Nowości

Hakerzy powiązani z rosyjskim GRU przez lata atakowali amerykańską sieć

Hakerzy powiązani z rosyjskim GRU przez lata atakowali amerykańską sieć

Yuri Smityuk | Getty Images

Dla wszystkich grup hakerów z państw narodowych, które atakowały amerykańską sieć elektroenergetyczną – a nawet z powodzeniem włamały się do amerykańskich zakładów energetycznych – tylko rosyjska grupa wywiadu wojskowego znana jako Sandworm była na tyle bezczelna, aby wywołać rzeczywiste przerwy w dostawie prądu, wyłączając światła na Ukrainie 2015 i 2016. Obecnie jedna firma zajmująca się bezpieczeństwem sieciowym ostrzega, że ​​grupa powiązana z wyjątkowo niebezpiecznymi hakerami Sandworm również od lat aktywnie atakuje amerykański system energetyczny.

Dragos, firma zajmująca się cyberbezpieczeństwem przemysłowym, opublikowała w środę roczny raport na temat stanu bezpieczeństwa przemysłowych systemów sterowania, w którym wymieniono cztery nowe zagraniczne grupy hakerów zajmujące się tymi systemami infrastruktury krytycznej. Według Dragosa, trzy z nowo wymienionych grup obrały sobie za cel systemy kontroli przemysłowej w USA. Ale być może najbardziej godna uwagi jest grupa, którą Dragos nazywa Kamacite, którą firma ochroniarska opisuje jako pracującą we współpracy z Sandworm GRU. W przeszłości Kamacite służył jako zespół „dostępu” Sandworma, piszą naukowcy Dragos, skupiając się na zdobyciu przyczółka w docelowej sieci, zanim przekazał ten dostęp innej grupie hakerów Sandworm, którzy czasami dokonywali destrukcyjnych efektów. Dragos mówi, że Kamacite wielokrotnie atakował amerykańskie zakłady energetyczne, ropę i gaz oraz inne firmy przemysłowe od 2017 roku.

„Nieustannie działają przeciwko amerykańskim podmiotom elektrycznym, starając się zachować pozory wytrwałości w swoich sieciach IT” – mówi wiceprezes Dragos ds. Wywiadu zagrożeń i były analityk NSA Sergio Caltagirone. Caltagirone twierdzi, że w kilku przypadkach w ciągu tych czterech lat próby włamania się do sieci tych amerykańskich celów zakończyły się sukcesem, co doprowadziło do uzyskania dostępu do tych mediów, które były sporadyczne, jeśli nie dość trwałe.

Caltagirone twierdzi, że Dragos tylko wcześniej potwierdził udane włamania Kamacite do amerykańskich sieci i nigdy nie widział, aby te włamania w USA prowadziły do ​​destrukcyjnych ładunków. Ale ponieważ historia Kamacite obejmuje pracę w ramach operacji Sandworm, które spowodowały awarie na Ukrainie nie raz, ale dwukrotnie – wyłączając zasilanie ćwierć miliona Ukraińców pod koniec 2015 r., A następnie ułamek stolicy Kijowa pod koniec 2016 r. sieci amerykańskiej powinno wzbudzić alarm. „Jeśli widzisz Kamacite w sieci przemysłowej lub atakuje podmioty przemysłowe, nie możesz być pewny, że po prostu zbierają informacje. Musisz założyć, że następuje coś innego” – mówi Caltagirone. „Kamacite jest niebezpieczny dla obiektów kontroli przemysłowej, ponieważ kiedy je atakują, mają połączenie z podmiotami, które wiedzą, jak przeprowadzać destrukcyjne operacje”.

Dragos wiąże Kamacite z włamaniami do sieci elektroenergetycznej nie tylko w USA, ale także z celami europejskimi znacznie wykraczającymi poza dobrze nagłośnione ataki na Ukrainie. Obejmuje to kampanię hakerską przeciwko niemieckiemu sektorowi elektrycznemu w 2017 roku. Caltagirone dodaje, że w latach 2017-2018 Kamacite dokonało kilku udanych włamań do środowisk przemysłowych w Europie Zachodniej ”.

Dragos ostrzega, że ​​głównymi narzędziami do włamań Kamacite były wiadomości e-mail typu spear phishing z ładunkami złośliwego oprogramowania i brutalne wymuszanie logowania w chmurze usług Microsoft, takich jak Office 365 i Active Directory, a także wirtualnych sieci prywatnych. Gdy grupa zdobędzie początkową pozycję, wykorzystuje ważne konta użytkowników, aby utrzymać dostęp, i używa narzędzia do kradzieży danych uwierzytelniających Mimikatz, aby rozprzestrzeniać się dalej w sieciach ofiar.

Związek Kamacite z hakerami znanymi jako Sandworm – który został zidentyfikowany przez NSA i Departament Sprawiedliwości Stanów Zjednoczonych jako Jednostka 74455 GRU – nie jest do końca jasny. Próby firm wywiadowczych, próbujących zdefiniować odrębne grupy hakerów w podejrzanych agencjach wywiadowczych, takich jak GRU, zawsze były niejasne. Nazywając Kamacite jako odrębną grupę, Dragos stara się przełamać działalność Sandworma inaczej niż inni, którzy publicznie o tym donosili, oddzielając Kamacite jako zespół skupiający się na dostępie od innej grupy związanej z Sandworm, którą nazywa Electrum. Dragos opisuje Electrum jako zespół „efektów”, odpowiedzialny za destrukcyjne ładunki, takie jak złośliwe oprogramowanie znane jako Crash Override lub Industroyer, które spowodowało awarię w Kijowie w 2016 roku i mogło mieć na celu wyłączenie systemów bezpieczeństwa i zniszczenie sprzętu sieciowego.

