Redutabilul grup de hackeri Sandworm a jucat un rol central în sprijinirea obiectivelor militare rusești în Ucraina în ultimii doi ani, chiar dacă a intensificat operațiunile de amenințări cibernetice în alte regiuni de interes politic, economic și militar strategic pentru Rusia.
Acesta este rezultatul analizei activităților actorului amenințărilor întreprinse de grupul de securitate Mandiant de la Google Cloud. Ei au descoperit că Sandworm - sau APT44, așa cum l-a urmărit Mandiant - este responsabil pentru aproape toate atacurile cibernetice perturbatoare și distructive din Ucraina de la invazia Rusiei din februarie 2022.
În acest proces, actorul amenințării s-a impus ca unitate principală de atac cibernetic în cadrul Direcției principale de informații a Rusiei (GRU) și printre toate grupurile cibernetice susținute de stat rus, a evaluat Mandiant. Nicio altă ținută cibernetică nu pare la fel de integrată cu operatorii militari ai Rusiei precum Sandworm este în prezent, a remarcat furnizorul de securitate într-un raport din această săptămână care oferă o privire detaliată asupra instrumentelor, tehnicilor și practicilor grupului.
„Operațiunile APT44 au o amploare globală și reflectă interesele și ambițiile naționale largi ale Rusiei”, a avertizat Mandiant. „Chiar și cu un război în desfășurare, am observat că grupul susține accesul și operațiunile de spionaj în America de Nord, Europa, Orientul Mijlociu, Asia Centrală și America Latină”.
O manifestare a extinderii mandatului global al Sandworm a fost o serie de atacuri asupra a trei instalații de apă și hidroelectrice din SUA și Franța, la începutul acestui an, de către o ținută de hacking numită CyberArmyofRussia_Reborn, despre care Mandiant crede că este controlată de Sandworm.
Atacurile – care par să fi fost mai mult o demonstrație a capacităților decât orice altceva – au cauzat o defecțiune a sistemului la una dintre instalațiile de apă din SUA atacate. În octombrie 2022, un grup despre care Mandiant crede că a fost APT44 a desfășurat un ransomware împotriva furnizorilor de logistică din Polonia într-un caz rar de desfășurare a unei capacități perturbatoare împotriva unei țări NATO.
Mandat global
Sandworm este un actor de amenințare care a fost activ de mai bine de un deceniu. Este bine cunoscut pentru numeroasele atacuri de profil, cum ar fi cel din 2022 a distrus secțiuni din rețeaua electrică a Ucrainei chiar înainte de o lovitură cu rachete rusești; cel Epidemia de ransomware NotPetya din 2017, și un atac la ceremonia de deschidere a lui Jocurile Olimpice de la Pyeongchang în Coreea de Sud. În mod tradițional, grupul a vizat organizațiile guvernamentale și de infrastructură critică, inclusiv pe cele din sectoarele de apărare, transport și energie. Guvernul SUA și alții au atribuit operațiunea unei unități cibernetice din cadrul GRU al Rusiei. În 2020, Departamentul de Justiție al SUA a inculpat mai mulți ofițeri militari ruși pentru presupusul lor rol în diferite campanii Sandworm.
„APT44 are o misiune de direcționare extrem de largă”, spune Dan Black, analist principal la Mandiant. „Organizațiile care dezvoltă software sau alte tehnologii pentru sistemele de control industrial și alte componente ale infrastructurii critice ar trebui să aibă APT44 în primul rând în modelele lor de amenințări.”
Gabby Roncone, un analist senior al echipei de Practici Avansate a lui Mandiant, include organizațiile media printre țintele APT44/Sandworm, în special în timpul alegerilor. „Multe alegeri cheie de mare interes pentru Rusia au loc în acest an, iar APT44 ar putea încerca să fie un jucător cheie”, spune Roncone.
Mandiant însuși a urmărit APT44 ca unitate în cadrul serviciilor de informații militare ale Rusiei. „Urmărim un ecosistem extern complex care le permite operațiunile, inclusiv entități de cercetare deținute de stat și companii private”, adaugă Roncone.
În cadrul Ucrainei, atacurile lui Sandworm s-au concentrat din ce în ce mai mult pe activitatea de spionaj în vederea strângerii de informații pentru avantajul câmpului de luptă al forțelor militare ruse, a spus Mandiant. În multe cazuri, tactica preferată a actorului amenințării pentru obținerea accesului inițial la rețelele țintă a fost prin exploatarea routerelor, VPN-urilor și a altor infrastructura de margine. Este o tactică pe care actorul amenințării o folosește din ce în ce mai mult de la invazia Rusiei în Ucraina. În timp ce grupul a acumulat o colecție vastă de instrumente de atac personalizate, s-a bazat adesea pe instrumente legitime și tehnici de viață din teren pentru a evita detectarea.
Un inamic evaziv
„APT44 este priceput la zborul sub radarul de detectare. Crearea de detectări pentru instrumentele open source abuzate în mod obișnuit și metodele de viață din teren este esențială”, spune Black.
Roncone susține, de asemenea, că organizațiile își cartografiază și își mențin mediile de rețea și segmentează rețelele acolo unde este posibil, din cauza înclinației Sandworm de a viza infrastructura de margine vulnerabilă pentru intrarea inițială și reintrarea în medii. „În plus, organizațiile ar trebui să fie precaute cu privire la APT44 să se orienteze între spionaj și obiective perturbatoare după ce au acces la rețele”, notează Roncone. „Pentru cei care lucrează în mass-media și în organizațiile media, în special, instruirea în domeniul siguranței digitale pentru jurnaliști individuali este esențială.”
Black și Roncone percep utilizarea de către APT44/Sandworm a fronturilor de hacking precum CyberArmyofRussia_Reborn ca o încercare de a atrage atenția asupra campaniilor sale și în scopuri de negare.
„Am văzut APT44 folosind în mod repetat CyberArmyofRussia_Reborn Telegram pentru a posta dovezi și pentru a atrage atenția asupra activității sale de sabotaj”, spune Black. „Nu putem determina în mod concludent dacă aceasta este o relație exclusivă, dar considerăm că APT44 are capacitatea de a direcționa și influența ceea ce personajul postează pe Telegram.”
Black spune că APT44 ar putea folosi persoane precum CyberArmyofRussia_Reborn ca o modalitate de a evita atribuirea directă în cazul în care trec o linie sau provoacă un răspuns. „Dar al doilea [motiv] este că ei creează un fals sentiment de sprijin popular pentru războiul Rusiei – o impresie falsă că rușii obișnuiți se adună singuri pentru a se alătura luptei cibernetice împotriva Ucrainei.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/ics-ot-security/-sandworm-group-is-russia-s-primary-cyber-attack-unit-in-ukraine
