Sandworm

Sandworm — це розвинена стала загроза, якою керує військова частина 74455, підрозділ кібервійни ГУ ГШ ЗС РФ, служби воєнної розвідки Росії.^[3] Інші назви групи, надані дослідниками кібербезпеки, включають APT44,^[4] Telebots, Voodoo Bear, IRIDIUM, Seashell Blizzard,^[5] і Iron Viking.^[6][7][8]

Sandworm
Організаційна структура російських розвідувальних служб. Sandworm діє у складі ГУ ГШ ЗС РФ.
На честь	Шай-Хулуд
Тип	Розвинена стала загроза
Засновано	прибл. 2004–2007
Мета	Кібершпигунство, кібервійна
Сфера	Психологічна операція і кібервійна
Країна	Росія[1]
Штаб-квартира	вул. Кірова, 22 Хімки, Московська область, РФ
Офіційні мови	російська
Афіліація	Unit 26165d[2]
Материнська організація	ГУ ГШ ЗС РФ
Дочірня(і) організація(ї)	Fancy Bear

Вважається, що команда стоїть за кібератакою на енергомережі України в грудні 2015 року,^[9][10][11] закібератаками на Україну в 2017 році з використанням шкідливого програмного забезпечення NotPetya,^[12] за різними спробами втручання у президентські вибори у Франції 2017 року,^[13] і кібератака на церемонію відкриття зимових Олімпійських ігор 2018 року.^[14][15] Тодішній прокурор(інші мови) Західного округу Пенсільванії(інші мови) Скот Брейді(інші мови) описав кіберкампанію групи як «найбільш руйнівну та дорогу кібератаку в історії».^[13]

Історія

2014 рік

3 вересня 2014 року iSIGHT Partners (тепер Mandiant(інші мови)) виявили кампанію з фішингу, яка використовувала вразливість нульового дня, що експлуатується через документи Microsoft Office. Уразливість під назвою CVE-2014-4114 вражала всі версії Windows від Vista до 8.1 і дозволяла зловмисникам виконувати довільний код на цільовій машині. Дослідники змогли приписати атаку групі Sandworm і помітили, що український уряд був однією з цілей кампанії. Примітно, що ця атака збіглася з самітом НАТО щодо України в Уельсі.^[16]

Злом енергомережі України 2015 року

23 грудня 2015 року хакери здійснили скоординовану кібератаку на 3 енергетичні компанії України та зуміли на 1-6 годин тимчасово припинити електропостачання близько 230 тисячам українців.^[17]

У січні iSight Partners опублікувала звіт, який пов'язує атаку з Sandworm на основі використання BlackEnergy 3.^[18]

Злом енергомережі України 2016 року

17 грудня 2016 року, через рік після попередньої атаки на енергомережі, хакери знову пошкодили енергомережу України кібератакою. Близько п'ятої частини Києва на годину знеструмлено. Хоча збій був зрештою коротким, звіт, опублікований через 3 роки після атаки компанією Dragos, викладає теорію про те, що зловмисне програмне забезпечення, відоме як Industroyer або CRASHOVERRIDE, мало знищити фізичне електричне обладнання. Використовуючи відому вразливість у захисних реле, зловмисне програмне забезпечення, можливо, було розроблено, щоб приховати будь-які проблеми безпеки, так що коли інженери працювали над відновленням живлення, надсилалося перевантаження струму, щоб зруйнувати трансформатори або лінії електропередач. Таке руйнування потенційно могло б завдати шкоди працівникам комунальних служб, а також призвело б до набагато більш тривалого відключення електроенергії, якби воно вдалось.^[19]

Зимова Олімпіада 2018

9 лютого 2018 року під час церемонії відкриття зимових Олімпійських ігор у Пхьончхані хакери здійснили кібератаку та успішно зламали ІТ-інфраструктуру, включаючи Wi-Fi, телевізори навколо Олімпійського стадіону в Пхенчхані, які транслювали церемонію, ворота безпеки на основі RFID та офіційний застосунок, який використовувався для продажу цифрових квитків. Співробітники змогли відновити більшість критичних функцій до закінчення церемонії відкриття, але всю мережу довелося відновлювати з нуля. Вайпер проник на кожен контролер домену та вивів їх з ладу.^[14]

