El formidable grupo de hackers Sandworm ha desempeñado un papel central en el apoyo a los objetivos militares rusos en Ucrania durante los últimos dos años, incluso cuando ha intensificado las operaciones de ciberamenazas en otras regiones de interés político, económico y militar estratégico para Rusia.

Ese es el resultado del análisis de las actividades del actor de amenazas realizado por el grupo de seguridad Mandiant de Google Cloud. Descubrieron que Sandworm (o APT44, como lo ha estado rastreando Mandiant) es responsable de casi todos los ciberataques disruptivos y destructivos en Ucrania desde la invasión de Rusia en febrero de 2022.

En el proceso, el actor de amenazas se estableció como la principal unidad de ciberataques dentro de la Dirección Principal de Inteligencia de Rusia (GRU) y entre todos los cibergrupos respaldados por el Estado ruso, evaluó Mandiant. Ningún otro equipo cibernético parece tan totalmente integrado con los operadores militares de Rusia como lo está Sandworm actualmente, señaló el proveedor de seguridad en un informe de esta semana que ofrece una visión detallada de las herramientas, técnicas y prácticas del grupo.

"Las operaciones del APT44 tienen un alcance global y reflejan los amplios intereses y ambiciones nacionales de Rusia", advirtió Mandiant. "Incluso con una guerra en curso, hemos observado que el grupo mantiene operaciones de acceso y espionaje en América del Norte, Europa, Medio Oriente, Asia Central y América Latina".

Una manifestación del mandato global cada vez más amplio de Sandworm fue una serie de ataques a tres instalaciones hidroeléctricas y de agua en Estados Unidos y Francia a principios de este año por parte de un grupo de hackers llamado CyberArmyofRussia_Reborn, que Mandiant cree que está controlado por Sandworm.

Los ataques, que parecen haber sido más una demostración de capacidades que cualquier otra cosa, provocaron un mal funcionamiento del sistema en una de las instalaciones de agua estadounidenses atacadas. En octubre de 2022, un grupo que Mandiant cree que era APT44 desplegó ransomware contra proveedores de logística en Polonia en un raro caso de despliegue de una capacidad disruptiva contra un país de la OTAN.

Mandato global

Sandworm es un actor de amenazas que ha estado activo durante más de una década. Es bien conocido por numerosos ataques de alto perfil, como el de 2022 que derribó secciones de la red eléctrica de Ucrania justo antes de un ataque con misiles rusos; el Brote de ransomware NotPetya en 2017y un atentado en la ceremonia inaugural del Juegos Olímpicos de Pyeongchang en Corea del Sur. El grupo tradicionalmente se ha dirigido a organizaciones gubernamentales y de infraestructura crítica, incluidas aquellas de los sectores de defensa, transporte y energía. El gobierno de Estados Unidos y otros han atribuido la operación a una unidad cibernética dentro del GRU de Rusia. En 2020, el El Departamento de Justicia de Estados Unidos acusó a varios militares rusos por su presunto papel en varias campañas de Sandworm.

"APT44 tiene un mandato de selección de objetivos extremadamente amplio", afirma Dan Black, analista principal de Mandiant. "Las organizaciones que desarrollan software u otras tecnologías para sistemas de control industrial y otros componentes críticos de infraestructura deberían tener APT44 al frente y al centro de sus modelos de amenazas".

Gabby Roncone, analista senior del equipo de Prácticas Avanzadas de Mandiant, incluye organizaciones de medios entre los objetivos de APT44/Sandworm, especialmente durante las elecciones. "Este año se celebrarán muchas elecciones clave de gran interés para Rusia, y APT44 puede intentar ser un actor clave" en ellas, dice Roncone.

El propio Mandiant ha estado rastreando a APT44 como una unidad dentro de la inteligencia militar de Rusia. "Hacemos un seguimiento de un ecosistema externo complejo que permite sus operaciones, incluidas entidades de investigación estatales y empresas privadas", añade Roncone.

Dentro de Ucrania, los ataques de Sandworm se han centrado cada vez más en actividades de espionaje con miras a recopilar información para la ventaja de las fuerzas militares rusas en el campo de batalla, dijo Mandiant. En muchos casos, la táctica favorita del actor de amenazas para obtener acceso inicial a las redes objetivo ha sido la explotación de enrutadores, VPN y otros infraestructura de borde. Es una táctica que el actor de amenazas ha estado utilizando cada vez más desde la invasión rusa de Ucrania. Si bien el grupo ha acumulado una vasta colección de herramientas de ataque personalizadas, a menudo se ha basado en herramientas legítimas y técnicas de supervivencia para evadir la detección.

Un enemigo esquivo

“APT44 es experto en volar bajo el radar de detección. Es fundamental crear detecciones para herramientas de código abierto de las que se abusa comúnmente y métodos de subsistencia”, afirma Black.

Roncone también aboga por que las organizaciones mapeen y mantengan sus entornos de red y segmenten las redes cuando sea posible debido a la inclinación de Sandworm por apuntar a la infraestructura de borde vulnerable para la entrada inicial y el reingreso a los entornos. "Las organizaciones también deben tener cuidado con el giro de APT44 entre el espionaje y los objetivos disruptivos después de obtener acceso a las redes", señala Roncone. "Para las personas que trabajan en los medios y en las organizaciones de medios en particular, la capacitación en seguridad digital para periodistas individuales es clave".

Black y Roncone perciben el uso por parte de APT44/Sandworm de frentes de piratería como CyberArmyofRussia_Reborn como un intento de llamar la atención sobre sus campañas y con fines de negación.

"Hemos visto a APT44 utilizar repetidamente CyberArmyofRussia_Reborn Telegram para publicar pruebas y llamar la atención sobre su actividad de sabotaje", dice Black. "No podemos determinar de manera concluyente si se trata de una relación exclusiva, pero juzgamos que APT44 tiene la capacidad de dirigir e influir en lo que la persona publica en Telegram".

Black dice que APT44 podría estar utilizando personajes como CyberArmyofRussia_Reborn como una forma de evitar la atribución directa en caso de que crucen una línea o provoquen una respuesta. "Pero el segundo [motivo] es que crean una falsa sensación de apoyo popular a la guerra de Rusia: una falsa impresión de que los rusos promedio se están reuniendo para unirse a la lucha cibernética contra Ucrania".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/ics-ot-security/-sandworm-group-is-russia-s-primary-cyber-attack-unit-in-ukraine