Potężna grupa hakerów Sandworm odegrała kluczową rolę we wspieraniu rosyjskich celów wojskowych na Ukrainie w ciągu ostatnich dwóch lat, mimo że zintensyfikowała operacje związane z cyberzagrożeniami w innych regionach o strategicznym znaczeniu politycznym, gospodarczym i wojskowym dla Rosji.
Taki jest wynik analizy działań cyberprzestępcy przeprowadzonej przez grupę bezpieczeństwa Mandiant w Google Cloud. Ustalili, że Sandworm – czyli APT44, jak go śledzi Mandiant – jest odpowiedzialny za prawie wszystkie destrukcyjne i niszczycielskie cyberataki na Ukrainie od czasu inwazji Rosji w lutym 2022 roku.
W trakcie tego procesu podmiot zagrażający stał się główną jednostką cyberataku w ramach Głównego Zarządu Wywiadu Rosji (GRU) oraz wśród wszystkich cybergrup wspieranych przez rosyjskie państwo, ocenił Mandiant. Żadna inna firma cybernetyczna nie wydaje się tak całkowicie zintegrowana z rosyjskimi operatorami wojskowymi jak obecnie Sandworm, jak zauważył dostawca zabezpieczeń w opublikowanym w tym tygodniu raporcie, który szczegółowo opisuje narzędzia, techniki i praktyki tej grupy.
„Działalność APT44 ma zasięg globalny i odzwierciedla szerokie interesy i ambicje narodowe Rosji” – ostrzegł Mandiant. „Nawet podczas trwającej wojny zaobserwowaliśmy, że grupa utrzymuje dostęp i prowadzi operacje szpiegowskie w Ameryce Północnej, Europie, na Bliskim Wschodzie, w Azji Środkowej i Ameryce Łacińskiej”.
Jednym z przejawów poszerzania się globalnego mandatu Sandworma była seria ataków na trzy obiekty wodociągowe i hydroelektryczne w USA i Francji na początku tego roku przeprowadzona przez grupę hakerską o nazwie CyberArmyofRussia_Reborn, która według Mandianta jest kontrolowana przez Sandworm.
Ataki – które wydają się być raczej demonstracją możliwości niż czymkolwiek innym – spowodowały awarię systemu w jednym z zaatakowanych obiektów wodociągowych w USA. W październiku 2022 r. grupa uważana przez Mandianta za APT44 wdrożyła oprogramowanie ransomware przeciwko dostawcom usług logistycznych w Polsce w rzadkim przypadku użycia niszczycielskiego potencjału przeciwko krajowi NATO.
Globalny mandat
Sandworm to ugrupowanie zagrażające, które jest aktywne od ponad dziesięciu lat. Jest dobrze znany z licznych głośnych ataków, takich jak ten z 2022 r zdjął odcinki ukraińskiej sieci energetycznej tuż przed rosyjskim atakiem rakietowym; the Epidemia oprogramowania ransomware NotPetya w 2017 ri atak podczas ceremonii otwarcia Igrzyska Olimpijskie w Pjongczangu w Korei Południowej. Grupa tradycyjnie atakowała organizacje rządowe i organizacje zajmujące się infrastrukturą krytyczną, w tym organizacje z sektorów obronności, transportu i energetyki. Rząd USA i inne podmioty przypisują tę operację jednostce cybernetycznej w ramach rosyjskiego GRU. W roku 2020 Departament Sprawiedliwości USA postawił w stan oskarżenia kilku rosyjskich oficerów wojskowych za ich rzekomą rolę w różnych kampaniach Sandworm.
„APT44 ma niezwykle szerokie możliwości targetowania” – mówi Dan Black, główny analityk w Mandiant. „Organizacje, które opracowują oprogramowanie lub inne technologie dla przemysłowych systemów sterowania i innych elementów infrastruktury krytycznej, powinny mieć APT44 na pierwszym planie w swoich modelach zagrożeń”.
Gabby Roncone, starsza analityk w zespole Advanced Practices firmy Mandiant, zalicza organizacje medialne do celów APT44/Sandworm, zwłaszcza podczas wyborów. „W tym roku odbędzie się wiele kluczowych wyborów cieszących się dużym zainteresowaniem Rosji, a APT44 może próbować odegrać w nich kluczową rolę”, mówi Roncone.
Sam Mandiant śledził APT44 jako jednostkę rosyjskiego wywiadu wojskowego. „Śledzimy złożony ekosystem zewnętrzny, który umożliwia ich działanie, w tym państwowe jednostki badawcze i firmy prywatne” – dodaje Roncone.
Mandiant powiedział, że na Ukrainie ataki Sandworma w coraz większym stopniu koncentrują się na działalności szpiegowskiej, której celem jest gromadzenie informacji zapewniających rosyjskim siłom zbrojnym przewagę na polu bitwy. W wielu przypadkach ulubioną taktyką ugrupowania zagrażającego w celu uzyskania początkowego dostępu do sieci docelowych jest wykorzystanie routerów, sieci VPN i innych infrastrukturę brzegową. Jest to taktyka, którą ugrupowanie zagrażające stosuje coraz częściej od czasu inwazji Rosji na Ukrainę. Chociaż grupa zgromadziła ogromną kolekcję dostosowanych do indywidualnych potrzeb narzędzi do ataków, często polegała na legalnych narzędziach i technikach życia poza ziemią, aby uniknąć wykrycia.
Nieuchwytny wróg
„APT44 jest biegły w lataniu pod radarem wykrywającym. Tworzenie metod wykrywania powszechnie nadużywanych narzędzi open source i metod życia poza ziemią ma kluczowe znaczenie” – mówi Black.
Roncone zaleca także, aby organizacje mapowały i utrzymywały swoje środowiska sieciowe oraz, tam gdzie to możliwe, segmentowały sieci, ze względu na skłonność Sandworma do atakowania wrażliwej infrastruktury brzegowej w celu pierwszego wejścia i ponownego wejścia do środowisk. „Organizacje powinny dodatkowo uważać na to, że po uzyskaniu dostępu do sieci APT44 może przełączać się między celami szpiegowskimi a celami destrukcyjnymi” – zauważa Roncone. „W szczególności dla osób pracujących w mediach i organizacjach medialnych kluczowe znaczenie ma szkolenie w zakresie bezpieczeństwa cyfrowego dla poszczególnych dziennikarzy”.
Black i Roncone postrzegają wykorzystywanie przez APT44/Sandworm frontów hakerskich, takich jak CyberArmyofRussia_Reborn, jako próbę zwrócenia uwagi na swoje kampanie i w celu zaprzeczenia.
„Zaobserwowaliśmy, jak APT44 wielokrotnie korzystał z telegramu CyberArmyofRussia_Reborn w celu publikowania dowodów swojej działalności sabotażowej i zwracania na nią uwagi” – mówi Black. „Nie możemy jednoznacznie ustalić, czy jest to relacja na wyłączność, ale oceniamy, że APT44 ma możliwość kierowania i wpływania na to, co dana osoba publikuje w Telegramie”.
Black twierdzi, że APT44 może wykorzystywać osoby takie jak CyberArmyofRussia_Reborn, aby uniknąć bezpośredniego przypisania w przypadku przekroczenia granicy lub sprowokowania odpowiedzi. „Ale drugim [motywem] jest to, że tworzą fałszywe poczucie powszechnego poparcia dla rosyjskiej wojny – fałszywe wrażenie, że przeciętni Rosjanie zbierają się, by przyłączyć się do cyberwalki przeciwko Ukrainie”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/ics-ot-security/-sandworm-group-is-russia-s-primary-cyber-attack-unit-in-ukraine