Через 3 дні Cisco Talos опублікувала звіт, назвавши шкідливу програму «Olympic Destroyer». У звіті перелічено подібність методів розповсюдження зловмисного програмного забезпечення до штамів зловмисного програмного забезпечення «BadRabbit» і «Nyetya» та вказано, що метою атаки є порушення роботи ігор.^[20]

Визначити походження шкідливого програмного забезпечення Olympic Destroyer виявилося складно, оскільки виявилося, що автори включили зразки коду, що належать кільком загрозам, як фальшиві прапори. 12 лютого Intezer опублікував звіт, у якому показано схожість коду із зразками, приписуваними трьом китайським загрозам, тоді як у наступному звіті Talos було зазначено «слабку» підказку, яка вказує на ще один вайпер, створений поділом Lazarus Group, північнокорейським APT.^[21][22]

Команда Kaspersky GReAT 8 березня опублікувала 2 публікації в блозі, в яких обговорювали актуальні теорії галузі та власні оригінальні дослідження. У технічній статті російська компанія Kaspersky детально показала, як виявила, що заголовки файлів, що вказують на Lazarus Group, були підробленими, але не приписала зловмисне програмне забезпечення Olympic Destroyer будь-якій не північнокорейській групі.^[23][24]

Звинувачення в США (2020)

ФБР розшукувало плакат зі списком 6 російських військових, звинувачених у кіберзлочинах.

19 жовтня 2020 року велике журі присяжних у США оприлюднило обвинувальний висновок, в якому звинуватили шістьох офіцерів підрозділу 74455 у кіберзлочинах.^[25][26][27] Усім офіцерам, Юрію Сергійовичу Андрієнку, Сергію Володимировичу Детистову, Павлу Валерійовичу Фролову, Анатолію Сергійовичу Ковальову, Артему Валерійовичу Очиченку та Петру Миколайовичу Пліскіну, було пред'явлено індивідуальні звинувачення у змові з метою комп'ютерного шахрайства та зловживань, змові з метою вчинення електронного шахрайства(інші мови), пошкодження комп'ютерів і викрадення особистих даних при обтяжуючих обставинах. П'ятьох із шести звинуватили у відкритій розробці хакерських інструментів, тоді як Очіченка звинуватили в участі в фішингових атаках на Зимову Олімпіаду 2018 року та проведенні технічної розвідки та спробі злому офіційного домену парламенту Грузії.^[28][a]

Одночасно з оголошенням обвинувачення в США Національний центр кібербезпеки Великої Британії(інші мови) (NCSC) опублікував звіт, у якому публічно пов'язував Sandworm з атакою на зимові Олімпійські ігри 2018 року.

Експлуатація Exim (2020)

28 травня 2020 року Агентство національної безпеки опублікувало попередження з кібербезпеки про те, що група Sandworm активно використовує вразливість віддаленого виконання коду (іменовану CVE-2019-10149) у Exim^[35], щоб отримати повний контроль над поштовими серверами.^[36] На момент публікації консультації оновлена версія Exim була доступна протягом року, і АНБ закликало адміністраторів виправити свої поштові сервери.^[36]

Cyclops Blink (2022)

У лютому 2022 року Sandworm нібито випустив Cyclops Blink^[en] як шкідливе програмне забезпечення. Зловмисне програмне забезпечення схоже на VPNFilter.^[37] Зловмисне програмне забезпечення дозволяє створити ботнет і впливає на маршрутизатори Asus і пристрої WatchGuard(інші мови) Firebox і XTM. випустило попередження про цю шкідливу програму.^[38]

Запит про військові злочини (березень 2022)

