Търсене
Close this search box.

Но дори и да се е фокусирала върху това, сложната група за заплахи е продължила операциите си срещу цели в световен мащаб,  твърди Mandiant na Google.

През последните две години страховитата хакерска група Sandworm играе централна роля в подкрепа на руските военни цели в Украйна, като същевременно засилва операциите за киберзаплахи в други региони от стратегически политически, икономически и военен интерес за Русия.

Това е изводът от анализа на дейностите на тази заплаха, извършен от групата за сигурност Mandiant на Google Cloud. Те установиха, че Sandworm – или APT44, както го проследява Mandiant – е отговорен за почти всички разрушителни и деструктивни кибератаки в Украйна след нахлуването на Русия през февруари 2022 г.

В този процес заплахата се е утвърдилa като основно звено за кибератаки в Главното разузнавателно управление (ГРУ) на Русия и сред всички кибергрупи, подкрепяни от руската държава, оценява Mandiant. Нито една друга кибергрупа  не изглежда толкова напълно интегрирана с руските военни оператори, колкото Sandworm в момента, отбеляза доставчикът на услуги за сигурност в доклад от тази седмица, който предлага подробен преглед на инструментите, техниките и практиките на групата.

„Операциите на APT44 са глобални по обхват и отразяват широките национални интереси и амбиции на Русия“, предупреждава Mandiant. „Дори при продължаваща война наблюдавахме как групата поддържа операции за достъп и шпионаж в Северна Америка, Европа, Близкия изток, Централна Азия и Латинска Америка.“

Едно от проявленията на разширяващия се глобален мандат на Sandworm е поредицата от атаки срещу три водни и хидроенергийни съоръжения в САЩ и Франция по-рано тази година, извършени от хакерска организация, наречена CyberArmyofRussia_Reborn, която според Mandiant се контролира от Sandworm.

Атаките – които изглежда са били по-скоро демонстрация на възможности, отколкото нещо друго – са причинили повреда в системата на едно от атакуваните водни съоръжения в САЩ. През октомври 2022 г. група, за която Mandiant смята, че е APT44, разгърна ransomware срещу доставчици на логистични услуги в Полша в рядък случай на разгръщане на деструктивни способности срещу страна от НАТО.

Глобален мандат

Sandworm е извършител, който е активен от повече от десетилетие. Добре известен е с многобройните си атаки, като тази през 2022 г., която извади от строя части от електропреносната мрежа на Украйна точно преди руския ракетен удар; епидемията от рансъмуер NotPetya през 2017 г. и атаката по време на церемонията по откриването на Олимпийските игри в Пьонгчанг в Южна Корея. Групата традиционно се насочва към правителствени организации и организации от критичната инфраструктура, включително такива в секторите на отбраната, транспорта и енергетиката. Правителството на САЩ и други страни приписват операцията на киберзвено в рамките на руското ГРУ. През 2020 г. Министерството на правосъдието на САЩ повдигна обвинения на няколко руски военни за предполагаемата им роля в различни кампании на Sandworm.

„APT44 има изключително широк обхват на насочване“, казва Дан Блек, главен анализатор в Mandiant. „Организациите, които разработват софтуер или други технологии за промишлени системи за управление и други компоненти на критичната инфраструктура, трябва да имат APT44 на преден план в моделите си за заплахи.“

Габи Ронконе, старши анализатор в екипа за напреднали практики на Mandiant, включва медийните организации сред целите на APT44/Sandworm, особено по време на избори. „Тази година се провеждат много ключови избори от голям интерес за Русия и APT44 може да се опита да бъде ключов играч“ в тях, казва Ронконе.

Самата Mandiant следи APT44 като звено в руското военно разузнаване. „Проследяваме сложна външна екосистема, която дава възможност за техните операции, включително държавни изследователски структури и частни компании“, добавя Ронконе.

В рамките на Украйна атаките на Sandworm все повече се фокусират върху шпионска дейност с цел събиране на информация за предимство на руските военни сили на бойното поле, казват от Mandiant. В много случаи любимата тактика на заплахата за получаване на първоначален достъп до целевите мрежи е била чрез използване на рутери, VPN мрежи и друга гранична инфраструктура. Това е тактика, която участникът  заплахата използва все по-често след нахлуването на Русия в Украйна. Макар че групата е натрупала огромна колекция от персонализирани инструменти за атаки, тя често разчита на легитимни инструменти и техники за живеене на земята, за да избегне откриването.

Неуловим враг

„APT44 умее да лети под радара за откриване. Изграждането на средства за откриване на често използвани инструменти с отворен код и методи, които не са използвани, е от решаващо значение“, казва Блек.

Ронконе също така препоръчва на организациите да картографират и поддържат мрежовите си среди и да сегментират мрежите, където е възможно, поради склонността на Sandworm да се насочва към уязвима крайна инфраструктура за първоначално навлизане и повторно навлизане в средите. „Освен това организациите трябва да внимават за APT44, която след получаване на достъп до мрежите превключва между шпионски и разрушителни цели“, отбелязва Ронконе. „За хората, работещи в медиите и по-специално в медийните организации, обучението по цифрова безопасност за отделните журналисти е от ключово значение.“

Блек и Ронконе възприемат използването от страна на APT44/Sandworm на хакерски фронтове като CyberArmyofRussia_Reborn като опит да привлече вниманието към своите кампании и с цел отричане.

„Видяхме, че APT44 многократно използва CyberArmyofRussia_Reborn Telegram, за да публикува доказателства от и да привлече вниманието към своята саботажна дейност“, казва Блек. „Не можем категорично да определим дали това е изключителна връзка, но съдим, че APT44 има възможност да направлява и влияе върху това, което персоната публикува в Telegram.“

Блек казва, че APT44 може да използва персони като CyberArmyofRussia_Reborn като начин да избегне пряка атрибуция, в случай че премине границата или провокира реакция. „Но вторият [мотив] е, че те създават фалшиво усещане за народна подкрепа за войната на Русия – фалшиво впечатление, че средностатистическите руснаци се самосъбират, за да се присъединят към кибервойната срещу Украйна.“

Източник: DARKReading

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
27/09/2024

Израелска група претендира ...

В сряда американската агенция за киберсигурност...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!