A Mandiant, de propriedade do Google, revelou que o Sandworm, grupo de hackers apoiado pela Rússia, realizou um ataque cibernético disruptivo visando uma organização ucraniana de infraestrutura crítica no final do ano passado. A empresa de segurança cibernética, que estava envolvida na resposta ao ataque, compartilhou algumas das conclusões de sua análise post-mortem em um relatório publicado nesta quinta-feira, 9.
Segundo a empresa, a invasão começou em junho de 2022, talvez um pouco antes. Foi um ataque cibernético multievento que alavancou uma nova técnica para impactar sistemas de controle industrial (ICS) e tecnologia operacional (OT). O incidente culminou em dois eventos graves em 10 e 12 de outubro de 2022. O primeiro foi uma queda de energia e o segundo um ataque com software limpador projetado para limitar qualquer investigação.
O operador da ameaça, que a Mandiant rastreou pela primeira vez como UNC3810 antes de fundir o cluster com o Sandworm, usou pela primeira vez técnicas de ataque living off the land (LotL, ou vivendo fora da terra, em tradução livre). Isso permitiu que o grupo melhorasse suas chances de evitar a detecção.
“Embora não pudéssemos identificar o vetor de acesso inicial ao ambiente de TI, o Sandworm obteve acesso ao ambiente OT por meio de um hipervisor que hospedava uma instância de gerenciamento de controle de supervisão e aquisição de dados [sistema SCADA] para o ambiente de subestação da vítima”, escreveu Mandiant.
Com base em evidências de movimentação lateral, o invasor potencialmente teve acesso ao sistema SCADA por até três meses. Em 10 de outubro, o operador da ameaça aproveitou uma imagem de disco óptico (ISO) chamada “a.iso” para executar um binário MicroSCADA nativo em uma provável tentativa de executar comandos de controle maliciosos para desligar subestações.
A intenção desse primeiro ataque provavelmente era acionar os disjuntores da subestação da vítima, causando uma queda de energia não planejada que coincidiu com ataques de mísseis em massa em infraestruturas críticas em toda a Ucrânia. “Embora a Mandiant não tenha evidências suficientes para concluir que o ataque cibernético à usina foi deliberadamente cronometrado com os ataques de mísseis, eles observam que o momento dos dois é muito coincidente”, escreveram os pesquisadores.
Dois dias depois, o Sandworm realizou um segundo evento disruptivo ao implantar uma nova variante do CaddyWiper no ambiente de TI da vítima.
Veja isso
Grupo russo Sandworm surge como padrão em guerra cibernética
Hackers ligados à Rússia e China exploram dia zero do WinRAR
Essas novas técnicas “sugerem uma maturidade crescente do arsenal ofensivo de OT da Rússia, incluindo uma capacidade de reconhecer novos vetores de ameaça de OT, desenvolver novas capacidades e alavancar diferentes tipos de infraestrutura de OT para executar ataques”, escreveu Mandiant. Este ataque ocorreu alguns meses depois que o Sandworm supostamente pretendia implantar o Industroyer 2, um malware destrutivo visando o ICS, contra organizações ucranianas.
“Não há muitas evidências de que este ataque foi projetado para qualquer necessidade prática e militar. Os civis são tipicamente os que sofrem com esses ataques e eles provavelmente são realizados para exacerbar o custo psicológico da guerra. É importante que não percamos de vista a séria ameaça que a Ucrânia ainda enfrenta, especialmente à medida que o inverno se aproxima”, disse Ohn Hultquist, analista-chefe da Mandiant.
O que é o grupo hacker Sandworm?
O Sandworm — também conhecido como Telebots, Voodoo Bear e Iron Viking — é um grupo de hackers que apareceu pela primeira vez em 2009. Acredita-se que o grupo trabalha para Departamento Central de Inteligência (GRU, na sigla em inglês) do Estado-Maior das Forças Armadas da Rússia como parte da Unidade Militar 74455 do Centro Principal de Tecnologias Especiais (GTsST).
No passado, Sandworm tornou-se um nome familiar em operações de espionagem cibernética e influência cibernética. O foco do grupo tem sido a Ucrânia, onde realizou uma campanha de ataques disruptivos e destrutivos na última década usando malware limpador.
“Dada a atividade de ameaça global do Sandworm e os novos recursos de OT, pedimos aos proprietários de ativos de OT que tomem medidas para mitigar essa ameaça”, alertaram os pesquisadores da Mandiant.
Para ter acesso ao relatório da Mandiant, em inglês, clique aqui.