美媒：俄罗斯黑客仍然在利用 OT 攻击破坏乌克兰电力

Mandiant 所谓的关注，很大程度上是迎合美国政治正确的，所以俄罗斯、伊朗等国家一定会被拿出来说事的，我们且看他们此次报道。

这些攻击持续了几个月，最终在去年 10 月 10 日和 12 日发生了两起破坏性事件，攻击利用了 Mandiant 所描述的影响工业控制系统 (ICS) 和 OT 的“新技术”。

Mandiant 表示，它发现 Sandworm 在报废的 MicroSCADA 控制系统中执行代码，并发出影响受害者连接的变电站的命令。  

MicroSCADA 是 Hitachi Energy 的产品，部署在 10,000 多个变电站中，管理和监控电网、流程工业、医院、海港和数据中心等关键基础设施的电力。

Mandiant 在一份技术论文中表示：“攻击者首先使用了 OT 级陆上生活 (LotL) 技术，可能会触发受害者的变电站断路器，导致意外停电，同时乌克兰各地的关键基础设施遭到大规模导弹袭击。”有关攻击的详细信息。

OT 攻击发生后仅两天，俄罗斯黑客就发起了第二次破坏性事件，他们在受害者的 IT 环境中 部署了CADDYWIPER的新变种，造成了额外的损害，并有可能“删除取证文物”。

该公司警告称：“这次攻击代表了俄罗斯网络物理攻击能力的最新发展。”并指出“俄罗斯进攻性 OT 武器库日益成熟，包括查明新型 OT 威胁向量、开发新功能以及利用不同类型 OT 的能力”执行攻击的基础设施。 

Mandiant 表示，Sandworm 黑客团队曾多次被发现为支持俄罗斯主要情报局 (GRU) 进行间谍活动、影响力和恶意软件攻击活动，该团队似乎在短短两个月内就开发出了该攻击的 OT 组件。

该公司表示：“这表明威胁行为者可能能够针对来自世界各地不同原始设备制造商 (OEM) 的其他 OT 系统快速开发类似的功能。”

目前尚不清楚黑客是如何获得对该组织系统的初步访问权限的。它们于 2022 年 6 月首次出现在目标环境中，当时它们在暴露于互联网的系统上部署了 webshell。

对于攻击的 OT 方面，Sandworm 在虚拟机管理程序中部署了 ISO 映像文件作为虚拟 CD-ROM，该虚拟机管理程序托管目标变电站环境的 MicroSCADA 监控和数据采集 (SCADA) 实例。该 ISO 包含执行“scilc.exe”的文件，这是一个合法的 MicroSCADA 实用程序，使攻击者能够运行任意命令。

虽然 Mandiant 无法准确确定攻击者执行了哪些命令，但他们很可能试图打开断路器。MicroSCADA 服务器将通过用于串行连接的 IEC-60870-5-101 协议或用于 TCP/IP 连接的 IEC-60870-5-104 协议将命令中继到变电站远程终端单元 (RTU)。

Mandiant 认为威胁行为者可以访问 SCADA 系统长达三个月。 

Mandiant 团队表示，这次攻击的复杂性表明，俄罗斯黑客正在迅速采取行动，通过简化的部署功能来简化 OT 攻击能力，并警告说，Sandworm 使用 Living off the Land 二进制文件 (LotLBin)来破坏 OT 环境“显示了技术”。

该研究机构的一名成员在接受 SecurityWeek 采访时警告说，OT 中所谓的“靠土地生存”是一种新型攻击，应该让关键基础设施的防御者感到 担忧。

“鉴于 Sandworm 的全球威胁活动和新颖的 OT 功能，我们敦促 OT 资产所有者采取行动减轻这一威胁，”Mandiant 说。在其报告中，该安全公司分享了一系列检测、搜寻和强化指南以及 MITRE ATT&CK 映射。

俄罗斯在此前针对乌克兰能源部门的攻击中 曾使用过Industroyer和Industroyer2等 OT 恶意软件。

Mandiant的研究人员预计将在周四于华盛顿特区举行的 CYBERWARCON活动上分享有关10月份破坏性攻击的更多细节。