Il gruppo di cyberattacco russo noto come Sandworm ha utilizzato tecniche di attacco “living-off-the-land” (LotL) per provocare un’interruzione di corrente in una città ucraina nell’ottobre 2022, in concomitanza con un pesante bombardamento di missili. Sandworm, collegato al Centro Principale per le Tecnologie Speciali della Russia, è famoso per i suoi cyberattacchi in Ucraina: i blackout indotti da BlackEnergy nel 2015 e 2016, il famigerato wiper NotPetya e campagne più recenti che si sovrappongono alla guerra in Ucraina.
Preparazione e attacco coordinato
Un esempio di questo modus operandi è stato descritto in un rapporto di Mandiant, che dettaglia come, durante un attacco con 84 missili da crociera e 24 attacchi di droni su 20 città ucraine, Sandworm abbia sfruttato due mesi di preparazione per forzare un’interruzione di corrente inaspettata in una delle città colpite.
A differenza degli attacchi precedenti alla rete elettrica da parte di Sandworm, questo non è stato notevole per l’uso di un’arma cibernetica avanzata. Piuttosto, il gruppo ha sfruttato binari LotL per minare le difese cibernetiche critiche sempre più sofisticate dell’Ucraina.
Metodologia e conseguenze dell’intrusione
Sebbene il metodo esatto di intrusione rimanga sconosciuto, i ricercatori hanno datato la prima violazione di Sandworm della sottostazione ucraina a giugno 2022. Poco dopo, il gruppo è riuscito a violare la divisione tra le reti IT e quelle di tecnologia operativa (OT), accedendo a un ipervisore che ospita un’istanza di gestione SCADA (dove gli operatori gestiscono macchinari e processi).
Dopo fino a tre mesi di accesso SCADA, Sandworm ha scelto il momento per agire. Coincidendo (casualmente o meno) con un’ondata di guerra cinetica lo stesso giorno, ha utilizzato un file immagine di un disco ottico (ISO) per eseguire un binario nativo del sistema di controllo MicroSCADA. I comandi precisi sono sconosciuti, ma è probabile che il gruppo abbia usato un server MicroSCADA infetto per inviare comandi alle unità terminali remote (RTU) della sottostazione, istruendole ad aprire gli interruttori e interrompere così l’alimentazione elettrica.
Implicazioni per la sicurezza cibernetica
Gli attacchi di Sandworm, come BlackEnergy e NotPetya, sono stati eventi seminali nella storia della sicurezza informatica, ucraina e militare, influenzando il modo in cui le potenze mondiali considerano la guerra combinata cinetico-cibernetica e come i difensori della sicurezza informatica proteggono i sistemi industriali.
Come risultato di questa consapevolezza aumentata, gli attacchi simili dello stesso gruppo negli anni successivi non hanno raggiunto lo stesso livello di impatto dei primi attacchi. Questo dimostra non solo che gli attacchi della Russia potrebbero essere diventati meno aggressivi, ma anche che le difese dell’Ucraina sono diventate più robuste.