Українська урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA розкрила плани хакерської групи UAC-0133 (Sandworm) атакувати інформаційно-комунікаційні системи (ІКС) близько 20 підприємств критичної інфраструктури у 10 регіонах України.
Як повідомляє пресслужба Держспецзв'язку, угруповання Sandworm, діяльність якого асоціюється із Головним управлінням Генерального штабу Збройних сил російської федерації (раніше відомого як ГРУ), є одним із найактивніших і найнебезпечніших.
За даними пресслужби, під прицілом хакерів опинилося майже два десятки українських компаній, що постачають українцям електроенергію, воду і тепло.
«Для отримання первинного доступу зокрема було застосовано так звані supply chain attacks – атаки на ланцюжки поставок. Кінцевий задум ворога полягав у виведенні з ладу обладнання ІКС, що мало завдати ще більшої шкоди Україні на тлі весняних ракетних атак на критичну інфраструктуру», – йдеться у повідомленні.
Державні кіберзахисники виявили відомий із 2022 року бекдор QUEUESEED (KNUCKLETOUCH, ICYWELL, WRONGSENS, KAPEKA), а також нові шкідливі програми LOADGRIP та BIASBOAT (Linux-варіант QUEUESEED). Вони були інфільтровані в автоматизовані керуючі системи під Linux.
Файл BIASBOAT було представлено у вигляді шифрованого під конкретний сервер файлу, для чого зловмисники використовували заздалегідь отримане значення machine-id.
Фахівці CERT-UA підтвердили факти компрометації щонайменше трьох ланцюгів постачання. У зв’язку з цим обставини первинного несанкціонованого доступу або корелюють зі встановленням СПЗ, що містило програмні закладки та вразливості, або спричинені штатною технічною можливістю співробітників постачальника отримувати доступ до ІКС організацій для супроводження й технічної підтримки.
Потрапивши до комп’ютерних систем, пов’язані з росією хакери готували розвиток кібератаки на всі корпоративні мережі підприємств. CERT-UA виявив там заздалегідь створений PHP-вебшелл WEEVELY, PHP-тунель REGEORG.NEO або PIVOTNACCI.
З 7 до 15 березня фахівці CERT-UA проінформували всі вражені підприємства та вжили заходів із протидії кіберзагрозам у системах. На деяких підприємствах LOADGRIP/BIASBOAT було створено у 2023 році.
У компаніях, де системи працюють на Windows, зловмисники використали ПЗ QUEUESEED та GOSSIPFLOW, за допомогою якого ще з 2022 року угрупування UAC-0133 могло атакувати об’єкти водопостачання, зокрема з використанням SDELETE.
З високим рівнем впевненості UAC-0133 є субкластером UAC-0002 (Sandworm/APT-44), стверджують у CERT-UA.
CERT-UA рекомендує підприємствам ужити всіх необхідних заходів для захисту своїх ІКС.
«Рекомендації є такими: сегментувати мережі й обмежити доступ до елементів ІКС, застосовуючи принцип мінімальної необхідності та нульової довіри. Використовувати багатофакторну аутентифікацію. Навчати персонал основ кібербезпеки», – наголошується у повідомленні.
Довідка від CERT-UA
QUEUESEED – це шкідлива програма, розроблена з використанням мови програмування C++. Вона отримує базову інформацію про ЕОМ (ОС, мова, ім’я користувача), виконує отримані з серверу управління команди та надсилає результат.
Функції: читання/запис файлів, виконання команд (як окремий процес, або через %COMSPEC% /c), оновлення конфігурації, самовидалення. Для взаємодії з сервером управління використовується HTTPS.
Дані передаються в JSON-форматі та шифруються за допомогою RSA+AES. Конфігураційний файл бекдору, який зокрема містить URL-адресу сервера управління, шифрується за допомогою AES (ключ статично задано у програмі). Імплементовано чергу неопрацьованих вхідних команд/результатів – зберігається у реєстрі Windows в AES-шифрованому вигляді (як ключ використовується значення %MACHINEGUID%). Персистентність бекдору забезпечується дропером, який створює відповідне заплановане завдання або запис у гілці Run реєстру Windows.
BIASBOAT – це шкідлива програма (ELF), розроблена з використанням мови програмування C, є Linux-варіантом QUEUESEED. Запуск на ЕОМ здійснюється за допомогою інжектору LOADGRIP.
LOADGRIP – шкідлива програма (ELF), розроблена з використанням мови програмування C. Основний функціонал – запуск пейлоаду шляхом інжектування з використанням API ptrace. Пейлоад зазвичай представлено в шифрованому вигляді (AES128-CBC), а ключ для його розшифрування формується на основні статично зазначеної в коді константи та значення machine-id ЕОМ.
GOSSIPFLOW – це шкідлива програма, розроблена з використанням мови програмування Go. Забезпечує побудову тунелю (використовує бібліотеку-мультиплексор Yamux) та виконує функціонал SOCKS5 проксі.
Окрім згаданих програмних засобів реалізації кіберзагроз, угруповання також застосовувало, але не виключно:
- CHISEL.
- LIBPROCESSHIDER.
- JUICYPOTATONG.
- ROTTENPOTATONG.
Нещодавно стало відомо, що російські хакери Sandworm видають себе за хактивістів, атакуючи системи водопостачання в США та Європі.
У 2023 році WIRED вніс Sandworm у список найнебезпечніших людей, груп та організацій в Інтернеті.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
