stringtranslate.com

Песчаный червь (хакерская группа)

Sandworm — это продвинутая постоянная угроза, которой управляет военная часть 74455, подразделение кибервойны ГРУ , службы военной разведки России . [3] Другие названия группы, данные исследователями кибербезопасности , включают Telebots , Voodoo Bear , IRIDIUM , Seashell Blizzard , [4] и Iron Viking . [5] [6]

Предполагается, что эта команда стоит за кибератакой на энергосистему Украины в декабре 2015 года , [7] [8] [9] за кибератаками на Украину в 2017 году с использованием вредоносного ПО NotPetya , [10] за различными попытками вмешательства в президентские выборы во Франции в 2017 году , [5] и кибератака на церемонию открытия зимних Олимпийских игр 2018 года . [11] [12] Тогдашний прокурор США в Западном округе Пенсильвании Скотт Брейди охарактеризовал киберкампанию группы как «представляющую собой самые разрушительные и дорогостоящие кибератаки в истории». [5]

История

2014 год

3 сентября 2014 года компания iSIGHT Partners (теперь Trellix ) обнаружила целевую фишинговую кампанию, использующую уязвимость нулевого дня в документах Microsoft Office, используемых в качестве оружия. Уязвимость, получившая название CVE-2014-4114, затронула все версии Windows от Vista до 8.1 и позволила злоумышленникам выполнить произвольный код на целевой машине. Исследователи смогли приписать нападение группе Sandworm и заметили, что украинское правительство было одной из целей кампании. Примечательно, что это нападение совпало с саммитом НАТО по Украине в Уэльсе. [13]

Взлом электросети Украины, 2015 г.

23 декабря 2015 года хакеры предприняли скоординированную кибератаку против трех энергокомпаний Украины и сумели временно прекратить подачу электроэнергии примерно 230 тысячам украинцев на 1-6 часов.

В январе iSight Partners опубликовала отчет, связывающий атаку с Sandworm на основе использования BlackEnergy 3. [14]

Взлом электросети Украины, 2016 г.

17 декабря 2016 года, через год после предыдущей атаки на энергосистему, хакеры снова нарушили работу энергосистемы Украины с помощью кибератаки. Около пятой части Киева обесточили на час. Хотя сбой в конечном итоге был непродолжительным, в отчете, опубликованном через 3 года после атаки охранной фирмой Dragos, излагается теория о том, что вредоносное ПО, известное как Industroyer или CRASHOVERRIDE, предназначалось для разрушения физического электрооборудования. Используя известную уязвимость в защитных реле, вредоносное ПО могло быть разработано для того, чтобы скрыть любые проблемы безопасности, например, когда инженеры работали над восстановлением электропитания, перегрузка по току вызывала разрушение трансформаторов или линий электропередачи. Такое разрушение привело бы к гораздо более длительному отключению электроэнергии, а также потенциально нанесло бы вред работникам коммунальных предприятий, если бы оно удалось. [15]

Зимние Олимпийские игры 2018 года

9 февраля 2018 года во время церемонии открытия зимних Олимпийских игр в Пхёнчхане южнокорейские хакеры предприняли кибератаку и успешно разрушили ИТ-инфраструктуру, включая Wi-Fi, телевизоры вокруг Олимпийского стадиона в Пхёнчхане, показывающие церемонию, ворота безопасности на основе RFID и официальные Олимпийские игры. приложение, которое использовалось для продажи цифровых билетов. Сотрудники смогли восстановить большинство критически важных функций еще до завершения церемонии открытия, но всю сеть пришлось перестраивать с нуля. Вредоносная программа Wiper проникла во все контроллеры домена и вывела их из строя. [11]

Спустя три дня Cisco Talos опубликовала отчет, назвав вредоносное ПО «Олимпийским разрушителем». В отчете указано сходство методов распространения вредоносного ПО со штаммами вредоносного ПО BadRabbit и Nyetya, а целью атаки указано нарушение работы игр. [16]

Установление авторства вредоносного ПО Olympic Destroyer оказалось трудным, поскольку оказалось, что автор(ы) включил в качестве ложных сигналов образцы кода, принадлежащие нескольким злоумышленникам . 12 февраля компания Intezer опубликовала отчет, показывающий сходство кода с образцами, приписываемыми трем китайским злоумышленникам, а в последующем отчете Talos отмечалась «слабая» подсказка, указывающая на другой вайпер, созданный дочерней компанией Lazarus Group , северокорейской APT . [17] [18]

8 марта команда Kaspersky GReAT опубликовала две записи в блоге, в которых обсуждаются текущие теории отрасли и собственные оригинальные исследования. В технической статье российская компания «Касперский» подробно показала, как они обнаружили, что заголовки файлов, указывающие на Lazarus Group, были поддельными, но не стала приписывать вредоносное ПО Olympic Destroyer какой-либо не северокорейской группе. [19] [20]

Обвинение США (2020)

ФБР запросило плакат со списком шести российских офицеров, обвиненных в киберпреступлениях.

19 октября 2020 года большое жюри в США опубликовало обвинительное заключение, в котором шести предполагаемым офицерам подразделения 74455 предъявлено обвинение в киберпреступлениях. [21] [22] [23] Офицерам Андриенко Юрию Сергеевичу, Детистову Сергею Владимировичу, Фролову Павлу Валерьевичу, Ковалеву Анатолию Сергеевичу, Очиченко Артему Валерьевичу и Плискину Петру Николаевичу были предъявлены индивидуальные обвинения в сговоре с целью компьютерного мошенничества и злоупотреблений. сговор с целью мошенничества с использованием электронных средств связи , мошенничества с использованием электронных средств связи, нанесения ущерба защищенным компьютерам и кражи личных данных при отягчающих обстоятельствах . Пятеро из шести были обвинены в открытой разработке хакерских инструментов, а Очиченко обвинили в участии в целевых фишинговых атаках на зимние Олимпийские игры 2018 года , а также в проведении технической разведки и попытке взлома официального домена парламента Грузии . [5]

Одновременно с объявлением обвинительного заключения в США Национальный центр кибербезопасности Великобритании ( NCSC ) опубликовал отчет, в котором публично связался с песчаным червем и атакой на зимних Олимпийских играх 2018 года. [2]

Эксплуатация Эксима (2020)

28 мая 2020 года Агентство национальной безопасности опубликовало предупреждение по кибербезопасности о том, что группа Sandworm активно использует уязвимость удаленного выполнения кода (известную как CVE-2019-10149) в Exim [24] для получения полного контроля над почтовыми серверами. [25] На момент публикации рекомендаций обновленная версия Exim была доступна уже год, и АНБ призвало администраторов обновить свои почтовые серверы.

Циклоп Блинк (2022)

В феврале 2022 года Sandworm якобы выпустила Cyclops Blink как вредоносное ПО. Вредоносное ПО похоже на VPNFilter . [26] Вредоносное ПО позволяет создать ботнет и поражает маршрутизаторы Asus , а также устройства WatchGuard Firebox и XTM. CISA выпустила предупреждение об этом вредоносном ПО. [27]

Запрос о военных преступлениях (март 2022 г.)

В конце марта 2022 года следователи и юристы по правам человека юридической школы Калифорнийского университета в Беркли направили официальный запрос прокурору Международного уголовного суда в Гааге . [28] Они призвали Международный уголовный суд рассмотреть обвинения в военных преступлениях против российских хакеров за кибератаки на Украину. [28] Песчаный червь был специально назван в связи с атаками на электроэнергетические предприятия в декабре 2015 года на западе Украины и атаками на коммунальные предприятия в Киеве в 2016 году. [28]

Атака на энергосистему Украины (апрель 2022 г.)

В апреле 2022 года Sandworm попыталась отключить электричество в Украине. [29] Сообщается, что это первая атака за пять лет с использованием варианта вредоносного ПО Industroyer под названием Industroyer2. [30]

SwiftSlicer (январь 2023 г.)

25 января 2023 года компания ESET приписала Sandworm очистку уязвимости Active Directory . [31]

Печально известное долото (август 2023 г.)

31 августа 2023 года агентства кибербезопасности США, Великобритании, Канады, Австралии и Новой Зеландии (совместно известные как Five Eyes ) совместно опубликовали отчет о новой вредоносной кампании и приписали ее Sandworm. Вредоносное ПО, получившее название «Infamous Chisel», было нацелено на устройства Android, используемые украинскими военными. После первоначального заражения вредоносная программа устанавливает постоянный доступ, а затем периодически собирает и удаляет данные со скомпрометированного устройства. Собираемая информация включает в себя:

Вредоносная программа также периодически собирает открытые порты и баннеры сервисов, работающих на других хостах локальной сети. Кроме того, создается и настраивается SSH- сервер для работы в качестве скрытой службы Tor . Злоумышленник может затем удаленно подключиться к зараженному устройству, не раскрывая свой истинный IP-адрес. [32]

Имя

Название «Sandworm» было дано исследователями из iSight Partners (ныне Trellix ) из-за отсылок в исходном коде вредоносного ПО к роману Фрэнка Герберта «Дюна» . [33]

Смотрите также

Рекомендации

  1. Адам Мейерс (29 января 2018 г.). «МЕДВЕДЬ ВУДУ | Профиль злоумышленника | CrowdStrike» . Забастовка толпы.
  2. ^ abc «Великобритания разоблачает серию российских кибератак против Олимпийских и Паралимпийских игр». Национальный центр кибербезопасности. 19 октября 2020 г.
  3. ^ Гринберг, Энди (2019). Песчаный червь: новая эра кибервойны и охота на самых опасных кремлевских хакеров . Кнопф Даблдэй. ISBN 978-0-385-54441-2.
  4. ^ «Как Microsoft называет субъектов угроз» . Майкрософт . Проверено 21 января 2024 г.
  5. ^ abcd «Шесть российских офицеров ГРУ обвинены в распространении по всему миру деструктивного вредоносного ПО и других подрывных действиях в киберпространстве» . Управление по связям с общественностью Министерства юстиции . Министерство юстиции США . 19 октября 2020 г. Проверено 23 июля 2021 г.
  6. ^ Тимберг, Крейг; Накашима, Эллен; Мюнцингер, Ханнес; Танриверди, Хакан (30 марта 2023 г.). «Секретная находка предлагает редкий взгляд на амбиции России в области кибервойны». Вашингтон Пост . Проверено 31 марта 2023 г.
  7. ^ «Хакеры отключили энергосистему Украины» . www.ft.com . 5 января 2016 года . Проверено 28 октября 2020 г.
  8. Волц, Дастин (25 февраля 2016 г.). «Правительство США пришло к выводу, что кибератака стала причиной отключения электроэнергии в Украине». Рейтер . Проверено 28 октября 2020 г.
  9. Херн, Алекс (7 января 2016 г.). "Отключение электроэнергии в Украине вызвано хакерами, атаковавшими медиакомпанию, - утверждают исследователи". Хранитель . ISSN  0261-3077 . Проверено 28 октября 2020 г.
  10. ^ «Нерассказанная история NotPetya, самой разрушительной кибератаки в истории» . Проводной . ISSN  1059-1028 . Проверено 28 октября 2020 г.
  11. ^ Аб Гринберг, Энди . «Внутри олимпийского разрушителя, самый обманчивый взлом в истории». Проводной . ISSN  1059-1028 . Проверено 28 октября 2020 г.
  12. Эндрю С. Боуэн (24 ноября 2020 г.). Российская военная разведка: предыстория и проблемы для Конгресса (PDF) (Отчет). Исследовательская служба Конгресса . п. 16 . Проверено 21 июля 2021 г.
  13. Стивен Уорд (14 октября 2014 г.). «iSIGHT обнаруживает уязвимость нулевого дня CVE-2014-4114, используемую в российской кампании кибершпионажа» . Архивировано из оригинала 14 октября 2014 года . Проверено 5 ноября 2023 г.
  14. Халтквист, Джон (7 января 2016 г.). «Команда песчаных червей и атаки украинской власти». Партнеры iSIGHT. Архивировано из оригинала 29 января 2016 года.
  15. Джо Слоуик (15 августа 2019 г.). «CRASHOVERRIDE: Переоценка событий в электроэнергетике Украины в 2016 году как атака, направленная на защиту» (PDF) . Драгос Инк.
  16. Уоррен Мерсер (12 февраля 2018 г.). «Олимпийский разрушитель целится на зимние Олимпийские игры». Циско Талос.
  17. ^ Расканьерес, Пол; Ли, Мартин (26 февраля 2018 г.). «Кто не несет ответственности за олимпийский разрушитель?». Циско Талос.
  18. Джей Розенберг (12 февраля 2018 г.). «Зимние киберолимпиады 2018 года: сходство кода с кибератаками в Пхенчхане». Архивировано из оригинала 30 июня 2020 года.
  19. ^ Команда Kaspersky GReAT (8 марта 2018 г.). «OlympicDestroyer здесь, чтобы обмануть индустрию». Архивировано из оригинала 31 января 2019 года.
  20. ^ Команда Kaspersky GReAT (8 марта 2018 г.). «Дьявол в заголовке Rich». Архивировано из оригинала 22 февраля 2019 года.
  21. ^ Чимпану, Каталин. «США обвиняют российских хакеров в атаках NotPetya, KillDisk, OlympicDestroyer». ЗДНет . Проверено 28 октября 2020 г.
  22. ^ «Российские кибератаки показывают, как выглядит безудержная интернет-война» . Хранитель . 19 октября 2020 г. Проверено 28 октября 2020 г.
  23. ^ «США предъявили обвинение песчаному червю, самому разрушительному подразделению России в области кибервойны» . Проводной . ISSN  1059-1028 . Проверено 28 октября 2020 г.
  24. ^ Сатнам Наранг (6 июня 2019 г.). «CVE-2019-10149: в Exim обнаружена критическая уязвимость удаленного выполнения команд» . Проверено 4 ноября 2023 г.
  25. ^ «Агент передачи почты Exim, активно используемый российскими киберпреступниками ГРУ» . Национальное Агенство Безопасности. Архивировано из оригинала 24 марта 2023 года.
  26. ^ Хардкасл, Джессика Лайонс. «Вредоносное ПО Cyclops Blink внедряется в маршрутизаторы ASUS». www.theregister.com . Проверено 21 марта 2022 г.
  27. ^ «CISA добавляет в каталог восемь известных использованных уязвимостей | CISA» . www.cisa.gov . 11 апреля 2022 г. Проверено 13 апреля 2022 г.
  28. ^ abc Гринберг, Энди (12 мая 2022 г.). «Дело об обвинениях в военных преступлениях против российских хакеров-червей». Проводной . Проверено 7 июля 2022 г.
  29. ^ Гринберг, Энди. «Российские хакеры-песчаные черви предприняли третью попытку отключения электроэнергии на Украине». Проводной . ISSN  1059-1028 . Проверено 13 апреля 2022 г.
  30. ^ «Индустройер2: Индустрой перезагрузка» . www.welivesecurity.com . Проверено 13 апреля 2022 г.
  31. Živé.sk (27 января 2023 г.). «На Украине можно найти новый тройской конь. Хакеры могут быть использованы на Русь». Живе.ск (на словацком языке) . Проверено 27 января 2023 г.
  32. ^ «Отчет об анализе вредоносного ПО печально известного Chisel» . Агентство кибербезопасности и безопасности инфраструктуры. 31 августа 2023 г. Проверено 6 ноября 2023 г.
  33. Ким Зеттер (14 октября 2014 г.). «Российский хакер Sandworm» уже много лет шпионит за правительствами иностранных государств» . Проводной . Архивировано из оригинала 14 октября 2014 года.

дальнейшее чтение

Внешние ссылки