Наприкінці березня 2022 року правозахисники та юристи Школи права Каліфорнійського університету в Берклі(інші мови) надіслали офіційний запит до прокурора Міжнародного кримінального суду в Гаазі.^[39] Вони закликали Міжнародний кримінальний суд розглянути звинувачення у військових злочинах проти російських хакерів за кібератаки проти України.^[39] Sandworm був конкретно названий у зв'язку з атаками на підприємства електропостачання в Західній Україні в грудні 2015 року та нападами на комунальні підприємства в Києві в 2016 році.^[39]

Атака на українські електромережі (квітень 2022)

У квітні 2022 року Sandworm спробувала відключити електроенергію в Україні.^[40] Кажуть, що це перша атака за п'ять років з використанням варіанту шкідливого програмного забезпечення Industroyer під назвою Industroyer2.^[41]

SwiftSlicer (січень 2023)

25 січня 2023 року ESET приписала Sandworm вайпер через вразливості Active Directory.^[42]

Infamous Chisel (серпень 2023)

31 серпня 2023 року агентства з кібербезпеки США, Великобританії, Канади, Австралії та Нової Зеландії (відомі як Five Eyes) спільно опублікували звіт про нову кампанію зловмисного програмного забезпечення та приписали її Sandworm. Зловмисне програмне забезпечення під назвою «Infamous Chisel» було спрямоване на пристрої Android, які використовуються українськими військовими. Після початкового зараження зловмисне програмне забезпечення встановлює постійний доступ, а потім періодично збирає та вилучає дані з скомпрометованого пристрою. Зібрана інформація включає:

• системна інформація пристрою
• дані програми з багатьох типів програм:
  • чат — Skype, Telegram, WhatsApp, Signal, Viber, Discord
  • браузер — Opera, Brave, Firefox, Chrome
  • двофакторна аутентифікація (2FA) — Google Authenticator
  • VPN — OpenVPN, VPN Proxy Master
  • синхронізація файлів — OneDrive, Dropbox
  • фінанси — Binance, PayPal, Trust Wallet, Google Wallet
• програми, характерні для українських військових

Зловмисне програмне забезпечення також періодично збирає відкриті порти та банери служб, запущених на інших хостах у локальній мережі. Крім того, створюється та налаштовується SSH-сервер для роботи як прихованої служби Tor. Потім зловмисник міг віддалено підключитися до зараженого пристрою, не розкриваючи своєї справжньої IP-адреси.^[43]

Назва

Назва «Sandworm» була названа дослідниками iSight Partners (тепер Mandiant) через посилання у вихідному коді зловмисного програмного забезпечення на роман Френка Герберта «Дюна».^[44]

У 2024 році, враховуючи активні та постійні загрози, які Sandworm представляв для урядів та операторів критичної інфраструктури в усьому світі, Mandiant «переробив» Sandworm у групу APT, назвавши її APT44.^[4]

Див. також

• Російські кібервійни
• BlackEnergy
• Fancy Bear
• Витік файлів Vulkan(інші мови)
• 161-й центр підготовки спеціалістів ГУ ГШ ЗС РФ (в/ч 29155)

Коментарі

1. Служба дипломатичної безпеки(інші мови) Державного департаменту США пропонує виплату 10 мільйонів доларів США за інформацію, що дозволяє ідентифікувати або місцезнаходження офіцерів ГУ ГШ ЗС РФ Пліскіна Петра Миколайовича (рос. Петр Николаевич Плискин), Очиченка Артема Валерійовича (рос. Артем Валерьевич Очиченко), Ковальова Анатолія Сергійовича (рос. Анатолий Сергеевич Ковалев), Фролова Павла Валерійовича (рос. Павел Валерьевич Фролов), Детистова Сергія Володивировича (рос. Сергей Владимирович Детистов) та Андрієнка Юрія Сергійовича (рос. Юрий Сергеевич Андриенко) з Головного центра технологій спеціального призначення ГУ ГШ ЗС РФ Росії (в/ч 74455), пов’язаних з "Sandworm Team," Telebots," "Voodoo Bear," та "Iron Viking."^{[29][30][31][32][33][34]}