Η τρομερή ομάδα χάκερ Sandworm έπαιξε κεντρικό ρόλο στην υποστήριξη των ρωσικών στρατιωτικών στόχων στην Ουκρανία τα τελευταία δύο χρόνια, παρόλο που έχει εντείνει τις επιχειρήσεις κυβερνοαπειλής σε άλλες περιοχές στρατηγικού πολιτικού, οικονομικού και στρατιωτικού ενδιαφέροντος για τη Ρωσία.

Αυτό είναι το αποτέλεσμα της ανάλυσης των δραστηριοτήτων του δράστη απειλών που ανέλαβε η ομάδα ασφαλείας Mandiant του Google Cloud. Διαπίστωσαν ότι το Sandworm - ή APT44, όπως το παρακολουθεί η Mandiant - είναι υπεύθυνο για όλες σχεδόν τις ανατρεπτικές και καταστροφικές επιθέσεις στον κυβερνοχώρο στην Ουκρανία από την εισβολή της Ρωσίας τον Φεβρουάριο του 2022.

Στη διαδικασία, ο παράγοντας της απειλής καθιερώθηκε ως η κύρια μονάδα κυβερνοεπιθέσεων εντός της Κύριας Διεύθυνσης Πληροφοριών της Ρωσίας (GRU) και μεταξύ όλων των κυβερνοομάδων που υποστηρίζονται από το ρωσικό κράτος, εκτίμησε ο Mandiant. Καμία άλλη ομάδα στον κυβερνοχώρο δεν εμφανίζεται τόσο πλήρως ενσωματωμένη με τους στρατιωτικούς φορείς της Ρωσίας όσο η Sandworm είναι επί του παρόντος, σημείωσε ο προμηθευτής ασφαλείας σε μια αναφορά αυτή την εβδομάδα που προσφέρει μια λεπτομερή ματιά στα εργαλεία, τις τεχνικές και τις πρακτικές του ομίλου.

«Οι επιχειρήσεις του APT44 έχουν παγκόσμια εμβέλεια και αντικατοπτρίζουν τα ευρύτατα εθνικά συμφέροντα και φιλοδοξίες της Ρωσίας», προειδοποίησε ο Mandiant. «Ακόμη και με έναν συνεχιζόμενο πόλεμο, έχουμε παρατηρήσει ότι η ομάδα διατηρεί επιχειρήσεις πρόσβασης και κατασκοπείας στη Βόρεια Αμερική, την Ευρώπη, τη Μέση Ανατολή, την Κεντρική Ασία και τη Λατινική Αμερική».

Μια εκδήλωση της διευρυνόμενης παγκόσμιας εντολής του Sandworm ήταν μια σειρά επιθέσεων σε τρεις εγκαταστάσεις ύδρευσης και υδροηλεκτρικής ενέργειας στις ΗΠΑ και τη Γαλλία νωρίτερα αυτό το έτος από μια ομάδα hacking που ονομάζεται CyberArmyofRussia_Reborn, η οποία πιστεύει ότι ελέγχεται από την Sandworm.

Οι επιθέσεις - που φαίνεται να ήταν περισσότερο μια επίδειξη δυνατοτήτων παρά οτιδήποτε άλλο - προκάλεσαν δυσλειτουργία του συστήματος σε μια από τις εγκαταστάσεις ύδρευσης των ΗΠΑ που δέχθηκαν επίθεση. Τον Οκτώβριο του 2022, μια ομάδα που πιστεύει ότι η Mandiant ήταν η APT44 ανέπτυξε ransomware εναντίον παρόχων logistics στην Πολωνία σε μια σπάνια περίπτωση ανάπτυξης μιας ανατρεπτικής ικανότητας εναντίον μιας χώρας του ΝΑΤΟ.

Παγκόσμια Εντολή

Το Sandworm είναι ένας παράγοντας απειλών που δραστηριοποιείται για περισσότερο από μια δεκαετία. Είναι γνωστό για πολλές επιθέσεις υψηλού προφίλ, όπως αυτή του 2022 κατέστρεψε τμήματα του ηλεκτρικού δικτύου της Ουκρανίας λίγο πριν από μια ρωσική πυραυλική επίθεση. ο 2017 ξέσπασμα ransomware NotPetya, και επίθεση στην τελετή έναρξης του Ολυμπιακοί Αγώνες της Πιονγκτσάνγκ στη Νότια Κορέα. Η ομάδα στόχευε παραδοσιακά κυβερνητικούς και οργανισμούς υποδομών ζωτικής σημασίας, συμπεριλαμβανομένων εκείνων στους τομείς της άμυνας, των μεταφορών και της ενέργειας. Η κυβέρνηση των ΗΠΑ και άλλοι έχουν αποδώσει την επιχείρηση σε μια μονάδα κυβερνοχώρου εντός της GRU της Ρωσίας. Το 2020, το Το Υπουργείο Δικαιοσύνης των ΗΠΑ απήγγειλε κατηγορίες σε πολλούς Ρώσους στρατιωτικούς για τον υποτιθέμενο ρόλο τους σε διάφορες εκστρατείες Sandworm.

«Το APT44 έχει εξαιρετικά ευρεία στόχευση», λέει ο Dan Black, κύριος αναλυτής στη Mandiant. «Οι οργανισμοί που αναπτύσσουν λογισμικό ή άλλες τεχνολογίες για συστήματα βιομηχανικού ελέγχου και άλλα κρίσιμα στοιχεία υποδομής θα πρέπει να έχουν το APT44 μπροστά και στο κέντρο στα μοντέλα απειλών τους».

