Nhóm hacker Sandworm đáng gờm đã đóng vai trò trung tâm hỗ trợ các mục tiêu quân sự của Nga ở Ukraine trong hai năm qua ngay cả khi nhóm này đã đẩy mạnh các hoạt động đe dọa mạng ở các khu vực khác có lợi ích chiến lược chính trị, kinh tế và quân sự đối với Nga.
Đó là kết quả phân tích các hoạt động của tác nhân đe dọa do nhóm bảo mật Mandiant của Google Cloud thực hiện. Họ phát hiện ra rằng Sandworm – hay APT44, như Mandiant đã theo dõi – chịu trách nhiệm cho gần như tất cả các cuộc tấn công mạng gây rối và phá hoại ở Ukraine kể từ cuộc xâm lược của Nga vào tháng 2022 năm XNUMX.
Trong quá trình này, kẻ đe dọa đã tự khẳng định mình là đơn vị tấn công mạng chính trong Tổng cục Tình báo Chính (GRU) của Nga và trong số tất cả các nhóm mạng được nhà nước Nga hậu thuẫn, Mandiant đánh giá. Không có tổ chức mạng nào khác có vẻ được tích hợp hoàn toàn với các nhà điều hành quân sự của Nga như Sandworm hiện tại, nhà cung cấp dịch vụ bảo mật lưu ý trong một báo cáo tuần này cung cấp cái nhìn chi tiết về các công cụ, kỹ thuật và hoạt động của nhóm.
Mandiant cảnh báo: “Các hoạt động của APT44 có phạm vi toàn cầu và phản ánh các lợi ích và tham vọng quốc gia trên phạm vi rộng của Nga”. “Ngay cả khi chiến tranh đang diễn ra, chúng tôi đã quan sát thấy nhóm này duy trì các hoạt động tiếp cận và gián điệp trên khắp Bắc Mỹ, Châu Âu, Trung Đông, Trung Á và Châu Mỹ Latinh.”
Một biểu hiện cho thấy sứ mệnh mở rộng toàn cầu của Sandworm là một loạt các cuộc tấn công vào ba cơ sở nước và thủy điện ở Mỹ và Pháp hồi đầu năm nay bởi một nhóm hacker có tên CyberArmyofNga_Reborn mà Mandiant tin rằng do Sandworm kiểm soát.
Các cuộc tấn công - dường như mang tính biểu dương khả năng hơn bất kỳ điều gì khác - đã gây ra trục trặc hệ thống tại một trong những cơ sở nước bị tấn công của Hoa Kỳ. Vào tháng 2022 năm 44, một nhóm mà Mandiant tin là APTXNUMX đã triển khai phần mềm ransomware chống lại các nhà cung cấp dịch vụ hậu cần ở Ba Lan trong một trường hợp hiếm hoi về việc triển khai khả năng gây rối chống lại một quốc gia NATO.
Nhiệm vụ toàn cầu
Sandworm là một tác nhân đe dọa đã hoạt động được hơn một thập kỷ. Nó nổi tiếng với nhiều cuộc tấn công nổi bật như cuộc tấn công vào năm 2022 đã đánh sập một số phần của lưới điện Ukraine ngay trước một cuộc tấn công tên lửa của Nga; các Sự bùng phát ransomware NotPetya 2017, và một cuộc tấn công tại lễ khai mạc Thế vận hội Olympic Pyeongchang ở Hàn Quốc. Theo truyền thống, nhóm này nhắm mục tiêu vào các tổ chức chính phủ và cơ sở hạ tầng quan trọng, bao gồm cả các tổ chức trong lĩnh vực quốc phòng, giao thông và năng lượng. Chính phủ Hoa Kỳ và những người khác đã quy kết hoạt động này cho một đơn vị mạng trong GRU của Nga. Vào năm 2020, Bộ Tư pháp Mỹ truy tố nhiều sĩ quan quân đội Nga vì vai trò bị cáo buộc của họ trong các chiến dịch Sandworm khác nhau.
Dan Black, nhà phân tích chính tại Mandiant cho biết: “APT44 có phạm vi nhắm mục tiêu cực kỳ rộng. “Các tổ chức phát triển phần mềm hoặc công nghệ khác cho hệ thống điều khiển công nghiệp và các thành phần cơ sở hạ tầng quan trọng khác nên đặt APT44 ở vị trí trung tâm trong các mô hình mối đe dọa của họ.”
