Sektörden Haberler

Rus Hacker Grubu Sandworm’un Ekim 2022'de Ukrayna’da Elektrik Kesintisine Neden Olduğu Açıklandı

11 Kasım 2023

Mandiant (Amerikan Siber Güvenlik Firması) araştırmacıları, Rus askeri bilgisayar korsanlarının, Ekim 2022'de, Ukrayna'daki bir elektrik şebekesi trafo merkezinin devre kesicilerini, daha önce açıklanmayan bir siber saldırıyla başarılı bir şekilde devre dışı bıraktıklarını açıklamıştır. Halk arasında Sandworm olarak bilinen grubun neden olduğu kesinti, Ukrayna genelinde kritik altyapıya yapılan toplu füze saldırılarıyla aynı zamana denk gelmiştir.

Güvenlik firması saldırganların, Rusya'nın Ukrayna'nın operasyonel teknolojisine yönelik, siber fiziksel saldırı için gerekli zamanı ve kaynakları azaltan yeni teknikler kullandığını, daha fazla kesintiye neden olmak ve adli izleri ortadan kaldırmak için BT ortamını etkileyen bir temizleme saldırısı da gerçekleştirdiklerini açıklamıştır.

Seashell Blizzard ve Voodoo Bear olarak da bilinen Sandworm grubu, 2015 ve 2016'da elektrik şebekesinde yaşanan daha önceki iki kesinti de dahil olmak üzere on yılı aşkın bir süredir Ukrayna'yı siber saldırılarla hedef almaktadır.

Mandiant'ın baş analisti John Hultquist, yapılan saldırının, askeri gereklilik için tasarlanmadığını, daha ziyade savaşın psikolojik bedelini ağırlaştırmak için tasarlandığını, Rusya'nın bilgisayar korsanlığını doğrudan konvansiyonel askeri operasyonlara entegre etmekte zorlandığını, siber saldırıları casusluğa doğru yeniden yönlendirdiğini, kritik altyapılara yönelik silici saldırıları ve genel olarak askeri hazırlığı bozmaya yönelik girişimlerde bulunduğunu söylemiştir.

Mandiant, Sandworm grubunun trafo merkezine ilk olarak aylar önce, Haziran 2022 civarında girdiğini, İlk erişim vektörünün kesin olarak bilinmediğini, bir hipervizör aracılığıyla operasyonel teknolojiye sızdığını, Saldırıyı gerçekleştirmek için kullanılan kötü amaçlı yazılımın üzerindeki zaman damgasından, Sandworm grubunun saldırıyı geliştirmek için iki ay harcadığını açıklamıştır.

Sandworm grubu, SCADA ortamında, bir ISO optik disk görüntüsü dağıtarak saldırıyı gerçekleştirmiştir. Kötü amaçlı yazılım yerel bir SCADA yardımcı programı olan scilc.exe'yi kullanmıştır. Kullanılan bu yöntem, Windows işletim sistemlerine gömülü yardımcı programları kötü niyetli amaçlar için rutin olarak kullanan “arazide yaşamak" (living off the land) tekniği olarak bilinmektedir. Bu teknik, kötü niyetli eylemlerin tespit edilmesini zorlaştırmaktadır. Mandiant, Sandworm grubunun, saldırılarda hızı ve ölçeği artırmak için, LotL taktiklerini kullandığını belirtmiştir.

 

Kaynak:   https://www.govinfosecurity.com/russian-sandworm-hackers-caused-power-outage-in-october-2022-a-235499