Nozomi Networks: руската APT група ескалира операциите си след засичане и масово атакува ICS и OT среди

Подкрепяната от руската държава хакерска група Sandworm продължава агресивно да атакува индустриални и критични инфраструктурни среди, използвайки масирано латерално придвижване, стари exploit вериги и ескалация на активността след засичане. Това показва нов анализ на Nozomi Networks, базиран на над 5,5 милиона аларми от 10 индустриални организации в седем държави.

Разследването обхваща периода между юли 2025 г. и януари 2026 г., като са идентифицирани 29 потвърдени инцидента, свързани със Sandworm. Засегнатите организации работят в секторите производство и транспорт, а атаките са насочени към engineering workstations, HMI системи, PLC контролери, RTU устройства и други ICS активи.

Атаките следват работното време на руската администрация

Изследователите установяват, че активността на Sandworm е тясно синхронизирана с работното време в Москва и следва ясно изразен бюрократичен оперативен модел.

Най-интензивната активност се наблюдава:

• в средата на седмицата
• следобедните часове
• особено в сряда след обяд московско време

Според Крис Гроув това е сериозен индикатор за централизирано управление и държавно координирани операции, а не за хаотична активност на киберпрестъпници или хактивисти.

Предупредителни сигнали са се появявали седмици преди атаките

Едно от най-притеснителните заключения в доклада е, че всяка компрометирана система е генерирала предупредителни сигнали между 20 и 155 дни преди потвърдената активност на Sandworm.

Средният период за ранно предупреждение е бил 43 дни.

Тези сигнали включват:

• command-and-control комуникации
• активност на remote access trojans
• известни exploit вериги
• lateral movement опити
• използване на стари post-exploitation инструменти

Изследователите подчертават, че не става въпрос за сложни zero-day атаки, а за добре познати и документирани техники, останали без remediation.

Sandworm продължава да използва EternalBlue, WannaCry и Cobalt Strike

Вместо да разчита основно на непознати уязвимости, Sandworm масово използва стари, но все още ефективни exploit вериги и malware инструменти, включително:

• EternalBlue
• DoublePulsar
• WannaCry
• Log4Shell
• Cobalt Strike
• Metasploit

В много случаи мрежите вече са били предварително компрометирани, което позволява на групата да използва съществуващи слабости вместо да разработва нови техники за проникване.

Масирано латерално придвижване в OT и ICS среди

Докладът идентифицира латералното придвижване като основна характеристика на операциите на Sandworm.

В рамките на анализираните организации:

• 17 инфектирани системи са атакували 923 вътрешни устройства
• една компрометирана машина е таргетирала 405 системи
• 632 устройства са започнали да генерират нови типове аларми след контакт
• при един инцидент е отчетено 12-кратно увеличение на alert активността

След първоначалното проникване групата агресивно сканира мрежите и разширява достъпа си към:

• engineering workstations
• HMI панели
• PLC контролери
• RTU устройства
• field controllers
• Purdue Level 1 и Level 2 системи

След засичане групата не се оттегля, а ескалира

За разлика от повечето ransomware групи, които често прекратяват операцията след разкриване, Sandworm систематично увеличава интензитета на атаките след detection.

Според анализа след засичане се наблюдава:

• рязко увеличение на alert volume
• разширяване на атакуваната повърхност
• внедряване на допълнителни malware инструменти
• по-агресивно латерално придвижване
• пренасочване към OT и ICS среди

Тази стратегия цели максимално оперативно и физическо въздействие върху инфраструктурата.

Sandworm остава различна категория заплаха

От Nozomi Networks подчертават, че Sandworm се различава съществено от ransomware групите и hacktivist кампаниите.

Докато киберпрестъпниците търсят финансова печалба, а hacktivist групите – публичност или идеологическо влияние, Sandworm функционира като държавно насочена киберсаботажна структура с фокус върху:

• физическо прекъсване на операции
• индустриален саботаж
• дестабилизация на критична инфраструктура
• геополитическо въздействие

Групата е известна с предишни атаки срещу електропреносни мрежи и destructive wiper операции, довели до реални физически последствия.

OT и ICS системите остават основна цел

Анализът показва, че повече от 20% от всички засечени аларми произхождат от ICS активи. Това включва:

• engineering workstations
• PLC и RTU устройства
• industrial HMIs
• industrial controllers

Изследователите предупреждават, че компрометиране на подобни системи трябва да се разглежда като потенциален предвестник на физически disruption инциденти.

Организациите трябва да спрат да подценяват „рутинните“ аларми

Nozomi Networks призовава компаниите да престанат да разглеждат alert-и, свързани с EternalBlue, Cobalt Strike, RAT malware или Log4Shell, като „рутинен шум“.

Според експертите тези индикатори често са ранни признаци за подготовка на много по-мащабни държавно подкрепяни операции.

Сред основните препоръки са:

• бързо remediation на стари уязвимости
• пълно премахване на предварителни компромиси
• сегментация между IT и OT средите
• мониторинг на abnormal internal scanning
• защита на engineering workstations
• ограничаване на exposed administrative services
• засилен контрол върху lateral movement активност

Кибероперациите могат да предхождат реални геополитически действия

В заключение Гроув предупреждава, че активността на Sandworm често функционира като стратегически индикатор за по-широки геополитически или военни действия.

Според анализа организациите трябва да възприемат подобни инциденти не като стандартна киберпрестъпност, а като част от държавно координирани операции срещу критична инфраструктура.