Но дори и да се е фокусирала върху това, сложната група за заплахи е продължила операциите си срещу цели в световен мащаб, твърди Mandiant na Google.
През последните две години страховитата хакерска група Sandworm играе централна роля в подкрепа на руските военни цели в Украйна, като същевременно засилва операциите за киберзаплахи в други региони от стратегически политически, икономически и военен интерес за Русия.
Това е изводът от анализа на дейностите на тази заплаха, извършен от групата за сигурност Mandiant на Google Cloud. Те установиха, че Sandworm – или APT44, както го проследява Mandiant – е отговорен за почти всички разрушителни и деструктивни кибератаки в Украйна след нахлуването на Русия през февруари 2022 г.
В този процес заплахата се е утвърдилa като основно звено за кибератаки в Главното разузнавателно управление (ГРУ) на Русия и сред всички кибергрупи, подкрепяни от руската държава, оценява Mandiant. Нито една друга кибергрупа не изглежда толкова напълно интегрирана с руските военни оператори, колкото Sandworm в момента, отбеляза доставчикът на услуги за сигурност в доклад от тази седмица, който предлага подробен преглед на инструментите, техниките и практиките на групата.
„Операциите на APT44 са глобални по обхват и отразяват широките национални интереси и амбиции на Русия“, предупреждава Mandiant. „Дори при продължаваща война наблюдавахме как групата поддържа операции за достъп и шпионаж в Северна Америка, Европа, Близкия изток, Централна Азия и Латинска Америка.“
Едно от проявленията на разширяващия се глобален мандат на Sandworm е поредицата от атаки срещу три водни и хидроенергийни съоръжения в САЩ и Франция по-рано тази година, извършени от хакерска организация, наречена CyberArmyofRussia_Reborn, която според Mandiant се контролира от Sandworm.
Атаките – които изглежда са били по-скоро демонстрация на възможности, отколкото нещо друго – са причинили повреда в системата на едно от атакуваните водни съоръжения в САЩ. През октомври 2022 г. група, за която Mandiant смята, че е APT44, разгърна ransomware срещу доставчици на логистични услуги в Полша в рядък случай на разгръщане на деструктивни способности срещу страна от НАТО.
Sandworm е извършител, който е активен от повече от десетилетие. Добре известен е с многобройните си атаки, като тази през 2022 г., която извади от строя части от електропреносната мрежа на Украйна точно преди руския ракетен удар; епидемията от рансъмуер NotPetya през 2017 г. и атаката по време на церемонията по откриването на Олимпийските игри в Пьонгчанг в Южна Корея. Групата традиционно се насочва към правителствени организации и организации от критичната инфраструктура, включително такива в секторите на отбраната, транспорта и енергетиката. Правителството на САЩ и други страни приписват операцията на киберзвено в рамките на руското ГРУ. През 2020 г. Министерството на правосъдието на САЩ повдигна обвинения на няколко руски военни за предполагаемата им роля в различни кампании на Sandworm.
„APT44 има изключително широк обхват на насочване“, казва Дан Блек, главен анализатор в Mandiant. „Организациите, които разработват софтуер или други технологии за промишлени системи за управление и други компоненти на критичната инфраструктура, трябва да имат APT44 на преден план в моделите си за заплахи.“
Габи Ронконе, старши анализатор в екипа за напреднали практики на Mandiant, включва медийните организации сред целите на APT44/Sandworm, особено по време на избори. „Тази година се провеждат много ключови избори от голям интерес за Русия и APT44 може да се опита да бъде ключов играч“ в тях, казва Ронконе.
Самата Mandiant следи APT44 като звено в руското военно разузнаване. „Проследяваме сложна външна екосистема, която дава възможност за техните операции, включително държавни изследователски структури и частни компании“, добавя Ронконе.
В рамките на Украйна атаките на Sandworm все повече се фокусират върху шпионска дейност с цел събиране на информация за предимство на руските военни сили на бойното поле, казват от Mandiant. В много случаи любимата тактика на заплахата за получаване на първоначален достъп до целевите мрежи е била чрез използване на рутери, VPN мрежи и друга гранична инфраструктура. Това е тактика, която участникът заплахата използва все по-често след нахлуването на Русия в Украйна. Макар че групата е натрупала огромна колекция от персонализирани инструменти за атаки, тя често разчита на легитимни инструменти и техники за живеене на земята, за да избегне откриването.
„APT44 умее да лети под радара за откриване. Изграждането на средства за откриване на често използвани инструменти с отворен код и методи, които не са използвани, е от решаващо значение“, казва Блек.
Ронконе също така препоръчва на организациите да картографират и поддържат мрежовите си среди и да сегментират мрежите, където е възможно, поради склонността на Sandworm да се насочва към уязвима крайна инфраструктура за първоначално навлизане и повторно навлизане в средите. „Освен това организациите трябва да внимават за APT44, която след получаване на достъп до мрежите превключва между шпионски и разрушителни цели“, отбелязва Ронконе. „За хората, работещи в медиите и по-специално в медийните организации, обучението по цифрова безопасност за отделните журналисти е от ключово значение.“
Блек и Ронконе възприемат използването от страна на APT44/Sandworm на хакерски фронтове като CyberArmyofRussia_Reborn като опит да привлече вниманието към своите кампании и с цел отричане.
„Видяхме, че APT44 многократно използва CyberArmyofRussia_Reborn Telegram, за да публикува доказателства от и да привлече вниманието към своята саботажна дейност“, казва Блек. „Не можем категорично да определим дали това е изключителна връзка, но съдим, че APT44 има възможност да направлява и влияе върху това, което персоната публикува в Telegram.“
Блек казва, че APT44 може да използва персони като CyberArmyofRussia_Reborn като начин да избегне пряка атрибуция, в случай че премине границата или провокира реакция. „Но вторият [мотив] е, че те създават фалшиво усещане за народна подкрепа за войната на Русия – фалшиво впечатление, че средностатистическите руснаци се самосъбират, за да се присъединят към кибервойната срещу Украйна.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.