Hirmuäratav häkkerirühmitus Sandworm on mänginud keskset rolli Venemaa sõjaliste eesmärkide toetamisel Ukrainas viimase kahe aasta jooksul, isegi kui see on hoogustanud küberohuoperatsioone teistes Venemaa jaoks strateegilist, poliitilist, majanduslikku ja sõjalist huvi pakkuvates piirkondades.
See on Google Cloudi Mandiandi turvarühma poolt läbi viidud ohuteguri tegevuse analüüsi tulemus. Nad leidsid, et Sandworm või APT44, nagu Mandiant on seda jälginud, on vastutav peaaegu kõigi Ukrainas toimuvate häirivate ja hävitavate küberrünnakute eest pärast Venemaa sissetungi 2022. aasta veebruaris.
Mandiant hindas selle protsessi käigus end Venemaa luure peadirektoraadi (GRU) ja kõigi Venemaa riigi toetatud küberrühmade seas peamise küberrünnakuüksusena. Ükski teine kübervarustus pole Venemaa sõjaliste operaatoritega nii täielikult integreeritud kui Sandworm praegu, märkis turvamüüja sel nädalal avaldatud aruandes, mis pakub üksikasjalikku ülevaadet grupi tööriistadest, tehnikatest ja tavadest.
"APT44 operatsioonid on ülemaailmse ulatusega ja peegeldavad Venemaa laiaulatuslikke rahvuslikke huve ja ambitsioone," hoiatas Mandiant. "Isegi käimasoleva sõja korral oleme täheldanud, et rühmitus jätkab juurdepääsu ja spionaažioperatsioone Põhja-Ameerikas, Euroopas, Lähis-Idas, Kesk-Aasias ja Ladina-Ameerikas."
Üks Sandwormi laieneva globaalse mandaadi ilming oli mitmed rünnakud kolmele vee- ja hüdroelektrijaamale USA-s ja Prantsusmaal selle aasta alguses, mille korraldas häkkimisvarustus CyberArmyofRussia_Reborn, mida Mandiant usub, et Sandworm kontrollib.
Rünnakud – mis näivad olevat pigem võimete demonstreerimine kui miski muu – põhjustasid süsteemi rikke ühes rünnatud USA veerajatistes. 2022. aasta oktoobris kasutas rühm, mille Mandiant arvab, et APT44 oli, Poolas logistikateenuse pakkujate vastu lunavara. Haruldasel juhul kasutas NATO riigi vastu häirivat võimet.
Ülemaailmne mandaat
Liivauss on ohutegija, kes on tegutsenud üle kümne aasta. See on tuntud paljude kõrgetasemeliste rünnakute poolest, näiteks 2022. aastal võttis maha osa Ukraina elektrivõrgust vahetult enne Venemaa raketirünnakut; a 2017. aasta NotPetya lunavarapuhang, ja rünnak avatseremoonial Pyeongchangi olümpiamängud Lõuna-Koreas. Rühm on traditsiooniliselt võtnud sihikule valitsuse ja kriitilise infrastruktuuri organisatsioonid, sealhulgas kaitse-, transpordi- ja energiasektori organisatsioonid. USA valitsus ja teised on seostanud operatsiooni Venemaa GRU küberüksusega. Aastal 2020, USA justiitsministeerium esitas süüdistuse mitmele Vene sõjaväelasele nende väidetava rolli eest erinevates Sandwommi kampaaniates.
"APT44-l on äärmiselt lai sihtimine," ütleb Mandianti peaanalüütik Dan Black. "Organisatsioonid, mis arendavad tarkvara või muid tehnoloogiaid tööstuslike juhtimissüsteemide ja muude kriitiliste infrastruktuuri komponentide jaoks, peaksid oma ohumudelites olema APT44 ees."
Gabby Roncone, Mandianti Advanced Practices meeskonna vanemanalüütik, hõlmab meediaorganisatsioone APT44/Sandwormi sihtmärkide hulka, eriti valimiste ajal. "Sel aastal toimuvad paljud Venemaale suurt huvi pakkuvad olulised valimised ja APT44 võib püüda olla neis võtmemängija," ütleb Roncone.
Mandiant ise on jälginud APT44 kui Venemaa sõjaväeluure üksust. "Jälgime keerulist välist ökosüsteemi, mis võimaldab nende tegevust, sealhulgas riigi omanduses olevaid teadusüksuseid ja eraettevõtteid," lisab Roncone.
Mandiant ütles, et Ukrainas on Sandwormi rünnakud keskendunud üha enam spionaažitegevusele, eesmärgiga koguda teavet Vene sõjajõudude lahinguväljal eelise saamiseks. Paljudel juhtudel on ohutegija lemmiktaktika sihtvõrkudele esialgse juurdepääsu saamiseks olnud ruuterite, VPN-ide ja muude serva infrastruktuur. See on taktika, mida ähvardaja on pärast Venemaa sissetungi Ukrainasse üha enam kasutanud. Kuigi rühmitus on kogunud tohutul hulgal kohandatud ründetööriistu, on see sageli avastamisest kõrvalehoidmiseks tuginenud legitiimsetele tööriistadele ja maalähedasele tehnikale.
Tabamatu vaenlane
"APT44 oskab tuvastusradari all lennata. Sageli kuritarvitatud avatud lähtekoodiga tööriistade ja väljaspool maad elamise meetodite tuvastamise loomine on kriitiline, ”ütleb Black.
Roncone pooldab ka seda, et organisatsioonid kaardistaksid ja hooldaksid oma võrgukeskkondi ning segmenteeriksid võrgustikke võimaluse korral, kuna Sandworm soovib sihida haavatavat servataristut esmaseks keskkonda sisenemiseks ja uuesti sisenemiseks. "Organisatsioonid peaksid lisaks olema ettevaatlikud, et APT44 liiguks pärast võrkudele juurdepääsu saamist spionaaži ja häirivate eesmärkide vahel," märgib Roncone. "Eelkõige meedias ja meediaorganisatsioonides töötavate inimeste jaoks on oluline digitaalse ohutusalane koolitus üksikutele ajakirjanikele."
Black ja Roncone tajuvad, et APT44/Sandworm kasutab häkkimisrindeid, nagu CyberArmyofRussia_Reborn, kui katset juhtida tähelepanu oma kampaaniatele ja keelamise eesmärgil.
"Oleme näinud, et APT44 kasutab korduvalt CyberArmyofRussia_Reborn Telegrami, et postitada tõendeid ja juhtida tähelepanu oma sabotaažitegevusele," ütleb Black. "Me ei saa lõplikult kindlaks teha, kas see on eksklusiivne suhe, kuid otsustame, et APT44-l on võime suunata ja mõjutada seda, mida isik Telegrami postitab."
Black ütleb, et APT44 võib kasutada selliseid isikuid nagu CyberArmyofRussia_Reborn, et vältida otsest omistamist juhul, kui nad ületavad piiri või kutsuvad esile vastuse. "Kuid teine [motiiv] on see, et nad loovad võltsitud tunde, et rahvas toetab Venemaa sõda – ekslik mulje, et keskmised venelased võtavad end kokku, et ühineda kübervõitlusega Ukraina vastu."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/ics-ot-security/-sandworm-group-is-russia-s-primary-cyber-attack-unit-in-ukraine
