Sandworm (gruppo di hacker)
L'unità militare 74455 del servizio informazioni e intelligence russo GRU, più comunemente conosciuta con lo pseudonimo di Sandworm, rappresenta un collettivo di hacker noto per lo svolgimento di diversi attacchi su scala globale, classificati come Advanced Persistent Threat.[1] Il nome “Sandworm” è stato attribuito dai ricercatori di iSight Partners (ora Mandiant) per via dei riferimenti al romanzo Dune di Frank Herbert presenti negli URL dei server di comando e controllo degli aggressori.[2] Altri nomi del gruppo dati da diversi investigatori di cybersicurezza sono Telebots, Voodoo Bear e Iron Viking.[3] Attacchi informatici notiIl gruppo è ritenuto responsabile dell'attacco informatico alla rete elettrica ucraina del dicembre 2015[4][5], degli attacchi informatici all'Ucraina del 2017 con il malware NotPetya, di varie interferenze nelle elezioni presidenziali francesi del 2017[3] e dell'attacco informatico alla cerimonia di apertura delle Olimpiadi invernali del 2018, oltre all'attacco informatico contro le indagini dell'OPCW sull'avvelenamento da Novičok.[6] Cyclops BlinkNel febbraio 2022, Sandworm diffuse il malware Cyclops Blink. Esso è un fork del malware VPNFilter[7] precedentemente esposto[non chiaro] nel 2018, che sfruttava i dispositivi di rete, principalmente router SOHO (Small Office/Home Office) e dispositivi NAS. Cyclops Blink ha come funzionalità principali la trasmissione di informazioni sul terminale a un server e il successivo download ed esecuzione di file in remoto[8]. Secondo gli investigatori, esisterebbe anche la possibilità di aggiungere nuovi moduli durante l'esecuzione del malware, condizione che potrebbe consentire a Sandworm di implementare ulteriori funzionalità in base alle esigenze.[9][10] Il 23 febbraio 2022 il CISA emise l'avviso AA22-054A su questo malware.[11][12] Industroyer2Il 4 aprile 2022, il Computer Emergency Response Team ucraino (CERT-UA) e l'azienda slovacca di cybersicurezza ESET emisero avvisi in cui descrivevano come il gruppo Sandworm fosse riuscito a prendere di mira le sottostazioni elettriche ad alta tensione in Ucraina utilizzando una variante di un malware noto come Industroyer o Crash Override.[13] Il nuovo malware, denominato Industroyer2, può interagire direttamente con le apparecchiature delle aziende elettriche per inviare comandi ai dispositivi delle sottostazioni che controllano il flusso di energia. A differenza della prima variante, Industroyer2 implementa solo il protocollo IEC 60870-5-104[14] per comunicare con le apparecchiature industriali, che includono i relè di protezione utilizzati nelle sottostazioni elettriche. Si tratta quindi di un leggero cambiamento rispetto alla variante Industroyer del 2016, una piattaforma completamente modulare con payload per più protocolli ICS.[15] SwiftSlicerIl 25 gennaio 2023, l'azienda slovacca di cybersicurezza ESET individuò un wiper scritto in Go chiamato SwiftSlicer, immediatamente attribuito al gruppo hacker Sandworm. Esso venne distribuito tramite Group Policy, lasciando intendere che gli aggressori avessero preso il controllo dell'ambiente Active Directory delle vittime con un client Microsoft Windows installato.[16] Con esso, Sandworm ottenne i permessi di rimozione delle copie shadow, e successivamente quelli di scrittura sui file critici utilizzando blocchi di 4096 byte generati in modo casuale nella cartella di sistema di Windows. In base alla destinazione specifica della cartella Supporto all'invasione russa dell'Ucraina del 2022A seguito dell'inizio dell'invasione russa dell'Ucraina nel 2022, il gruppo Sandworm, ora identificato da Mandiant come APT-44, è considerato uno dei principali attori informatici sostenuti dal governo russo, con un ruolo chiave nel supportare la campagna militare della Russia.[18] Secondo un report congiunto di Google TAG, Microsoft, Mandiant ed ESET, Sandworm ha condotto un ampio sforzo su più fronti per favorire le forze armate russe nelle sue operazioni informatiche, con un'attenzione particolare agli obiettivi di rilevanza militare e alla raccolta di informazioni diintelligence.[19] Con il protrarsi del conflitto, l'attenzione del gruppo si è progressivamente spostata dalla distruzione di infrastrutture all'intelligence. A partire dal secondo anno di guerra, gli obiettivi e i metodi di Sandworm sono cambiati in modo significativo, con un'enfasi crescente sulle attività di spionaggio volte a fornire un vantaggio sul campo di battaglia alle forze convenzionali russe. Un esempio di queste attività è una campagna di lunga durata che ha supportato le forze russe avanzate nell'esfiltrazione delle comunicazioni da dispositivi mobili catturati, al fine di raccogliere ed elaborare dati di puntamento rilevanti.[20] Relazione con la giustizia internazionaleIl 15 ottobre 2020, un gran giurì di Pittsburgh (Stati Uniti) emise un atto d'accusa per sei ufficiali dell'Unità 74455 con diversi capi di imputazione.[21][22] Gli ufficiali, Yuriy Sergeyevich Andrienko, Sergey Vladimirovich Detistov, Pavel Valeryevich Frolov, Anatoliy Sergeyevich Kovalev, Artem Valeryevich Ochichenko e Petr Nikolayevich Pliskin,[23] vennero accusati di associazione per delinquere, pirateria informatica, frode telematica, furto d'identità aggravato e falsa registrazione di nomi di dominio.[24][25] L'allora procuratore generale per il distretto occidentale della Pennsylvania, Scott Brady, definì la campagna informatica del gruppo come "l'attacco informatico più distruttivo e costoso della storia".[3] Tutti gli imputati vennero dichiarati colpevoli di aver sviluppato a vario titolo strumenti di hacking a larga scala. Ochichenko venne inoltre processato per aver partecipato ad attacchi di spear phishing contro le Olimpiadi invernali del 2018 e per aver condotto una sorveglianza tecnica[non chiaro] e aver tentato di violare il dominio ufficiale del Parlamento della Georgia[3]. A fine marzo 2022, gli avvocati per i diritti umani della UC Berkeley School of Law inviarono una richiesta formale al Procuratore della Corte internazionale di giustizia dell'Aia,[26] chiedendogli di incriminare gli hacker russi per crimini di guerra per gli attacchi informatici contro l'Ucraina. Il gruppo Sandworm venne espressamente citato in relazione agli attacchi del dicembre 2015 alle società elettriche dell'Ucraina occidentale e agli attacchi del 2016 alle infrastrutture di Kiev[26]. Il 30 marzo 2023 venne pubblicata una inchiesta giornalistica condotta da diversi quotidiani internazionali che divulgò il contenuto di un insieme di file secretati denominati Vulkan Files che collegherebbero l'azienda russa di cybersecurity NTC Vulkan con il gruppo Sandworm, e quindi con la GRU.[27] Note
Voci correlate
|