Согласно проведенному анализу, вторжение началось в июне 2022 года или ранее и завершилось двумя сбоями 10 и 12 октября 2022 года. Хотя нам не удалось определить вектор первоначального доступа в ИТ-среду, Sandworm получил доступ к ОТ-среде через гипервизор, на котором располагался экземпляр системы управления диспетчерским контролем и сбором данных (SCADA) для подстанции жертвы. Судя по следам латерального перемещения, злоумышленник потенциально имел доступ к системе SCADA в течение трех месяцев.
10 октября злоумышленник использовал образ оптического диска (ISO) с именем "a.iso" для выполнения собственного бинарного файла MicroSCADA, вероятно, пытаясь выполнить вредоносные команды управления для отключения подстанций. ISO-файл содержал как минимум следующее:
- "lun.vbs", который запускает n.bat
- "n.bat", который, вероятно, запускает родную утилиту scilc.exe
- "s1.txt", который, вероятно, содержит несанкционированные команды MicroSCADA.
Судя по временной метке "lun.vbs" от 23 сентября, с момента получения злоумышленником первоначального доступа к SCADA-системе до разработки OT-возможностей прошло два месяца. Хотя нам не удалось полностью восстановить выполнение команд ICS, реализованных бинарным файлом, мы знаем, что атака привела к внеплановому отключению электроэнергии. На рис. 1 представлена визуализация цепочки выполнения команд, приведших к нарушению работы ОТ.
Через два дня после OT-события Sandworm развернул в ИТ-среде жертвы новый вариант CADDYWIPER, чтобы вызвать дальнейшие сбои и, возможно, удалить криминалистические артефакты. Однако мы отмечаем, что развертывание wiper было ограничено ИТ-средой жертвы и не затронуло гипервизор или виртуальную машину SCADA. Это необычно, поскольку угрожающий агент удалил другие криминалистические артефакты из системы SCADA в попытке замести следы, которые могли бы быть расширены в результате работы wiper. Это может свидетельствовать об отсутствии координации между различными лицами или оперативными подгруппами, участвовавшими в атаке.
Indicators of Compromise
IPv4
- 176.119.195.113
- 176.119.195.115
- 185.220.101.58
- 190.2.145.24
- 82.180.150.197
MD5
- 26e2a41f26ab885bf409982cb823ffd1
- 3290cd8f948b8b15a3c53f8e7190f9b0
- 61c245a073bdb08158a3c9ad0219dc23
- 82ab2c7e4d52bb2629aff200a4dc6630
- b2557692a63e119af0a106add54950e6
- cea123ebf54b9d4f8811a47134528f12