Sandworm – rosyjscy cyberprzestępcy
Według najnowszego raportu opublikowanego przez Mandiant z Google Cloud rosyjska grupa cyberprzestępcza Sandworm, znana także jako APT44, jest obecnie na czele operacji, których celem jest szpiegostwo, zakłócanie porządku i dezinformacja.
Od czasu rosyjskiej napaści na Ukrainę Sandworm skupiał swoje działania na destabilizacji sytuacji u naszego wschodniego sąsiada. Wykorzystywał przy tym różne taktyki i metody, w tym użycie złośliwego oprogramowania, takiego jak BlackEnergy i Industroyer. Grupa ta jest również powiązana z konwencjonalnymi działaniami wojskowymi, co sprawia, że stanowi poważne zagrożenie dla bezpieczeństwa globalnego.
Mandiant zidentyfikował Sandworma jako APT44, odróżniając go od innych podobnych grup, takich jak APT28 (Fancy Bear). Choć niektóre z ich działań pokrywają się, Mandiant podkreśla, że są to różne jednostki, wbrew temu, co nierzadko możemy przeczytać w internecie. APT44 jest teraz uznawany za zaawansowane, trwałe zagrożenie, które wymaga szczególnej uwagi.
APT44 wykorzystuje „haktywistów”
Najnowszy raport Mandianta ujawnia również, że APT44 aktywnie wykorzystuje różne grupy „haktywistów” do realizacji swoich celów. Jedną z takich grup jest Cyber Army of Russia Reborn (CARR), która w ostatnich miesiącach twierdziła, że odpowiada za manipulowanie zasobami technologii operacyjnej infrastruktury krytycznej w Stanach Zjednoczonych Ameryki i krajach Unii Europejskiej.
CARR opublikował filmiki, w których przekonywał, że potrafi także manipulować interfejsami człowiek-maszyna w zakładach wodociągowych m.in. w Polsce czy Stanach Zjednoczonych oraz że zakłócił wytwarzanie energii w elektrowni wodnej we Francji.
Chociaż te twierdzenia nie zostały potwierdzone, istnieją doniesienia o rzeczywistych zakłóceniach w infrastrukturze krytycznej.
APT44 atakuje dziennikarzy
Dodatkowo Mandiant po raz pierwszy łączy APT44 z kilkoma cyberatakami i operacjami, w tym z próbą ekstrakcji zaszyfrowanych wiadomości z przechwyconych urządzeń mobilnych oraz cyberatakiem na łańcuch dostaw za pomocą złośliwego oprogramowania wycierającego.
Niedawny cyberatak na niderlandzką grupę dziennikarstwa śledczego Bellingcat jest również przypisywany APT44.
Sandworm APT44 pozostaje aktywnym graczem na arenie cyberwojny, wykorzystując różne taktyki i grupy haktywistów do realizacji swoich celów. Ich ataki mogą mieć poważne konsekwencje dla infrastruktury krytycznej i bezpieczeństwa globalnego.
Działania te podkreślają konieczność podjęcia skutecznych środków zapobiegawczych i śledczych, aby chronić się przed rosnącym zagrożeniem ze strony rosyjskich grup cyberprzestępczych.
