تم الكشف عن: كيف كثفت الدودة الرملية الروسية هجماتها على البنية التحتية الحيوية في أوكرانيا
متخصص في استخبارات التهديدات المدعومة من Google Cloud مانديانت شاركت تفاصيل الحادث التخريبي الذي وقع في أواخر العام الماضي، والذي وقعت فيه الدودة الرملية التهديد المستمر المتقدم قامت مجموعة (APT)، المدعومة من وكالة المخابرات والقوات الخاصة الروسية GRU، بنشر تقنيات جديدة في هجوم إلكتروني على البنية التحتية للطاقة في أوكرانيا.
الدودة الرملية معروفة باهتمامها في البنية التحتية الوطنية الحيوية في أوكرانيا (CNI)، التي هاجمتها بشكل متكرر على مر السنين، وتكثيف مضايقاتها خلال الحرب المستمرةوالتي تقترب من ذكراها الثانية.
الآن، وللمرة الأولى، كشفت شركة Mandiant عما تعلمته أثناء استجابتها لغزو الدودة الرملية “المتعدد الأحداث” والذي استفاد من تقنيات جديدة للتأثير على أنظمة التحكم الصناعية (ICS) و التكنولوجيا التشغيلية (OT)، استغلال تقنيات العيش خارج الأرض لفصل قواطع دوائر المحطات الفرعية التي تسببت في انقطاع التيار الكهربائي غير المخطط له والذي تزامن مع ضربات صاروخية روسية جماعية ضد أهداف CNI في أوكرانيا.
وقال جون هولتكويست، كبير محللي مانديانت: “ليس هناك الكثير من الأدلة على أن هذا الهجوم كان مصممًا لأي ضرورة عملية أو عسكرية. عادة ما يكون المدنيون هم الذين يعانون من هذه الهجمات، ومن المحتمل أن يكون تنفيذها سببًا في تفاقم الخسائر النفسية للحرب. ومن المهم ألا يغيب عن بالنا التهديد الخطير الذي لا تزال أوكرانيا تواجهه، خاصة مع اقتراب فصل الشتاء».
وأضاف: “كان هناك اعتقاد خاطئ بأن الهجمات في أوكرانيا لم ترق إلى مستوى التوقعات. والحقيقة هي أن الهجمات كانت محدودة بسبب العمل الاستثنائي للمدافعين الأوكرانيين وشركائهم، الذين عملوا بلا كلل لمنع مائة سيناريو مثل هذا. وحقيقة أن هذه الحادثة معزولة هي شهادة على عملهم الاستثنائي.
وقال محققو مانديانت، كين بروسكا، وجون ولفرام، وجاريد ويلسون، ودان بلاك، وكيث لوندن، ودانييل كابيلمان زافرا، وناثان بروبكر، وتايلر ماكليلان، إن الهجوم أظهر تطورًا واضحًا في القدرات المادية السيبرانية لروسيا، ويشير إلى أن ترسانة الكرملين الهجومية من التكنولوجيا التشغيلية هي ناضجة على نحو متزايد.
وقالوا: “يشير هذا إلى أن جهة التهديد قادرة على الأرجح على تطوير قدرات مماثلة بسرعة ضد أنظمة التكنولوجيا التشغيلية الأخرى من مختلف الشركات المصنعة للمعدات الأصلية (OEMs) التي يتم الاستفادة منها في جميع أنحاء العالم”.
كيف سقطت
وقدر فريق مانديانت أن الحادث المعني بدأ في يونيو 2022 تقريبًا، وبلغ ذروته بالهجمات النهائية في 10 و12 أكتوبر من العام الماضي. من المعروف أن Sandworm تمكنت من الوصول إلى بيئة التكنولوجيا التشغيلية الخاصة بالضحية عبر برنامج Hypervisor الذي يستضيف ملف التحكم الإشرافى واستحصال البيانات (SCADA) مثيل للمحطة الفرعية للضحية.
بعد ذلك، في 10 أكتوبر، استخدمت Sandworm صورة قرص ضوئي (ISO) لتنفيذ برنامج MicroSCADA الثنائي الأصلي، وربما كانت هذه محاولة لتنفيذ أوامر تحكم ضارة لتعطل المحطات الفرعية. استنادًا إلى الطوابع الزمنية لمحتويات ملف ISO، من المحتمل أن تكون قدرات التشغيل التشغيلي هذه قد تم تطويرها خلال الفترة الزمنية منذ أن تمكنت Sandworm لأول مرة من الوصول إلى وقت تنفيذ الهجوم.
بعد يومين، نشرت Sandworm نسخة محدثة من البرمجيات الخبيثة المعروفة باسم Caddywiper لإحداث مزيد من الاضطراب وربما، وفقًا لمانديانت، لإزالة آثار الطب الشرعي. ومع ذلك، كان هذا النشر مقتصرًا على بيئة تكنولوجيا المعلومات الخاصة بالضحية ولم يؤثر على برنامج Hypervisor ولا على مثيل SCADA، وهو أمر غريب بعض الشيء وقد يشير إلى بعض المشكلات الداخلية داخل المجموعة.
قال فريق Mandiant إن استخدام الثنائيات خارج الأرض (LoLBins) – وهي أدوات شرعية وطبيعية وقابلة للتنفيذ على النظام، في هذه الحالة MicroSCADA الأصلي – كان بمثابة تحول كبير بالنسبة لـ Sandworm.
باستخدام أدوات خفيفة الوزن وعامة، تمكنت Sandworm من تقليل كل من الوقت والموارد التي تحتاجها لاستهلاكها في خدمة هجومها، مع زيادة صعوبة اكتشافها على المدافعين، لأنه نظرًا لأن LoLBins شرعية، فلن يكون من الضروري أن تكون كذلك. تبحث في المكان المناسب.
“يمثل هذا الهجوم تهديدًا مباشرًا لبيئات البنية التحتية الحيوية الأوكرانية التي تستفيد من نظام التحكم الإشرافي MicroSCADA. ونظرًا لنشاط التهديد العالمي لـ Sandworm والنشر العالمي لمنتجات MicroSCADA، يجب على مالكي الأصول على مستوى العالم اتخاذ إجراءات للتخفيف من تكتيكاتهم وتقنياتهم وإجراءاتهم ضد أنظمة تكنولوجيا المعلومات والتكنولوجيا التشغيلية.
“علاوة على ذلك، يشير تحليلنا للنشاط إلى أن روسيا ستكون قادرة على تطوير قدرات مماثلة ضد أنظمة SCADA ولغات البرمجة الأخرى بخلاف MicroSCADA وSCIL”.
وقد نشر مانديانت المزيد من التفاصيل الفنية المتعمقة حول الحادث، وتوصيات لاكتشاف النشاط المماثل والتخفيف منه. والتي يمكن العثور عليها هنا.
