Величезне хакерське угруповання Sandworm відігравало центральну роль у підтримці російських військових цілей в Україні протягом останніх двох років, хоча воно активізувало операції проти кіберзагроз в інших регіонах, що становлять стратегічний політичний, економічний і військовий інтерес для Росії.

Це підсумок аналізу діяльності зловмисника, проведеного групою безпеки Mandiant Google Cloud. Вони виявили, що Sandworm — або APT44, як Mandiant стежив за ним — відповідальний за майже всі руйнівні та руйнівні кібератаки в Україні з моменту вторгнення Росії в лютому 2022 року.

У цьому процесі загрозливий суб’єкт зарекомендував себе як головний підрозділ кібератак у Головному розвідувальному управлінні Росії (ГРУ) та серед усіх російських державних кібергруп, оцінив Mandiant. Жодне інше кібернетичне обладнання не виглядає так повністю інтегрованим з російськими військовими операторами, як Sandworm зараз, зазначив постачальник безпеки у звіті цього тижня, який пропонує детальний огляд інструментів, методів і практик групи.

«Операції APT44 мають глобальний масштаб і відображають широкі національні інтереси та амбіції Росії», — попередив Мандіант. «Навіть війна, що триває, ми спостерігали, як група підтримує доступ і шпигунські операції в Північній Америці, Європі, на Близькому Сході, в Центральній Азії та Латинській Америці».

Одним із проявів розширення глобального мандату Sandworm стала серія атак на три водні та гідроелектростанції в США та Франції на початку цього року хакерською організацією під назвою CyberArmyofRussia_Reborn, яку, на думку Mandiant, контролює Sandworm.

Атаки, які, здається, були більше демонстрацією можливостей, ніж чимось іншим, спричинили збій системи на одному з атакованих водних об’єктів США. У жовтні 2022 року група, яка, на думку Mandiant, була APT44, розгорнула програми-вимагачі проти постачальників логістичних послуг у Польщі в рідкісному випадку розгортання руйнівних засобів проти країни НАТО.

Глобальний мандат

Sandworm є загрозою, яка діє вже більше десяти років. Він добре відомий численними резонансними атаками, такими як та, яка сталася у 2022 році вивели з ладу ділянки енергомережі України безпосередньо перед ракетним ударом Росії; в 2017 Спалах програм-вимагачів NotPetya, і напад на церемонії відкриття Олімпійські ігри в Пхенчхані в Південній Кореї. Група традиційно націлена на урядові організації та організації критичної інфраструктури, зокрема в оборонному, транспортному та енергетичному секторах. Уряд США та інші приписують операцію кіберпідрозділу російського ГРУ. У 2020 році Міністерство юстиції США висунуло звинувачення кільком російським військовим за їх нібито роль у різних кампаніях Sandworm.

«APT44 має надзвичайно широку сферу націлювання», — каже Ден Блек, головний аналітик Mandiant. «Організації, які розробляють програмне забезпечення або інші технології для промислових систем управління та інших критичних компонентів інфраструктури, повинні мати APT44 у центрі своїх моделей загроз».

Габбі Ронкоун, старший аналітик групи Advanced Practices Mandiant, вважає медіа-організації серед цілей APT44/Sandworm, особливо під час виборів. «Цього року відбудеться багато ключових виборів, які представляють великий інтерес для Росії, і APT44 може спробувати стати ключовим гравцем» у них, каже Ронконе.

Сам Mandiant стежив за APT44 як за підрозділом військової розвідки Росії. «Ми відстежуємо складну зовнішню екосистему, яка забезпечує їх діяльність, включаючи державні дослідницькі установи та приватні компанії», — додає Ронконе.

В Україні атаки Sandworm дедалі більше зосереджуються на шпигунській діяльності з метою збору інформації для переваги російських військових на полі бою, сказав Мандіант. У багатьох випадках улюбленою тактикою зловмисників для отримання початкового доступу до цільових мереж є використання маршрутизаторів, VPN та інших крайова інфраструктура. Це тактика, яку загрозливий актор все частіше використовує після вторгнення Росії в Україну. Незважаючи на те, що група накопичила величезну колекцію інструментів для атак на замовлення, вона часто покладалася на законні інструменти та методи, що живуть поза межами землі, щоб уникнути виявлення.

Невловимий ворог

«APT44 вправно летить під радаром виявлення. Створення засобів виявлення для інструментів із відкритим кодом, які часто зловживають, і методів, що живуть поза межами землі, є критично важливим», — каже Блек.

Ронкоун також виступає за те, щоб організації відображали та підтримували свої мережеві середовища та сегментували мережі, де це можливо, через схильність Sandworm орієнтуватися на вразливу крайову інфраструктуру для початкового входу та повторного входу в середовища. «Організаціям також слід остерігатися того, що APT44 може змінювати шпигунство та руйнівні цілі після отримання доступу до мереж», — зазначає Ронконе. «Для людей, які працюють у ЗМІ та медіаорганізаціях зокрема, тренінг із цифрової безпеки для окремих журналістів є ключовим».

Блек і Ронкоун сприймають використання APT44/Sandworm хакерських фронтів, таких як CyberArmyofRussia_Reborn, як спробу привернути увагу до своїх кампаній і з метою заперечення.

«Ми бачили, як APT44 неодноразово використовував CyberArmyofRussia_Reborn Telegram, щоб опублікувати докази та привернути увагу до своєї диверсійної діяльності», — каже Блек. «Ми не можемо остаточно визначити, чи це ексклюзивні стосунки, але судимо, що APT44 має можливість керувати та впливати на те, що персона публікує в Telegram».

Блек каже, що APT44 може використовувати таких персонажів, як CyberArmyofRussia_Reborn, щоб уникнути прямого приписування, якщо вони перетнуть межу або спровокують відповідь. «Але другий [мотив] полягає в тому, що вони створюють фальшиве відчуття народної підтримки війни Росії — хибне враження, що пересічні росіяни самі збираються приєднатися до кіберборотьби проти України».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/ics-ot-security/-sandworm-group-is-russia-s-primary-cyber-attack-unit-in-ukraine