ProIT: медіа для профі в IT
3 хв

Російські хакери Sandworm готували атаку на два десятки об’єктів критичної інфраструктури України

author avatar ProIT NEWS

Українська урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA розкрила плани хакерської групи UAC-0133 (Sandworm) атакувати інформаційно-комунікаційні системи (ІКС) близько 20 підприємств критичної інфраструктури у 10 регіонах України.

Як повідомляє пресслужба Держспецзв'язку, угруповання Sandworm, діяльність якого асоціюється із Головним управлінням Генерального штабу Збройних сил російської федерації (раніше відомого як ГРУ), є одним із найактивніших і найнебезпечніших.

За даними пресслужби, під прицілом хакерів опинилося майже два десятки українських компаній, що постачають українцям електроенергію, воду і тепло.

«Для отримання первинного доступу зокрема було застосовано так звані supply chain attacks – атаки на ланцюжки поставок. Кінцевий задум ворога полягав у виведенні з ладу обладнання ІКС, що мало завдати ще більшої шкоди Україні на тлі весняних ракетних атак на критичну інфраструктуру», – йдеться у повідомленні.

Державні кіберзахисники виявили відомий із 2022 року бекдор QUEUESEED (KNUCKLETOUCH, ICYWELL, WRONGSENS, KAPEKA), а також нові шкідливі програми LOADGRIP та BIASBOAT (Linux-варіант QUEUESEED). Вони були інфільтровані в автоматизовані керуючі системи під Linux.

Файл BIASBOAT було представлено у вигляді шифрованого під конкретний сервер файлу, для чого зловмисники використовували заздалегідь отримане значення machine-id.

Фахівці CERT-UA підтвердили факти компрометації щонайменше трьох ланцюгів постачання. У зв’язку з цим обставини первинного несанкціонованого доступу або корелюють зі встановленням СПЗ, що містило програмні закладки та вразливості, або спричинені штатною технічною можливістю співробітників постачальника отримувати доступ до ІКС організацій для супроводження й технічної підтримки.

Потрапивши до комп’ютерних систем, пов’язані з росією хакери готували розвиток кібератаки на всі корпоративні мережі підприємств. CERT-UA виявив там заздалегідь створений PHP-вебшелл WEEVELY, PHP-тунель REGEORG.NEO або PIVOTNACCI.

З 7 до 15 березня фахівці CERT-UA проінформували всі вражені підприємства та вжили заходів із протидії кіберзагрозам у системах. На деяких підприємствах LOADGRIP/BIASBOAT було створено у 2023 році.

У компаніях, де системи працюють на Windows, зловмисники використали ПЗ QUEUESEED та GOSSIPFLOW, за допомогою якого ще з 2022 року угрупування UAC-0133 могло атакувати об’єкти водопостачання, зокрема з використанням SDELETE.

З високим рівнем впевненості UAC-0133 є субкластером UAC-0002 (Sandworm/APT-44), стверджують у CERT-UA.

CERT-UA рекомендує підприємствам ужити всіх необхідних заходів для захисту своїх ІКС.

«Рекомендації є такими: сегментувати мережі й обмежити доступ до елементів ІКС, застосовуючи принцип мінімальної необхідності та нульової довіри. Використовувати багатофакторну аутентифікацію. Навчати персонал основ кібербезпеки», – наголошується у повідомленні.

Довідка від CERT-UA

QUEUESEED – це шкідлива програма, розроблена з використанням мови програмування C++. Вона отримує базову інформацію про ЕОМ (ОС, мова, ім’я користувача), виконує отримані з серверу управління команди та надсилає результат.

Функції: читання/запис файлів, виконання команд (як окремий процес, або через %COMSPEC% /c), оновлення конфігурації, самовидалення. Для взаємодії з сервером управління використовується HTTPS.

Дані передаються в JSON-форматі та шифруються за допомогою RSA+AES. Конфігураційний файл бекдору, який зокрема містить URL-адресу сервера управління, шифрується за допомогою AES (ключ статично задано у програмі). Імплементовано чергу неопрацьованих вхідних команд/результатів – зберігається у реєстрі Windows в AES-шифрованому вигляді (як ключ використовується значення %MACHINEGUID%). Персистентність бекдору забезпечується дропером, який створює відповідне заплановане завдання або запис у гілці Run реєстру Windows.

BIASBOAT – це шкідлива програма (ELF), розроблена з використанням мови програмування C, є Linux-варіантом QUEUESEED. Запуск на ЕОМ здійснюється за допомогою інжектору LOADGRIP.

LOADGRIP – шкідлива програма (ELF), розроблена з використанням мови програмування C. Основний функціонал – запуск пейлоаду шляхом інжектування з використанням API ptrace. Пейлоад зазвичай представлено в шифрованому вигляді (AES128-CBC), а ключ для його розшифрування формується на основні статично зазначеної в коді константи та значення machine-id ЕОМ.

GOSSIPFLOW – це шкідлива програма, розроблена з використанням мови програмування Go. Забезпечує побудову тунелю (використовує бібліотеку-мультиплексор Yamux) та виконує функціонал SOCKS5 проксі.

Окрім згаданих програмних засобів реалізації кіберзагроз, угруповання також застосовувало, але не виключно:

  • CHISEL.
  • LIBPROCESSHIDER.
  • JUICYPOTATONG.
  • ROTTENPOTATONG.

Нещодавно стало відомо, що російські хакери Sandworm видають себе за хактивістів, атакуючи системи водопостачання в США та Європі.

У 2023 році WIRED вніс Sandworm у список найнебезпечніших людей, груп та організацій в Інтернеті.

Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!

Приєднатися до company logo
Продовжуючи, ти погоджуєшся з умовами Публічної оферти та Політикою конфіденційності.