Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA в березні 2024 року розкрито зловмисний задум угрупування Sandworm, спрямований на порушення сталого функціонування інформаційно-комунікаційних систем (ІКС) близько двадцяти підприємств галузі енергетики, водо та теплопостачання (ОКІ) у десяти регіонах України.
Під час вжиття невідкладних заходів з реагування на інциденти, окрім відомого з 2022 року бекдору QUEUESEED (KNUCKLETOUCH, ICYWELL, WRONGSENS, KAPEKA), виявлено новий інструментарій зловмисників, а саме, шкідливі програми LOADGRIP та BIASBOAT (Linux-варіант QUEUESEED), які було встановлено на ЕОМ (ОС Linux), що призначені для автоматизації процесів управління технологічними процесами (АСУТП) з використанням спеціалізованого програмного забезпечення (СПЗ) вітчизняного виробництва. Слід звернути увагу, що BIASBOAT було представлено у вигляді шифрованого під конкретний сервер файлу, для чого зловмисники використовували заздалегідь отримане значення "machine-id".
Фахівцями CERT-UA підтверджено факти компрометації, щонайменше, трьох "ланцюгів постачання", у зв'язку з чим обставини первинного несанкціонованого доступу або корелюють зі встановленням СПЗ, що містило програмні закладки та вразливості, або спричинені штатною технічною можливістю співробітників постачальника отримувати доступ до ІКС організацій для супроводження та технічної підтримки.
Зважаючи на функціонування ЕОМ з СПЗ в межах ІКС ОКІ, зловмисники використовували їх для горизонтального переміщення та розвитку кібератаки у відношенні корпоративних мереж підприємств. Для прикладу, на таких ЕОМ в каталогах з СПЗ було виявлено заздалегідь створений PHP-вебшелл WEEVELY, PHP-тунель REGEORG.NEO або PIVOTNACCI.
У період з 07.03.2024 по 15.03.2024 фахівцями CERT-UA вжито заходів з інформування всіх ідентифікованих підприємств та дослідження і протидії кіберзагрозам у відповідних ІКС, в рамках чого встановлено обставини первинної компрометації, вилучено та проаналізовано шкідливе програмне забезпечення, побудовано хронологію подій інциденту, надано сприяння в налаштуванні серверного та активного мережевого обладнання, а також встановлено технологію захисту (на деяких підприємствах LOADGRIP/BIASBOAT було створено у 2023 році).
Слід підкреслити, що на ЕОМ під управлінням ОС Windows зловмисниками використовувалося шкідливе програмне забезпечення QUEUESEED та GOSSIPFLOW, яке відстежується з 2022 року в контексті деструктивних кібератак угрупування UAC-0133 на об'єкти водопостачання, зокрема, з використанням SDELETE. Таким чином, з високим рівнем впевненості UAC-0133 є субкластером UAC-0002 (Sandworm/APT44).
Зауважимо, що реалізації кібератак сприяли такі фактори:
- не коректна сегментація (відсутність ізоляції) серверів з СПЗ постачальників, що використовуються як елемент АСУТП, в контексті як обмеження доступу з/до мережі Інтернет, так й ІКС самих організацій, в межах яких вони функціонують
- халатне ставлення постачальників до безпеки програмного забезпечення, що надається споживачам; зокрема, під час поверхневого аналізу вихідного коду буде виявлено банальні вразливості, що дозволяють здійснювати віддалене виконання коду (RCE).
CERT-UA припускає, що несанкціонований доступ до ІКС значної кількості об'єктів тепло, водо та енерго постачання мав бути використаний для підсилення ефекту від ракетних ударів по інфраструктурним об'єктам України навесні 2024 року.
QUEUESEED - шкідлива програма, розроблена з використанням мови програмування C++. Отримує базову інформацію про ЕОМ (ОС, мова, ім'я користувача), виконує отримані з серверу управління команди та надсилає результат. Функції: читання/запис файлів, виконання команд (як окремий процес, або через %COMSPEC% /c), оновлення конфігурації, самовидалення. Для взаємодії з сервером управління використовується HTTPS. Дані передаються в JSON-форматі та шифруються за допомогою RSA+AES. Конфігураційний файл бекдору, який, зокрема, містить URL-адресу серверу управління, шифрується за допомогою AES (ключ статично задано в програмі). Імплементовано чергу неопрацьованих вхідних команд/результатів - зберігається в реєстрі Windows в AES-шифрованому вигляді (як ключ використовується значення %MACHINEGUID%). Персистентність бекдору забезпечується дропером, який створює відповідне заплановане завдання або запис в гілці "Run" реєстру Windows.
BIASBOAT - шкідлива програма (ELF), розроблена з використанням мови програмування C, є Linux-варіантом QUEUESEED. Запуск на ЕОМ здійснюється за допомогою інжектору LOADGRIP.
LOADGRIP - шкідлива програма (ELF), розроблена з використанням мови програмування C. Основний функціонал - запуск пейлоаду шляхом інжектування з використанням API ptrace. Пейлоад, зазвичай, представлено в шифрованому вигляді (AES128-CBC), а ключ для його розшифрування формується на основні статично зазаначеної в коді константи та значення "machine-id" ЕОМ.
GOSSIPFLOW - шкідлива програма, розроблена з використанням мови програмування Go. Забезпечує побудову тунелю (використовує бібліотеку-мультиплексор Yamux) та виконує функціонал SOCKS5 проксі.
Окрім згаданих програмних засобів реалізації кіберзагроз угрупуванням також застосовувалися, але не виключно:
- CHISEL
- LIBPROCESSHIDER
- JUICYPOTATONG
- ROTTENPOTATONG