Sandworm (gruppo di hacker)

Sandworm
Unità Militare 74455
TipoAdvanced Persistent Threat
Affiliazione internazionaleGlavnoe razvedyvatel'noe upravlenie
Fondazione2004-2007
ScopoSpionaggio, Guerra cibernetica
Sede centraleRussia (bandiera) Khimki
Lingua ufficialerusso

L'unità militare 74455 del servizio informazioni e intelligence russo GRU, più comunemente conosciuta con lo pseudonimo di Sandworm, rappresenta un collettivo di hacker noto per lo svolgimento di diversi attacchi su scala globale, classificati come Advanced Persistent Threat.[1]

Il nome “Sandworm” è stato attribuito dai ricercatori di iSight Partners (ora Mandiant) per via dei riferimenti al romanzo Dune di Frank Herbert presenti negli URL dei server di comando e controllo degli aggressori.[2] Altri nomi del gruppo dati da diversi investigatori di cybersicurezza sono Telebots, Voodoo Bear e Iron Viking.[3]

Attacchi informatici noti

Il gruppo è ritenuto responsabile dell'attacco informatico alla rete elettrica ucraina del dicembre 2015[4][5], degli attacchi informatici all'Ucraina del 2017 con il malware NotPetya, di varie interferenze nelle elezioni presidenziali francesi del 2017[3] e dell'attacco informatico alla cerimonia di apertura delle Olimpiadi invernali del 2018, oltre all'attacco informatico contro le indagini dell'OPCW sull'avvelenamento da Novičok.[6]

Nel febbraio 2022, Sandworm diffuse il malware Cyclops Blink. Esso è un fork del malware VPNFilter[7] precedentemente esposto[non chiaro] nel 2018, che sfruttava i dispositivi di rete, principalmente router SOHO (Small Office/Home Office) e dispositivi NAS. Cyclops Blink ha come funzionalità principali la trasmissione di informazioni sul terminale a un server e il successivo download ed esecuzione di file in remoto[8]. Secondo gli investigatori, esisterebbe anche la possibilità di aggiungere nuovi moduli durante l'esecuzione del malware, condizione che potrebbe consentire a Sandworm di implementare ulteriori funzionalità in base alle esigenze.[9][10] Il 23 febbraio 2022 il CISA emise l'avviso AA22-054A su questo malware.[11][12]

Industroyer2

Il 4 aprile 2022, il Computer Emergency Response Team ucraino (CERT-UA) e l'azienda slovacca di cybersicurezza ESET emisero avvisi in cui descrivevano come il gruppo Sandworm fosse riuscito a prendere di mira le sottostazioni elettriche ad alta tensione in Ucraina utilizzando una variante di un malware noto come Industroyer o Crash Override.[13] Il nuovo malware, denominato Industroyer2, può interagire direttamente con le apparecchiature delle aziende elettriche per inviare comandi ai dispositivi delle sottostazioni che controllano il flusso di energia. A differenza della prima variante, Industroyer2 implementa solo il protocollo IEC 60870-5-104[14] per comunicare con le apparecchiature industriali, che includono i relè di protezione utilizzati nelle sottostazioni elettriche. Si tratta quindi di un leggero cambiamento rispetto alla variante Industroyer del 2016, una piattaforma completamente modulare con payload per più protocolli ICS.[15]

SwiftSlicer

Il 25 gennaio 2023, l'azienda slovacca di cybersicurezza ESET individuò un wiper scritto in Go chiamato SwiftSlicer, immediatamente attribuito al gruppo hacker Sandworm. Esso venne distribuito tramite Group Policy, lasciando intendere che gli aggressori avessero preso il controllo dell'ambiente Active Directory delle vittime con un client Microsoft Windows installato.[16] Con esso, Sandworm ottenne i permessi di rimozione delle copie shadow, e successivamente quelli di scrittura sui file critici utilizzando blocchi di 4096 byte generati in modo casuale nella cartella di sistema di Windows. In base alla destinazione specifica della cartella %CSIDL_SYSTEM_DRIVE%\Windows\NTDS, il wiper è quindi in grado di mirare a interi domini Windows, se questi non sono correttamente protetti. Dopo aver distribuito i dati, il malware esegue un riavvio forzato dei sistemi, applicando le modifiche.[17]

Supporto all'invasione russa dell'Ucraina del 2022

A seguito dell'inizio dell'invasione russa dell'Ucraina nel 2022, il gruppo Sandworm, ora identificato da Mandiant come APT-44, è considerato uno dei principali attori informatici sostenuti dal governo russo, con un ruolo chiave nel supportare la campagna militare della Russia.[18] Secondo un report congiunto di Google TAG, Microsoft, Mandiant ed ESET, Sandworm ha condotto un ampio sforzo su più fronti per favorire le forze armate russe nelle sue operazioni informatiche, con un'attenzione particolare agli obiettivi di rilevanza militare e alla raccolta di informazioni diintelligence.[19]