Η Gabby Roncone, ανώτερη αναλύτρια με την ομάδα Advanced Practices της Mandiant, περιλαμβάνει οργανισμούς μέσων ενημέρωσης στους στόχους του APT44/Sandworm, ειδικά κατά τη διάρκεια των εκλογών. «Πολλές βασικές εκλογές υψηλού ενδιαφέροντος για τη Ρωσία πραγματοποιούνται φέτος και η APT44 μπορεί να προσπαθήσει να είναι βασικός παράγοντας» σε αυτές, λέει ο Roncone.

Η ίδια η Mandiant παρακολουθεί το APT44 ως μονάδα εντός της στρατιωτικής υπηρεσίας πληροφοριών της Ρωσίας. «Παρακολουθούμε ένα περίπλοκο εξωτερικό οικοσύστημα που επιτρέπει τις δραστηριότητές τους, συμπεριλαμβανομένων κρατικών ερευνητικών οντοτήτων και ιδιωτικών εταιρειών», προσθέτει ο Roncone.

Εντός της Ουκρανίας, οι επιθέσεις του Sandworm επικεντρώνονται όλο και περισσότερο στη δραστηριότητα κατασκοπείας με σκοπό τη συλλογή πληροφοριών για το πλεονέκτημα των ρωσικών στρατιωτικών δυνάμεων στο πεδίο μάχης, είπε ο Mandiant. Σε πολλές περιπτώσεις, η αγαπημένη τακτική του παράγοντα απειλής για την απόκτηση αρχικής πρόσβασης σε δίκτυα-στόχους ήταν μέσω της εκμετάλλευσης δρομολογητών, VPN και άλλων ακραίων υποδομών. Είναι μια τακτική που ο παράγοντας της απειλής χρησιμοποιεί όλο και περισσότερο από την εισβολή της Ρωσίας στην Ουκρανία. Ενώ η ομάδα έχει συγκεντρώσει μια τεράστια συλλογή από ειδικά προσαρμοσμένα εργαλεία επίθεσης, συχνά βασίστηκε σε νόμιμα εργαλεία και τεχνικές που ζουν εκτός της γης για να αποφύγει τον εντοπισμό.

Ένας άπιαστος εχθρός

«Το APT44 είναι ικανό να πετά κάτω από το ραντάρ ανίχνευσης. Η δημιουργία ανιχνεύσεων για εργαλεία ανοιχτού κώδικα που συνήθως καταχρώνται και μεθόδους που ζουν εκτός της γης είναι κρίσιμης σημασίας», λέει ο Black.

Ο Roncone υποστηρίζει επίσης ότι οι οργανισμοί χαρτογραφούν και διατηρούν τα περιβάλλοντα δικτύου τους και τα δίκτυα τμηματοποίησης όπου είναι δυνατόν λόγω της τάσης του Sandworm να στοχεύει ευάλωτες υποδομές άκρων για αρχική είσοδο και επανείσοδο σε περιβάλλοντα. «Οι οργανισμοί θα πρέπει επιπλέον να είναι επιφυλακτικοί σχετικά με το APT44 να περιστρέφεται μεταξύ κατασκοπείας και αποτρεπτικών στόχων αφού αποκτήσουν πρόσβαση σε δίκτυα», σημειώνει ο Roncone. «Για τους ανθρώπους που εργάζονται στα μέσα ενημέρωσης και ειδικότερα σε οργανισμούς μέσων ενημέρωσης, η εκπαίδευση ψηφιακής ασφάλειας για μεμονωμένους δημοσιογράφους είναι το κλειδί».

Ο Black και ο Roncone αντιλαμβάνονται τη χρήση από το APT44/Sandworm μετώπων hacking όπως το CyberArmyofRussia_Reborn ως μια προσπάθεια να επιστήσει την προσοχή στις καμπάνιες του και για λόγους άρνησης.

«Έχουμε δει το APT44 να χρησιμοποιεί επανειλημμένα το Telegram CyberArmyofRussia_Reborn για να δημοσιεύσει στοιχεία και να επιστήσει την προσοχή στη δολιοφθορά του», λέει ο Black. «Δεν μπορούμε να προσδιορίσουμε οριστικά αν πρόκειται για αποκλειστική σχέση, αλλά κρίνουμε ότι το APT44 έχει τη δυνατότητα να κατευθύνει και να επηρεάσει ό,τι δημοσιεύει η περσόνα στο Telegram».

Ο Black λέει ότι το APT44 θα μπορούσε να χρησιμοποιεί περσόνες όπως το CyberArmyofRussia_Reborn ως τρόπο αποφυγής της άμεσης απόδοσης σε περίπτωση που περάσουν μια γραμμή ή προκαλέσουν μια απάντηση. «Αλλά το δεύτερο [κίνητρο] είναι ότι δημιουργούν μια ψεύτικη αίσθηση λαϊκής υποστήριξης για τον πόλεμο της Ρωσίας – μια λανθασμένη εντύπωση ότι οι μέσοι Ρώσοι αυτοσυγκεντρώνονται για να συμμετάσχουν στον κυβερνοχώρο εναντίον της Ουκρανίας».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot-security/-sandworm-group-is-russia-s-primary-cyber-attack-unit-in-ukraine