Но дори и да се е фокусирала върху това, сложната група за заплахи е продължила операциите си срещу цели в световен мащаб,  твърди Mandiant na Google.

През последните две години страховитата хакерска група Sandworm играе централна роля в подкрепа на руските военни цели в Украйна, като същевременно засилва операциите за киберзаплахи в други региони от стратегически политически, икономически и военен интерес за Русия.

Това е изводът от анализа на дейностите на тази заплаха, извършен от групата за сигурност Mandiant на Google Cloud. Те установиха, че Sandworm – или APT44, както го проследява Mandiant – е отговорен за почти всички разрушителни и деструктивни кибератаки в Украйна след нахлуването на Русия през февруари 2022 г.

В този процес заплахата се е утвърдилa като основно звено за кибератаки в Главното разузнавателно управление (ГРУ) на Русия и сред всички кибергрупи, подкрепяни от руската държава, оценява Mandiant. Нито една друга кибергрупа  не изглежда толкова напълно интегрирана с руските военни оператори, колкото Sandworm в момента, отбеляза доставчикът на услуги за сигурност в доклад от тази седмица, който предлага подробен преглед на инструментите, техниките и практиките на групата.

„Операциите на APT44 са глобални по обхват и отразяват широките национални интереси и амбиции на Русия“, предупреждава Mandiant. „Дори при продължаваща война наблюдавахме как групата поддържа операции за достъп и шпионаж в Северна Америка, Европа, Близкия изток, Централна Азия и Латинска Америка.“

Едно от проявленията на разширяващия се глобален мандат на Sandworm е поредицата от атаки срещу три водни и хидроенергийни съоръжения в САЩ и Франция по-рано тази година, извършени от хакерска организация, наречена CyberArmyofRussia_Reborn, която според Mandiant се контролира от Sandworm.

Атаките – които изглежда са били по-скоро демонстрация на възможности, отколкото нещо друго – са причинили повреда в системата на едно от атакуваните водни съоръжения в САЩ. През октомври 2022 г. група, за която Mandiant смята, че е APT44, разгърна ransomware срещу доставчици на логистични услуги в Полша в рядък случай на разгръщане на деструктивни способности срещу страна от НАТО.

Глобален мандат

Sandworm е извършител, който е активен от повече от десетилетие. Добре известен е с многобройните си атаки, като тази през 2022 г., която извади от строя части от електропреносната мрежа на Украйна точно преди руския ракетен удар; епидемията от рансъмуер NotPetya през 2017 г. и атаката по време на церемонията по откриването на Олимпийските игри в Пьонгчанг в Южна Корея. Групата традиционно се насочва към правителствени организации и организации от критичната инфраструктура, включително такива в секторите на отбраната, транспорта и енергетиката. Правителството на САЩ и други страни приписват операцията на киберзвено в рамките на руското ГРУ. През 2020 г. Министерството на правосъдието на САЩ повдигна обвинения на няколко руски военни за предполагаемата им роля в различни кампании на Sandworm.

„APT44 има изключително широк обхват на насочване“, казва Дан Блек, главен анализатор в Mandiant. „Организациите, които разработват софтуер или други технологии за промишлени системи за управление и други компоненти на критичната инфраструктура, трябва да имат APT44 на преден план в моделите си за заплахи.“

Габи Ронконе, старши анализатор в екипа за напреднали практики на Mandiant, включва медийните организации сред целите на APT44/Sandworm, особено по време на избори. „Тази година се провеждат много ключови избори от голям интерес за Русия и APT44 може да се опита да бъде ключов играч“ в тях, казва Ронконе.

Самата Mandiant следи APT44 като звено в руското военно разузнаване. „Проследяваме сложна външна екосистема, която дава възможност за техните операции, включително държавни изследователски структури и частни компании“, добавя Ронконе.

В рамките на Украйна атаките на Sandworm все повече се фокусират върху шпионска дейност с цел събиране на информация за предимство на руските военни сили на бойното поле, казват от Mandiant. В много случаи любимата тактика на заплахата за получаване на първоначален достъп до целевите мрежи е била чрез използване на рутери, VPN мрежи и друга гранична инфраструктура. Това е тактика, която участникът  заплахата използва все по-често след нахлуването на Русия в Украйна. Макар че групата е натрупала огромна колекция от персонализирани инструменти за атаки, тя често разчита на легитимни инструменти и техники за живеене на земята, за да избегне откриването.

Неуловим враг

„APT44 умее да лети под радара за откриване. Изграждането на средства за откриване на често използвани инструменти с отворен код и методи, които не са използвани, е от решаващо значение“, казва Блек.

Ронконе също така препоръчва на организациите да картографират и поддържат мрежовите си среди и да сегментират мрежите, където е възможно, поради склонността на Sandworm да се насочва към уязвима крайна инфраструктура за първоначално навлизане и повторно навлизане в средите. „Освен това организациите трябва да внимават за APT44, която след получаване на достъп до мрежите превключва между шпионски и разрушителни цели“, отбелязва Ронконе. „За хората, работещи в медиите и по-специално в медийните организации, обучението по цифрова безопасност за отделните журналисти е от ключово значение.“

Блек и Ронконе възприемат използването от страна на APT44/Sandworm на хакерски фронтове като CyberArmyofRussia_Reborn като опит да привлече вниманието към своите кампании и с цел отричане.

„Видяхме, че APT44 многократно използва CyberArmyofRussia_Reborn Telegram, за да публикува доказателства от и да привлече вниманието към своята саботажна дейност“, казва Блек. „Не можем категорично да определим дали това е изключителна връзка, но съдим, че APT44 има възможност да направлява и влияе върху това, което персоната публикува в Telegram.“

Блек казва, че APT44 може да използва персони като CyberArmyofRussia_Reborn като начин да избегне пряка атрибуция, в случай че премине границата или провокира реакция. „Но вторият [мотив] е, че те създават фалшиво усещане за народна подкрепа за войната на Русия – фалшиво впечатление, че средностатистическите руснаци се самосъбират, за да се присъединят към кибервойната срещу Украйна.“