O formidável grupo de hackers Sandworm desempenhou um papel central no apoio aos objetivos militares russos na Ucrânia ao longo dos últimos dois anos, ao mesmo tempo que intensificou as operações de ameaça cibernética noutras regiões de interesse estratégico político, económico e militar para a Rússia.

Esse é o resultado da análise das atividades do agente da ameaça realizada pelo grupo de segurança Mandiant do Google Cloud. Eles descobriram que o Sandworm – ou APT44, como a Mandiant o tem rastreado – é responsável por quase todos os ataques cibernéticos perturbadores e destrutivos na Ucrânia desde a invasão da Rússia em fevereiro de 2022.

No processo, o ator da ameaça estabeleceu-se como a principal unidade de ataque cibernético dentro da Diretoria Principal de Inteligência (GRU) da Rússia e entre todos os cibergrupos apoiados pelo Estado russo, avaliou Mandiant. Nenhum outro grupo cibernético parece tão totalmente integrado aos operadores militares da Rússia como o Sandworm está atualmente, observou o fornecedor de segurança em um relatório esta semana que oferece uma visão detalhada das ferramentas, técnicas e práticas do grupo.

“As operações APT44 têm âmbito global e refletem os amplos interesses e ambições nacionais da Rússia”, alertou Mandiant. “Mesmo com uma guerra em curso, observamos o grupo manter operações de acesso e espionagem na América do Norte, Europa, Médio Oriente, Ásia Central e América Latina.”

Uma manifestação do mandato global cada vez maior do Sandworm foi uma série de ataques a três instalações hídricas e hidrelétricas nos EUA e na França no início deste ano por um grupo de hackers chamado CyberArmyofRussia_Reborn, que Mandiant acredita ser controlado pelo Sandworm.

Os ataques – que parecem ter sido mais uma demonstração de capacidades do que qualquer outra coisa – causaram um mau funcionamento do sistema numa das instalações de abastecimento de água dos EUA atacadas. Em Outubro de 2022, um grupo que a Mandiant acredita ser o APT44 implantou ransomware contra fornecedores de logística na Polónia, num raro caso de implantação de uma capacidade disruptiva contra um país da NATO.

Mandato Global

Sandworm é um ator de ameaça que está ativo há mais de uma década. É bem conhecido por vários ataques de alto perfil, como o de 2022 que derrubou seções da rede elétrica da Ucrânia pouco antes de um ataque com mísseis russos; o Surto de ransomware NotPetya em 2017, e um ataque na cerimônia de abertura do Jogos Olímpicos de Pyeongchang na Coreia do Sul. O grupo tem tradicionalmente como alvo organizações governamentais e de infraestrutura crítica, incluindo aquelas dos setores de defesa, transporte e energia. O governo dos EUA e outros atribuíram a operação a uma unidade cibernética dentro do GRU da Rússia. Em 2020, o Departamento de Justiça dos EUA indiciou vários oficiais militares russos por seu suposto papel em várias campanhas do Sandworm.

“O APT44 tem uma missão de segmentação extremamente ampla”, diz Dan Black, analista principal da Mandiant. “As organizações que desenvolvem software ou outras tecnologias para sistemas de controle industrial e outros componentes críticos de infraestrutura devem ter o APT44 na frente e no centro de seus modelos de ameaças.”

Gabby Roncone, analista sênior da equipe de Práticas Avançadas da Mandiant, inclui organizações de mídia entre os alvos do APT44/Sandworm, especialmente durante as eleições. “Muitas eleições importantes e de grande interesse para a Rússia estão a ter lugar este ano, e o APT44 pode tentar ser um interveniente fundamental” nelas, diz Roncone.

A própria Mandiant tem rastreado o APT44 como uma unidade da inteligência militar russa. “Acompanhamos um ecossistema externo complexo que viabiliza suas operações, incluindo entidades de pesquisa estatais e empresas privadas”, acrescenta Roncone.

Na Ucrânia, os ataques do Sandworm concentraram-se cada vez mais em atividades de espionagem com o objetivo de coletar informações para obter vantagem nas forças militares russas no campo de batalha, disse Mandiant. Em muitos casos, a tática favorita do agente da ameaça para obter acesso inicial às redes alvo tem sido através da exploração de roteadores, VPNs e outros infraestrutura de ponta. É uma tática que o ator da ameaça tem usado cada vez mais desde a invasão russa da Ucrânia. Embora o grupo tenha acumulado uma vasta coleção de ferramentas de ataque personalizadas, muitas vezes confiou em ferramentas legítimas e técnicas de vida fora da terra para evitar a detecção.

Um inimigo esquivo

“O APT44 é adepto de voar sob o radar de detecção. Construir detecções para ferramentas de código aberto comumente abusadas e métodos de vida fora da terra é fundamental”, diz Black.

Roncone também defende que as organizações mapeiem e mantenham seus ambientes de rede e segmentem redes sempre que possível devido à tendência do Sandworm de atingir infraestruturas de borda vulneráveis ​​para entrada inicial e reentrada em ambientes. “As organizações também devem ter cuidado com o fato de o APT44 oscilar entre espionagem e objetivos perturbadores após obter acesso às redes”, observa Roncone. “Para as pessoas que trabalham na mídia e em organizações de mídia em particular, o treinamento em segurança digital para jornalistas individuais é fundamental.”

Black e Roncone percebem o uso de frentes de hackers como CyberArmyofRussia_Reborn pelo APT44/Sandworm como uma tentativa de chamar a atenção para suas campanhas e para fins de negação.

“Vimos o APT44 usar repetidamente o telegrama CyberArmyofRussia_Reborn para postar evidências e chamar a atenção para sua atividade de sabotagem”, diz Black. “Não podemos determinar de forma conclusiva se este é um relacionamento exclusivo, mas julgamos que o APT44 tem a capacidade de direcionar e influenciar o que a persona posta no Telegram.”

Black diz que o APT44 pode estar usando personas como CyberArmyofRussia_Reborn como uma forma de evitar atribuição direta caso ultrapassem os limites ou provoquem uma resposta. “Mas o segundo [motivo] é que criam um falso sentimento de apoio popular à guerra da Rússia – uma falsa impressão de que os russos comuns estão a reunir-se para se juntarem à luta cibernética contra a Ucrânia.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/ics-ot-security/-sandworm-group-is-russia-s-primary-cyber-attack-unit-in-ukraine