Грозная хакерская группа Sandworm играла центральную роль в поддержке российских военных объектов на Украине в течение последних двух лет, несмотря на то, что она активизировала операции по киберугрозам в других регионах, представляющих стратегический политический, экономический и военный интерес для России.

Таков результат анализа действий злоумышленников, проведенного группой безопасности Mandiant Google Cloud. Они обнаружили, что Sandworm — или APT44, как его отслеживает Mandiant — несет ответственность почти за все разрушительные и разрушительные кибератаки на Украину с момента российского вторжения в феврале 2022 года.

По оценкам Mandiant, в ходе этого процесса злоумышленник зарекомендовал себя как основное подразделение кибератак в Главном разведывательном управлении России (ГРУ) и среди всех российских кибергрупп, поддерживаемых государством. Ни одно другое киберподразделение не кажется настолько полностью интегрированным с российскими военными операторами, как Sandworm, отметил поставщик средств безопасности в отчете на этой неделе, в котором предлагается подробный обзор инструментов, методов и практик группы.

«Операции APT44 носят глобальный характер и отражают широкий спектр национальных интересов и амбиций России», — предупредил Мандиант. «Даже несмотря на продолжающуюся войну, мы наблюдаем, как группа поддерживает доступ и шпионские операции в Северной Америке, Европе, на Ближнем Востоке, в Центральной Азии и Латинской Америке».

Одним из проявлений расширения глобального мандата Sandworm стала серия атак на три гидроэнергетических объекта в США и Франции в начале этого года, совершенная хакерской организацией под названием CyberArmyofRussia_Reborn, которая, по мнению Mandiant, контролируется Sandworm.

Атаки, которые, по-видимому, были скорее демонстрацией возможностей, чем чем-либо еще, вызвали сбой в работе системы на одном из атакованных объектов водоснабжения США. В октябре 2022 года группа, которая, по мнению Mandiant, называлась APT44, развернула программу-вымогатель против поставщиков логистических услуг в Польше, что является редким случаем развертывания подрывного потенциала против страны НАТО.

Глобальный мандат

Sandworm — это угроза, действующая уже более десяти лет. Он хорошо известен многочисленными громкими атаками, такими как произошедшая в 2022 году. снесли участки энергосистемы Украины незадолго до российского ракетного удара; тот Вспышка программы-вымогателя NotPetya в 2017 г.и нападение на церемонии открытия Олимпийские игры в Пхенчхане в Южной Корее. Группа традиционно нацелена на правительственные организации и организации критически важной инфраструктуры, в том числе в оборонном, транспортном и энергетическом секторах. Правительство США и другие власти приписали операцию киберподразделению российского ГРУ. В 2020 году Минюст США предъявил обвинения нескольким российским военным за их предполагаемую роль в различных кампаниях песчаных червей.

«APT44 имеет чрезвычайно широкие возможности таргетинга», — говорит Дэн Блэк, главный аналитик Mandiant. «Организации, которые разрабатывают программное обеспечение или другие технологии для промышленных систем управления и других критически важных компонентов инфраструктуры, должны иметь APT44 в центре своих моделей угроз».

Габби Ронконе, старший аналитик группы передовых практик Mandiant, включает средства массовой информации в число целей APT44/Sandworm, особенно во время выборов. «В этом году пройдет множество ключевых выборов, представляющих большой интерес для России, и APT44 может попытаться сыграть в них ключевую роль», — говорит Ронконе.

Сама компания Mandiant отслеживает APT44 как подразделение российской военной разведки. «Мы отслеживаем сложную внешнюю экосистему, которая обеспечивает их деятельность, включая государственные исследовательские учреждения и частные компании», — добавляет Ронконе.

По словам Мандианта, внутри Украины атаки Sandworm все больше фокусируются на шпионской деятельности с целью сбора информации для получения преимущества на поле боя российских вооруженных сил. Во многих случаях любимой тактикой злоумышленников для получения первоначального доступа к целевым сетям является использование маршрутизаторов, VPN и других периферийная инфраструктура. Эту тактику злоумышленник все чаще использует после вторжения России на Украину. Хотя группировка накопила обширную коллекцию специализированных инструментов для атак, она часто полагается на законные инструменты и методы «живой жизни за счет земли», чтобы избежать обнаружения.

Неуловимый враг

«APT44 умеет летать под радаром обнаружения. Крайне важно обеспечить обнаружение широко используемых инструментов с открытым исходным кодом и методов, живущих за счет земли», — говорит Блэк.

Ронконе также выступает за то, чтобы организации отображали и поддерживали свою сетевую среду и сегментировали сети, где это возможно, из-за склонности Sandworm нацеливаться на уязвимую периферийную инфраструктуру для первоначального входа и повторного входа в среду. «Кроме того, организациям следует опасаться того, что APT44 переключается между шпионажем и подрывными целями после получения доступа к сетям», — отмечает Ронконе. «Для людей, работающих в средствах массовой информации и, в частности, медиа-организациях, обучение отдельным журналистам цифровой безопасности имеет ключевое значение».

Блэк и Ронконе воспринимают использование APT44/Sandworm таких хакерских фронтов, как CyberArmyofrussia_Reborn, как попытку привлечь внимание к своим кампаниям и в целях отрицания.

«Мы видели, как APT44 неоднократно использовала Telegram CyberArmyofRussia_Reborn для публикации доказательств своей диверсионной деятельности и привлечения внимания к ней», — говорит Блэк. «Мы не можем окончательно определить, являются ли это эксклюзивными отношениями, но считаем, что APT44 обладает способностью направлять и влиять на то, что этот человек публикует в Telegram».

Блэк говорит, что APT44 может использовать таких персонажей, как CyberArmyofrussia_Reborn, чтобы избежать прямой атрибуции в случае, если они перейдут черту или спровоцируют ответную реакцию. «Но второй [мотив] заключается в том, что они создают фальшивое чувство народной поддержки российской войны – ложное впечатление, что среднестатистические россияне самостоятельно собираются присоединиться к киберборьбе против Украины».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/ics-ot-security/-sandworm-group-is-russia-s-primary-cyber-attack-unit-in-ukraine