Gabby Roncone, nhà phân tích cấp cao thuộc nhóm Thực hành nâng cao của Mandiant, coi các tổ chức truyền thông nằm trong số mục tiêu của APT44/Sandworm, đặc biệt là trong các cuộc bầu cử. Roncone cho biết: “Nhiều cuộc bầu cử quan trọng được Nga quan tâm cao đang diễn ra trong năm nay và APT44 có thể cố gắng trở thành nhân vật chủ chốt” trong đó.
Bản thân Mandiant đã theo dõi APT44 với tư cách là một đơn vị trong cơ quan tình báo quân sự Nga. Roncone cho biết thêm: “Chúng tôi theo dõi một hệ sinh thái bên ngoài phức tạp hỗ trợ hoạt động của họ, bao gồm các tổ chức nghiên cứu thuộc sở hữu nhà nước và các công ty tư nhân”.
Mandiant cho biết, tại Ukraine, các cuộc tấn công của Sandworm ngày càng tập trung vào hoạt động gián điệp nhằm thu thập thông tin nhằm tạo lợi thế trên chiến trường cho lực lượng quân sự Nga. Trong nhiều trường hợp, chiến thuật ưa thích của kẻ đe dọa để giành được quyền truy cập ban đầu vào mạng mục tiêu là thông qua việc khai thác bộ định tuyến, VPN và các dịch vụ khác. cơ sở hạ tầng cạnh. Đó là một chiến thuật mà kẻ đe dọa ngày càng sử dụng nhiều kể từ cuộc xâm lược Ukraine của Nga. Mặc dù nhóm này đã tích lũy được một bộ sưu tập khổng lồ các công cụ tấn công riêng nhưng nhóm này thường dựa vào các công cụ hợp pháp và kỹ thuật sống ngoài vùng đất để tránh bị phát hiện.
Một kẻ thù khó nắm bắt
“APT44 rất giỏi trong việc bay dưới radar phát hiện. Việc xây dựng khả năng phát hiện các công cụ nguồn mở thường bị lạm dụng và các phương pháp thực tế là rất quan trọng,” Black nói.
Roncone cũng ủng hộ việc các tổ chức lập bản đồ và duy trì môi trường mạng của họ cũng như phân đoạn mạng nếu có thể do Sandworm có xu hướng nhắm mục tiêu vào cơ sở hạ tầng biên dễ bị tổn thương để truy cập lần đầu và tái nhập vào môi trường. Roncone lưu ý: “Các tổ chức nên cảnh giác với việc APT44 xoay quanh mục tiêu gián điệp và gây rối sau khi có được quyền truy cập vào mạng”. “Đối với những người làm việc trong các phương tiện truyền thông và các tổ chức truyền thông nói riêng, việc đào tạo về an toàn kỹ thuật số cho từng nhà báo là điều quan trọng.”
Black và Roncone nhận thấy việc APT44/Sandworm sử dụng các mặt trận hack như CyberArmyofNga_Reborn là một nỗ lực nhằm thu hút sự chú ý đến các chiến dịch của mình và nhằm mục đích phủ nhận.
“Chúng tôi đã thấy APT44 liên tục sử dụng Telegram CyberArmyofNga_Reborn để đăng bằng chứng và thu hút sự chú ý đến hoạt động phá hoại của nó,” Black nói. “Chúng tôi không thể xác định chắc chắn liệu đây có phải là mối quan hệ độc quyền hay không nhưng đánh giá rằng APT44 có khả năng chỉ đạo và ảnh hưởng đến những gì cá nhân đó đăng trên Telegram.”
Black cho biết APT44 có thể đang sử dụng các cá nhân như CyberArmyofNga_Reborn như một cách để tránh bị quy kết trực tiếp trong trường hợp họ vượt quá giới hạn hoặc kích động phản ứng. “Nhưng [động cơ] thứ hai là họ tạo ra cảm giác giả tạo về sự ủng hộ phổ biến đối với cuộc chiến của Nga - một ấn tượng sai lầm rằng những người Nga bình thường đang tự tập hợp để tham gia cuộc chiến mạng chống lại Ukraine.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/ics-ot-security/-sandworm-group-is-russia-s-primary-cyber-attack-unit-in-ukraine