Innymi słowy, razem grupy, które Dragos nazywają Kamacite i Electrum, tworzą to, co inni badacze i agencje rządowe wspólnie nazywają Sandworm. „Jedna grupa wchodzi, a druga wie, co zrobić, kiedy już się tam dostanie” – mówi Caltagirone. „A kiedy działają osobno, co też obserwujemy, jak robią, wyraźnie widzimy, że żadna z nich nie jest zbyt dobra w pracy drugiej osoby”.

Kiedy WIRED skontaktował się z innymi firmami wywiadowczymi, w tym FireEye i CrowdStrike, nikt nie mógł potwierdzić, że widział kampanię włamań do Sandworm, wymierzoną w amerykańskie przedsiębiorstwa użyteczności publicznej, jak donosi Dragos. Ale FireEye wcześniej potwierdziło, że widziało szeroko zakrojoną kampanię włamań do USA, powiązaną z inną grupą GRU znaną jako APT28 lub Fancy Bear, którą WIRED ujawnił w zeszłym roku po otrzymaniu e-maila z powiadomieniem FBI wysłanego do celów tej kampanii. Dragos zwrócił wówczas uwagę, że kampania APT28 współdzieliła infrastrukturę dowodzenia i kontroli z kolejną próbą włamania, która była wymierzona w amerykański „podmiot energetyczny” w 2019 roku, zgodnie z doradcą Departamentu Energii USA. Biorąc pod uwagę, że APT28 i Sandworm w przeszłości współpracowały ramię w ramię, Dragos przypina teraz, że sektor energetyczny w 2019 roku atakuje Kamacite w ramach większego, wieloletniego szaleństwa hakerskiego skierowanego do Stanów Zjednoczonych.

Raport Dragosa wymienia dwie inne nowe grupy, których celem są amerykańskie systemy kontroli przemysłowej. Pierwszy, który nazywa Vanadinite, wydaje się mieć powiązania z szeroką grupą chińskich hakerów znaną jako Winnti. Dragos obwinia Vanadinite za ataki wykorzystujące oprogramowanie ransomware znane jako ColdLock, aby zakłócić działanie tajwańskich organizacji ofiar, w tym państwowych firm energetycznych. Wskazuje również na to, że Vanadinite jest ukierunkowany na cele związane z energią, produkcją i transportem na całym świecie, w tym w Europie, Ameryce Północnej i Australii, w niektórych przypadkach wykorzystując luki w zabezpieczeniach sieci VPN.

Wydaje się, że druga nowo nazwana grupa, którą Dragos nazywa Talonite, również atakowała północnoamerykańskie zakłady energetyczne, wykorzystując e-maile phishingowe zawierające złośliwe oprogramowanie. Wiąże się to z wcześniejszymi próbami phishingu przy użyciu złośliwego oprogramowania znanego jako Lookback zidentyfikowanego przez Proofpoint w 2019 roku. Jeszcze inna grupa, którą Dragos nazwał Stibnite, zaatakowała azerbejdżańskie zakłady energetyczne i farmy wiatrowe za pomocą witryn phishingowych i złośliwych załączników do wiadomości e-mail, ale nie dotarła do Stanów Zjednoczonych. wiedzę firmy ochroniarskiej.

Chociaż wydaje się, że żadna z stale rosnącej listy grup hakerskich atakujących przemysłowe systemy kontroli na całym świecie nie wykorzystała tych systemów kontroli do wywołania rzeczywistych zakłóceń w 2020 r., Dragos ostrzega, że ​​sama liczba tych grup stanowi niepokojący trend. Caltagirone wskazuje na rzadką, ale stosunkowo prymitywną intruzję wymierzoną w małą oczyszczalnię wody w Oldsmar na Florydzie na początku tego miesiąca, w której wciąż niezidentyfikowany haker próbował znacznie zwiększyć poziom żrącego ługu w wodzie tego 15-tysięcznego miasta. Biorąc pod uwagę brak ochrony tego rodzaju małych celów infrastrukturalnych, grupa taka jak Kamacite, argumentuje Caltagirone, może łatwo wywołać rozległe, szkodliwe skutki, nawet bez doświadczenia grupy partnerskiej, takiej jak Electrum, w zakresie systemów kontroli przemysłowej.

Oznacza to, że wzrost liczby nawet stosunkowo niewykwalifikowanych grup stanowi realne zagrożenie, mówi Caltagirone. Dodaje, że liczba grup zajmujących się systemami kontroli przemysłowej stale rośnie, odkąd Stuxnet pokazał na początku ostatniej dekady, że hakowanie przemysłowe z fizycznymi skutkami jest możliwe. „Pojawia się wiele grup i niewiele z nich odchodzi” – mówi Caltagirone. „Czuję, że za trzy do czterech lat osiągniemy szczyt i będzie to absolutna katastrofa”.

Ta historia pojawiła się pierwotnie na wired.com.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook