Sandworm — это продвинутая постоянная угроза, которой управляет военная часть 74455, подразделение кибервойны ГРУ , службы военной разведки России . [3] Другие названия группы, данные исследователями кибербезопасности , включают Telebots , Voodoo Bear , IRIDIUM , Seashell Blizzard , [4] и Iron Viking . [5] [6]
Предполагается, что эта команда стоит за кибератакой на энергосистему Украины в декабре 2015 года , [7] [8] [9] за кибератаками на Украину в 2017 году с использованием вредоносного ПО NotPetya , [10] за различными попытками вмешательства в президентские выборы во Франции в 2017 году , [5] и кибератака на церемонию открытия зимних Олимпийских игр 2018 года . [11] [12] Тогдашний прокурор США в Западном округе Пенсильвании Скотт Брейди охарактеризовал киберкампанию группы как «представляющую собой самые разрушительные и дорогостоящие кибератаки в истории». [5]
3 сентября 2014 года компания iSIGHT Partners (теперь Trellix ) обнаружила целевую фишинговую кампанию, использующую уязвимость нулевого дня в документах Microsoft Office, используемых в качестве оружия. Уязвимость, получившая название CVE-2014-4114, затронула все версии Windows от Vista до 8.1 и позволила злоумышленникам выполнить произвольный код на целевой машине. Исследователи смогли приписать нападение группе Sandworm и заметили, что украинское правительство было одной из целей кампании. Примечательно, что это нападение совпало с саммитом НАТО по Украине в Уэльсе. [13]
23 декабря 2015 года хакеры предприняли скоординированную кибератаку против трех энергокомпаний Украины и сумели временно прекратить подачу электроэнергии примерно 230 тысячам украинцев на 1-6 часов.
В январе iSight Partners опубликовала отчет, связывающий атаку с Sandworm на основе использования BlackEnergy 3. [14]
17 декабря 2016 года, через год после предыдущей атаки на энергосистему, хакеры снова нарушили работу энергосистемы Украины с помощью кибератаки. Около пятой части Киева обесточили на час. Хотя сбой в конечном итоге был непродолжительным, в отчете, опубликованном через 3 года после атаки охранной фирмой Dragos, излагается теория о том, что вредоносное ПО, известное как Industroyer или CRASHOVERRIDE, предназначалось для разрушения физического электрооборудования. Используя известную уязвимость в защитных реле, вредоносное ПО могло быть разработано для того, чтобы скрыть любые проблемы безопасности, например, когда инженеры работали над восстановлением электропитания, перегрузка по току вызывала разрушение трансформаторов или линий электропередачи. Такое разрушение привело бы к гораздо более длительному отключению электроэнергии, а также потенциально нанесло бы вред работникам коммунальных предприятий, если бы оно удалось. [15]
9 февраля 2018 года во время церемонии открытия зимних Олимпийских игр в Пхёнчхане южнокорейские хакеры предприняли кибератаку и успешно разрушили ИТ-инфраструктуру, включая Wi-Fi, телевизоры вокруг Олимпийского стадиона в Пхёнчхане, показывающие церемонию, ворота безопасности на основе RFID и официальные Олимпийские игры. приложение, которое использовалось для продажи цифровых билетов. Сотрудники смогли восстановить большинство критически важных функций еще до завершения церемонии открытия, но всю сеть пришлось перестраивать с нуля. Вредоносная программа Wiper проникла во все контроллеры домена и вывела их из строя. [11]
Спустя три дня Cisco Talos опубликовала отчет, назвав вредоносное ПО «Олимпийским разрушителем». В отчете указано сходство методов распространения вредоносного ПО со штаммами вредоносного ПО BadRabbit и Nyetya, а целью атаки указано нарушение работы игр. [16]
Установление авторства вредоносного ПО Olympic Destroyer оказалось трудным, поскольку оказалось, что автор(ы) включил в качестве ложных сигналов образцы кода, принадлежащие нескольким злоумышленникам . 12 февраля компания Intezer опубликовала отчет, показывающий сходство кода с образцами, приписываемыми трем китайским злоумышленникам, а в последующем отчете Talos отмечалась «слабая» подсказка, указывающая на другой вайпер, созданный дочерней компанией Lazarus Group , северокорейской APT . [17] [18]
8 марта команда Kaspersky GReAT опубликовала две записи в блоге, в которых обсуждаются текущие теории отрасли и собственные оригинальные исследования. В технической статье российская компания «Касперский» подробно показала, как они обнаружили, что заголовки файлов, указывающие на Lazarus Group, были поддельными, но не стала приписывать вредоносное ПО Olympic Destroyer какой-либо не северокорейской группе. [19] [20]
19 октября 2020 года большое жюри в США опубликовало обвинительное заключение, в котором шести предполагаемым офицерам подразделения 74455 предъявлено обвинение в киберпреступлениях. [21] [22] [23] Офицерам Андриенко Юрию Сергеевичу, Детистову Сергею Владимировичу, Фролову Павлу Валерьевичу, Ковалеву Анатолию Сергеевичу, Очиченко Артему Валерьевичу и Плискину Петру Николаевичу были предъявлены индивидуальные обвинения в сговоре с целью компьютерного мошенничества и злоупотреблений. сговор с целью мошенничества с использованием электронных средств связи , мошенничества с использованием электронных средств связи, нанесения ущерба защищенным компьютерам и кражи личных данных при отягчающих обстоятельствах . Пятеро из шести были обвинены в открытой разработке хакерских инструментов, а Очиченко обвинили в участии в целевых фишинговых атаках на зимние Олимпийские игры 2018 года , а также в проведении технической разведки и попытке взлома официального домена парламента Грузии . [5]
Одновременно с объявлением обвинительного заключения в США Национальный центр кибербезопасности Великобритании ( NCSC ) опубликовал отчет, в котором публично связался с песчаным червем и атакой на зимних Олимпийских играх 2018 года. [2]
28 мая 2020 года Агентство национальной безопасности опубликовало предупреждение по кибербезопасности о том, что группа Sandworm активно использует уязвимость удаленного выполнения кода (известную как CVE-2019-10149) в Exim [24] для получения полного контроля над почтовыми серверами. [25] На момент публикации рекомендаций обновленная версия Exim была доступна уже год, и АНБ призвало администраторов обновить свои почтовые серверы.
В феврале 2022 года Sandworm якобы выпустила Cyclops Blink как вредоносное ПО. Вредоносное ПО похоже на VPNFilter . [26] Вредоносное ПО позволяет создать ботнет и поражает маршрутизаторы Asus , а также устройства WatchGuard Firebox и XTM. CISA выпустила предупреждение об этом вредоносном ПО. [27]
В конце марта 2022 года следователи и юристы по правам человека юридической школы Калифорнийского университета в Беркли направили официальный запрос прокурору Международного уголовного суда в Гааге . [28] Они призвали Международный уголовный суд рассмотреть обвинения в военных преступлениях против российских хакеров за кибератаки на Украину. [28] Песчаный червь был специально назван в связи с атаками на электроэнергетические предприятия в декабре 2015 года на западе Украины и атаками на коммунальные предприятия в Киеве в 2016 году. [28]
В апреле 2022 года Sandworm попыталась отключить электричество в Украине. [29] Сообщается, что это первая атака за пять лет с использованием варианта вредоносного ПО Industroyer под названием Industroyer2. [30]
25 января 2023 года компания ESET приписала Sandworm очистку уязвимости Active Directory . [31]
31 августа 2023 года агентства кибербезопасности США, Великобритании, Канады, Австралии и Новой Зеландии (совместно известные как Five Eyes ) совместно опубликовали отчет о новой вредоносной кампании и приписали ее Sandworm. Вредоносное ПО, получившее название «Infamous Chisel», было нацелено на устройства Android, используемые украинскими военными. После первоначального заражения вредоносная программа устанавливает постоянный доступ, а затем периодически собирает и удаляет данные со скомпрометированного устройства. Собираемая информация включает в себя:
Вредоносная программа также периодически собирает открытые порты и баннеры сервисов, работающих на других хостах локальной сети. Кроме того, создается и настраивается SSH- сервер для работы в качестве скрытой службы Tor . Злоумышленник может затем удаленно подключиться к зараженному устройству, не раскрывая свой истинный IP-адрес. [32]
Название «Sandworm» было дано исследователями из iSight Partners (ныне Trellix ) из-за отсылок в исходном коде вредоносного ПО к роману Фрэнка Герберта «Дюна» . [33]