Alla fine del 2022, Mandiant ha risposto a un incidente fisico informatico dirompente in cui l’attore di minaccia Sandworm collegato alla Russia ha preso di mira un’organizzazione di infrastrutture critiche ucraine. Questo incidente è stato un attacco informatico multi-evento e ha causato interruzioni di corrente non pianificate in Ucraina, in concomitanza con gli attacchi missilistici russi, con obiettivo infrastrutture critiche in tutto il Paese.
L’attacco è stato realizzato tramite una tecnica innovativa per colpire i sistemi di controllo industriale (ICS) e la tecnologia operativa (OT) e indica che l’attore della minaccia è probabilmente in grado di sviluppare rapidamente capacità simili contro altri sistemi OT di differenti produttori di apparecchiature originali (OEM) utilizzati in tutto il mondo.
Nell’attaccare i sistemi OT della centrale elettrica ucraina, Sandworm ha inizialmente utilizzato tecniche di tipo “living off the land” per far scattare gli interruttori della sottostazione della vittima, causando così un’interruzione di corrente non pianificata.
La tecnica usata “living off the land” (a.k.a LotL) è basata sull’utilizzo di tools di sistema, questi ultimi tipicamente più fiduciati e meno soggetti ai controlli di sicurezza da parte degli EDR. Attraverso il suo impiego, l’attaccante è stato in grado di ridurre la probabilità di essere scoperto o di lasciare tracce che avrebbero potuto poi essere utilizzate per rilevare altre operazioni.
Cyber attacco su Ucraina condotto in soli 2 mesi
Sebbene Mandiant non sia stata in grado di determinare il mezzo iniziale dell’intrusione, l’analisi suggerisce che l’attacco è stato condotto con cura in appena due mesi.
“Non ci sono molte prove che questo attacco sia stato progettato per una necessità pratica a livello militare. In genere sono i civili ad essere colpiti da questi attacchi, che probabilmente vengono compiuti per esacerbare il tributo psicologico della guerra. È importante non perdere di vista la grave minaccia che l’Ucraina sta ancora affrontando, soprattutto con l’avvicinarsi dell’inverno”, dichiara John Hultquist, Mandiant Chief Analyst. “Si è diffusa l’idea sbagliata che gli attacchi in Ucraina non siano stati all’altezza delle previsioni. Il fatto è che gli attacchi sono stati limitati dall’eccezionale lavoro dei difensori ucraini e dei loro partner, che hanno lavorato instancabilmente per prevenire centinaia di scenari come questo. Il fatto che questo incidente sia isolato è una testimonianza del loro eccezionale lavoro”.
Altre informazioni chiave presenti nella ricerca:
- L’intrusione è iniziata nel giugno 2022 o prima ed è culminata in due eventi disruptive il 10 e il 12 ottobre 2022, un’interruzione di corrente e un successivo evento di pulizia progettato per limitare le indagini
- Queste nuove tecniche “suggeriscono una crescente maturità dell’arsenale OT offensivo della Russia, compresa la capacità di riconoscere nuovi vettori di minacce OT, sviluppare nuove capacità e sfruttare diverse tipologie di infrastrutture OT per eseguire nuovi attacchi”
- Questo incidente e quello di INDUSTROYER.V2 dello scorso anno dimostrano entrambi gli sforzi per semplificare le capacità di attacco OT attraverso funzioni di implementazione semplificate, e che la Russia continua a investire in capacità informatiche offensive focalizzate all’OT
- Sebbene Mandiant non possegga sufficienti prove per concludere che l’attacco informatico alla centrale elettrica sia stato deliberatamente programmato in concomitanza con gli attacchi missilistici, si nota che la tempistica dei due è coincidente.
