottostazioni elettriche ad alta tensione in Ucraina.

Oltre al malware capace di ICS, i pirati informatici hanno utilizzato diverse famiglie di wiper. In particolare, CERT-UA riporta che il recentemente rivelato CaddyWiper è stato applicato contro personal computer, server e sistemi di controllo dei processi automatizzati che eseguono Windows OS. Per i sistemi basati su Linux, gli aggressori hanno sfruttato gli script cancellatori di dati RSHRED, SOLOSHRED e AWFULSHRED. Presumibilmente, i wiper sono stati distribuiti con l’intento ulteriore di cancellare le tracce di Industroyer2 e complicare il riottenimento del controllo delle console ICS per gli operatori delle reti elettriche.

The Il gruppo Sandworm è noto per essere stato attribuito alla Direzione Generale dell’Intelligence dello Stato Maggiore della Russia (GRU) Centro principale per le tecnologie speciali (GTsST) unità militare 74455. Tra il 2015 e il 2017, Sandworm ha ripetutamente attaccato l’infrastruttura critica ucraina utilizzando i campioni di malware BlackEnergy e Industroyer. Le interruzioni nelle prestazioni della rete elettrica hanno causato massicci blackout in tutto il paese, segnando il primo caso nella storia in cui una minaccia informatica ha portato a danni significativi agli asset operativi degli impianti fisici. Inoltre, nel 2017, il famigerato malware NotPetya è stato applicato dal gruppo Sandworm per paralizzare le istituzioni bancarie ucraine. Questo attacco informatico si è evoluto in una crisi globale con milioni di istanze compromesse e miliardi di dollari in perdite. Successivamente, nel 2018, la Russia ha sfruttato un altro devastante malware, VPNFilter, per attaccare la Stazione di Distillazione del Cloro di Auly. Infine, molteplici attacchi informatici distruttivi di Sandworm APT hanno preso slancio nel 2020-2021, con molte istituzioni governative e aziende attaccate. È possibile esplorare la tempistica dettagliata della guerra russa qui.

Rilevamento di Industroyer2: Ultimo attacco di Sandworm APT

I professionisti della sicurezza possono rilevare possibili attacchi informatici, inclusi i ceppi di malware Industroyer2 e CaddyWiper nella loro infrastruttura, con un insieme di regole Sigma curate basate su fonti di log Windows e Linux:

Regole Sigma per rilevare gli attacchi informatici di Sandworm APT (UAC-0082)

Per semplificare la ricerca di contenuti di rilevamento dedicati per l’ultima attività di Sandworm APT (UAC-0082), tutti gli algoritmi di rilevamento sopra menzionati sono etichettati di conseguenza come #UAC-0082.

Si prega di notare che solo gli utenti registrati possono sfruttare queste rilevazioni dalla piattaforma SOC Prime’s Detection as Code . Tutte le regole basate su Sigma incluse in questo stack di rilevamento sono disponibili tramite l’intervallo di carte di credito #Sigma2SaveLives livello di abbonamento come parte di oltre 500 regole bonus contro gli APT sponsorizzati dallo stato russo. Il 100% dei ricavi derivanti da ogni acquisto di abbonamento viene devoluto alla Fondazione Ucraina Come Back Alive.

Anche i professionisti della sicurezza possono sfruttare le query curate dal set di regole sopra per cercare immediatamente le minacce informatiche collegate alla Russia con il modulo Quick Hunt di SOC Prime. Per ulteriori dettagli su come approfondire la ricerca delle ultime minacce associate al gruppo Sandworm APT, fare riferimento a questo video tutorial.

Contesto MITRE ATT&CK®

Per approfondire il contesto dell’ultimo attacco informatico distruttivo del gruppo Sandworm APT/UAC-0082 che mira alle strutture energetiche ucraine, le regole di rilevamento basate su Sigma dedicate sono allineate alla matrice MITRE ATT&CK v.10 che affronta tutte le tattiche e tecniche rilevanti:

Anche i professionisti della sicurezza possono consultare il seguente file ATT&CK Navigator con TTP mappati. Per ulteriori dettagli, fare riferimento qui.