Das Computer Emergency Response Team der Ukraine (CERT-UA) hat am Dienstag bekannt gegeben, dass es einen Cyberangriff von Sandworm, einer Hackergruppe, die mit dem russischen Militärgeheimdienst verbunden ist, vereitelt hat, um den Betrieb eines ungenannten Energieversorgers im Land zu sabotieren.
„Die Angreifer versuchten, mehrere Infrastrukturkomponenten ihres Ziels auszuschalten, nämlich: Elektrische Umspannwerke, mit Windows betriebene Computersysteme, mit Linux betriebene Serverausrüstung und aktive Netzwerkausrüstung“, erklärte der Staatliche Dienst für Sonderkommunikation und Informationsschutz der Ukraine (SSSCIP) in einer Erklärung.
Das slowakische Cybersicherheitsunternehmen ESET, das gemeinsam mit dem CERT-UA den Angriff analysierte, erklärte, dass bei dem versuchten Eindringen ICS-fähige Malware und reguläre Disk Wiper zum Einsatz kamen, wobei der Angreifer eine aktualisierte Variante der Industroyer-Malware einsetzte, die erstmals 2016 bei einem Angriff auf das ukrainische Stromnetz zum Einsatz kam.
„Die Sandworm-Angreifer versuchten, die Industroyer2-Malware gegen Hochspannungsumspannwerke in der Ukraine einzusetzen“, erklärt ESET. „Zusätzlich zu Industroyer2 verwendete Sandworm mehrere destruktive Malware-Familien, darunter CaddyWiper, OrcShred, SoloShred und AwfulShred.“
Es wird vermutet, dass das Stromnetz des Opfers in zwei Wellen infiltriert wurde. Die erste Kompromittierung fand spätestens im Februar 2022 statt, zeitgleich mit dem russischen Einmarsch in der Ukraine, und eine weitere Infiltration im April, die es den Angreifern ermöglichte, Industroyer2 hochzuladen.
Industroyer, auch bekannt als „CrashOverride“ und als „größte Bedrohung für industrielle Steuerungssysteme seit Stuxnet“ bezeichnet, ist sowohl modular als auch in der Lage, die direkte Kontrolle über Schalter und Leistungsschalter in einer Stromverteilungsstation zu übernehmen.
Die neue Version der ausgeklügelten und hochgradig anpassbaren Malware nutzt wie ihr Vorgänger ein industrielles Kommunikationsprotokoll namens IEC-104, um die Kontrolle über industrielle Geräte wie Schutzrelais zu übernehmen, die in Umspannwerken eingesetzt werden.
Die forensische Analyse der von Industroyer2 hinterlassenen Artefakte ergab, dass der Zeitstempel für die Zusammenstellung der Daten der 23. März 2022 ist, was darauf hindeutet, dass der Angriff seit mindestens zwei Wochen geplant war. Dennoch ist noch unklar, wie das Kraftwerk ursprünglich angegriffen wurde oder wie die Eindringlinge vom IT-Netzwerk in das Netzwerk des industriellen Kontrollsystems (ICS) gelangten.
Laut ESET sollten die zerstörerischen Aktionen gegen die Infrastruktur des Unternehmens am 8. April 2022 stattfinden, wurden aber letztendlich vereitelt. Danach sollte 10 Minuten später ein Datenwischer namens CaddyWiper auf demselben Rechner ausgeführt werden, um Spuren der Industroyer2-Malware zu beseitigen.
Neben Industroyer2 und CaddyWiper soll das Netzwerk des angegriffenen Energieversorgers auch von einem Linux-Wurm namens OrcShred infiziert worden sein, der dann zwei verschiedene Wiper-Malware für Linux- und Solaris-Systeme – AwfulShred und SoloShred – verbreitet und die Rechner funktionsunfähig macht.
Die Erkenntnisse kommen kurz nach der gerichtlich genehmigten Zerschlagung von Cyclops Blink, einem fortschrittlichen, modularen Botnetz, das vom Sandworm-Bedrohungsakteur kontrolliert wird, letzte Woche.
Das CERT-UA hat seinerseits auch vor einer Reihe von Speerphishing-Kampagnen von Armageddon gewarnt, einer anderen russischen Gruppe mit Verbindungen zum Föderalen Sicherheitsdienst (FSB), die seit mindestens 2013 ukrainische Einrichtungen angreift.
„Die Ukraine steht wieder einmal im Mittelpunkt von Cyberangriffen auf ihre kritische Infrastruktur“, so ESET. „Diese neue Industroyer-Kampagne folgt auf mehrere Wellen von Wipern, die es auf verschiedene Sektoren in der Ukraine abgesehen haben.