Sandworm готував атаку на 20 об’єктів критичної інфраструктури України

CERT-UA, команда реагування на комп’ютерні надзвичайні події України при Держспецзв’язку, виявила плани угрупування UAC-0133 (Sandworm) атакувати інформаційні системи близько 20 підприємств галузей енергетики, водо- та теплопостачання у десяти регіонах України.

Про це повідомили в CERT-UA. Sandworm є одним із найбільш активних угруповань, пов’язаних із головним управлінням генштабу росії, раніше відомим як гру.

Як CERT-UA виявив атаку Sandworm

Державні кіберзахисники виявили відомий з 2022 бекдор QUEUESEED (KNUCKLETOUCH, ICYWELL, WRONGSENS, KAPEKA), а також нові шкідливі програми LOADGRIP та BIASBOAT (Linux-варіант QUEUESEED). Вони були інфільтровані в автоматизовані керуючі системи під Linux. Більше того, файл BIASBOAT зловмисники зашифрували під конкретний сервер, для чого використали заздалегідь отримане значення «machine-id».

Як підтвердили в CERT-UA, скомпроментованими виявились щонайменше три «ланцюги постачання”. Несанкціонований доступ зловмисники, вважають кіберзахисники, могли отримати:

Потрапивши до комп ‘ютерних систем, пов’язані із росією хакери готували розвиток кібератаки на всі корпоративні мережі підприємств. CERT-UA виявив там заздалегідь створений PHP-вебшелл WEEVELY, PHP-тунель REGEORG.NEO або PIVOTNACCI.

З 7 по 15 березня фахівці CERT-UA проінформували всі вражені підприємства та вжили заходів з протидії кіберзагрозам у системах. Вони вилучили та проаналізовали шкідливе ПЗ, створили хронологію подій інциденту, допомогли переналаштувати сервери та мережеве обладнання та встановили технологію захисту. На деяких підприємствах LOADGRIP/BIASBOAT було створено у 2023 році.

В компаніях, де системи працюють на Windows, зловмисники використали ПЗ QUEUESEED та GOSSIPFLOW, за допомогою якого ще з 2022 року угрупування UAC-0133 могло атакувати об'єкти водопостачання, зокрема, з використанням SDELETE. 

З високим рівнем впевненості UAC-0133 є субкластером UAC-0002 (Sandworm/APT-44), стверджують в CERT-UA.

Чому нова операція CERT-UA важлива

Що варто робити для кіберзахисту систем компанії

У разі виявлення підозрілої активності треба звертатися до CERT-UA: cert@cert.gov.ua або тел.: +38 (044) 281-88-25.

Що відомо про нове шкідливе ПЗ під Linux

Наводимо довідки від CERT-UA.

QUEUESEED — шкідлива програма, розроблена з використанням мови програмування C++. Отримує базову інформацію про ЕОМ (ОС, мова, ім'я користувача), виконує отримані з серверу управління команди та надсилає результат. Функції: читання/запис файлів, виконання команд (як окремий процес, або через %COMSPEC% /c), оновлення конфігурації, самовидалення. Для взаємодії з сервером управління використовується HTTPS. Дані передаються в JSON-форматі та шифруються за допомогою RSA+AES. Конфігураційний файл бекдору, який, зокрема, містить URL-адресу серверу управління, шифрується за допомогою AES (ключ статично задано в програмі). Імплементовано чергу неопрацьованих вхідних команд/результатів — зберігається в реєстрі Windows в AES-шифрованому вигляді (як ключ використовується значення %MACHINEGUID%). Персистентність бекдору забезпечується дропером, який створює відповідне заплановане завдання або запис в гілці «Run» реєстру Windows.

BIASBOAT — шкідлива програма (ELF), розроблена з використанням мови програмування C, є Linux-варіантом QUEUESEED. Запуск на ЕОМ здійснюється за допомогою інжектору LOADGRIP.

LOADGRIP - шкідлива програма (ELF), розроблена з використанням мови програмування C. Основний функціонал — запуск пейлоаду шляхом інжектування з використанням API ptrace. Пейлоад, зазвичай, представлено в шифрованому вигляді (AES128-CBC), а ключ для його розшифрування формується на основні статично зазначеної в коді константи та значення «machine-id» ЕОМ.

GOSSIPFLOW - шкідлива програма, розроблена з використанням мови програмування Go. Забезпечує побудову тунелю (використовує бібліотеку-мультиплексор Yamux) та виконує функціонал SOCKS5 проксі.