Generativ dataintelligens

Cybersäkerhet

Sandworm är Rysslands främsta cyberattackenhet i Ukraina

Republiserad av Platon
Republiserad av Platon

Datum:

Visningar: 0

Den formidabla Sandworm-hackergruppen har spelat en central roll för att stödja ryska militära mål i Ukraina under de senaste två åren, även om den har intensifierat cyberthotsoperationer i andra regioner av strategiskt politiskt, ekonomiskt och militärt intresse för Ryssland.

Det är resultatet av analysen av hotaktörens aktiviteter som utförts av Google Clouds säkerhetsgrupp Mandiant. De fann att Sandworm – eller APT44, som Mandiant har spårat det – var ansvarig för nästan alla störande och destruktiva cyberattacker i Ukraina sedan Rysslands invasion i februari 2022.

I processen etablerade hotaktören sig som den primära cyberattackenheten inom Rysslands huvudunderrättelsedirektorat (GRU) och bland alla ryska statsstödda cybergrupper, bedömde Mandiant. Ingen annan cyberoutfit verkar vara så fullständigt integrerad med Rysslands militära operatörer som Sandworm är för närvarande, noterade säkerhetsleverantören i en rapport denna vecka som ger en detaljerad titt på gruppens verktyg, tekniker och praxis.

"APT44-verksamheten är global till sin omfattning och speglar Rysslands breda nationella intressen och ambitioner", varnade Mandiant. "Även med ett pågående krig har vi observerat gruppen upprätthålla tillgång och spionage i Nordamerika, Europa, Mellanöstern, Centralasien och Latinamerika."

En manifestation av Sandworms bredda globala mandat var en serie attacker mot tre vatten- och vattenkraftanläggningar i USA och Frankrike tidigare i år av en hackarutrustning kallad CyberArmyofRussia_Reborn, som Mandiant tror kontrolleras av Sandworm.

Attackerna - som verkar ha varit mer en demonstration av kapacitet än något annat - orsakade ett systemfel vid en av de attackerade amerikanska vattenanläggningarna. I oktober 2022 distribuerade en grupp som Mandiant tror var APT44 ransomware mot logistikleverantörer i Polen i ett sällsynt fall av utplacering av en störande förmåga mot ett Nato-land.

Globalt mandat

Sandworm är en hotaktör som har varit aktiv i mer än ett decennium. Det är välkänt för många högprofilerade attacker som den 2022 tog ner delar av Ukrainas elnät strax före ett ryskt missilangrepp; de 2017 NotPetya ransomware-utbrott, och en attack vid öppningsceremonin av Olympiska spelen i Pyeongchang i Sydkorea. Gruppen har traditionellt riktat in sig på statliga och kritiska infrastrukturorganisationer, inklusive de inom försvars-, transport- och energisektorerna. Den amerikanska regeringen och andra har tillskrivit operationen till en cyberenhet inom Rysslands GRU. År 2020, Det amerikanska justitiedepartementet åtalade flera ryska militärer för deras påstådda roll i olika Sandworm-kampanjer.

"APT44 har ett extremt brett målområde", säger Dan Black, huvudanalytiker på Mandiant. "Organisationer som utvecklar mjukvara eller annan teknik för industriella kontrollsystem och andra kritiska infrastrukturkomponenter bör ha APT44 i centrum i sina hotmodeller."

Gabby Roncone, senioranalytiker med Mandiants Advanced Practices-team, inkluderar medieorganisationer bland APT44/Sandworms mål, särskilt under val. "Många nyckelval av stort intresse för Ryssland äger rum i år, och APT44 kan försöka vara en nyckelspelare" i dem, säger Roncone.

Mandiant har själv spårat APT44 som en enhet inom Rysslands militära underrättelsetjänst. "Vi spårar ett komplext externt ekosystem som möjliggör deras verksamhet, inklusive statligt ägda forskningsenheter och privata företag," tillägger Roncone.

Inom Ukraina har Sandworms attacker i allt högre grad fokuserat på spionageverksamhet i syfte att samla in information för de ryska militärstyrkornas fördelar på slagfältet, sa Mandiant. I många fall har hotaktörens favorittaktik för att få initial tillgång till målnätverk varit genom utnyttjande av routrar, VPN och andra kantinfrastruktur. Det är en taktik som hotaktören har använt alltmer sedan Rysslands Ukraina invasion. Även om gruppen har samlat på sig en stor samling av skräddarsydda attackverktyg, har den ofta förlitat sig på legitima verktyg och tekniker som lever utanför landet för att undvika upptäckt.

En svårfångad fiende

"APT44 är skicklig på att flyga under detektionsradarn. Att bygga upptäckter för ofta missbrukade verktyg med öppen källkod och metoder för att leva utanför landet är avgörande, säger Black.

Roncone förespråkar också att organisationer kartlägger och underhåller sina nätverksmiljöer och segmenterar nätverk där det är möjligt på grund av Sandworms förkärlek för att rikta in sig på sårbar kantinfrastruktur för initialt inträde och återinträde i miljöer. "Organisationer bör dessutom vara försiktiga med att APT44 svänger mellan spionage och störande mål efter att ha fått tillgång till nätverk," noterar Roncone. "För personer som arbetar i media och medieorganisationer i synnerhet är digital säkerhetsutbildning för enskilda journalister nyckeln."

Black and Roncone uppfattar APT44/Sandworms användning av hackfronter som CyberArmyofRussia_Reborn som ett försök att uppmärksamma sina kampanjer och i förnekelsesyfte.

"Vi har sett APT44 upprepade gånger använda CyberArmyofRussia_Reborn Telegram för att lägga upp bevis från och uppmärksamma dess sabotageaktivitet", säger Black. "Vi kan inte slutgiltigt avgöra om det här är ett exklusivt förhållande men bedömer att APT44 har förmågan att styra och påverka vad personen postar på Telegram."

Black säger att APT44 kan använda personas som CyberArmyofRussia_Reborn som ett sätt att undvika direkt tillskrivning i fall de går över en gräns eller provocerar fram ett svar. "Men det andra [motivet] är att de skapar en falsk känsla av folkligt stöd för Rysslands krig - ett falskt intryck av att genomsnittliga ryssar samlar sig själva för att gå med i cyberkampen mot Ukraina."

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.

Chatta med oss

Hallå där! Hur kan jag hjälpa dig?