Con il protrarsi del conflitto, l'attenzione del gruppo si è progressivamente spostata dalla distruzione di infrastrutture all'intelligence. A partire dal secondo anno di guerra, gli obiettivi e i metodi di Sandworm sono cambiati in modo significativo, con un'enfasi crescente sulle attività di spionaggio volte a fornire un vantaggio sul campo di battaglia alle forze convenzionali russe. Un esempio di queste attività è una campagna di lunga durata che ha supportato le forze russe avanzate nell'esfiltrazione delle comunicazioni da dispositivi mobili catturati, al fine di raccogliere ed elaborare dati di puntamento rilevanti.[20]

Relazione con la giustizia internazionale

Il 15 ottobre 2020, un gran giurì di Pittsburgh (Stati Uniti) emise un atto d'accusa per sei ufficiali dell'Unità 74455 con diversi capi di imputazione.[21][22] Gli ufficiali, Yuriy Sergeyevich Andrienko, Sergey Vladimirovich Detistov, Pavel Valeryevich Frolov, Anatoliy Sergeyevich Kovalev, Artem Valeryevich Ochichenko e Petr Nikolayevich Pliskin,[23] vennero accusati di associazione per delinquere, pirateria informatica, frode telematica, furto d'identità aggravato e falsa registrazione di nomi di dominio.[24][25] L'allora procuratore generale per il distretto occidentale della Pennsylvania, Scott Brady, definì la campagna informatica del gruppo come "l'attacco informatico più distruttivo e costoso della storia".[3] Tutti gli imputati vennero dichiarati colpevoli di aver sviluppato a vario titolo strumenti di hacking a larga scala. Ochichenko venne inoltre processato per aver partecipato ad attacchi di spear phishing contro le Olimpiadi invernali del 2018 e per aver condotto una sorveglianza tecnica[non chiaro] e aver tentato di violare il dominio ufficiale del Parlamento della Georgia[3].

A fine marzo 2022, gli avvocati per i diritti umani della UC Berkeley School of Law inviarono una richiesta formale al Procuratore della Corte internazionale di giustizia dell'Aia,[26] chiedendogli di incriminare gli hacker russi per crimini di guerra per gli attacchi informatici contro l'Ucraina. Il gruppo Sandworm venne espressamente citato in relazione agli attacchi del dicembre 2015 alle società elettriche dell'Ucraina occidentale e agli attacchi del 2016 alle infrastrutture di Kiev[26].

Il 30 marzo 2023 venne pubblicata una inchiesta giornalistica condotta da diversi quotidiani internazionali che divulgò il contenuto di un insieme di file secretati denominati Vulkan Files che collegherebbero l'azienda russa di cybersecurity NTC Vulkan con il gruppo Sandworm, e quindi con la GRU.[27]

Note

  1. ^ Andy Greenberg, Sandworm : a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers, First edition, 2019, ISBN 978-0-385-54440-5, OCLC 1049787879. URL consultato il 3 aprile 2023.
  2. ^ (EN) Kim Zetter, Russian 'Sandworm' Hack Has Been Spying on Foreign Governments for Years, in Wired. URL consultato il 27 agosto 2024.
  3. ^ a b c d (EN) Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace, su www.justice.gov, 19 ottobre 2020. URL consultato il 3 aprile 2023.
  4. ^ Hackers shut down Ukraine power grid, in Financial Times, 5 gennaio 2016. URL consultato il 3 aprile 2023.
  5. ^ Redazione, Russia, Sandworm attacca una centrale elettrica in Ucraina, su CyberSecurity Italia, 13 aprile 2022. URL consultato il 3 aprile 2023.
  6. ^ (EN) US charges Russian hackers behind NotPetya, KillDisk, OlympicDestroyer attacks, su ZDNET.
  7. ^ (EN) Jessica Lyons Hardcastle, Cyclops Blink malware sets up shop in ASUS routers, su www.theregister.com. URL consultato il 3 aprile 2023.
  8. ^ Data Encoding: Non-Standard Encoding, Sub-technique T1132.002 - Enterprise | MITRE ATT&CK®, su attack.mitre.org. URL consultato il 14 aprile 2023.
  9. ^ (EN) New Sandworm malware Cyclops Blink replaces VPNFilter, su www.ncsc.gov.uk. URL consultato il 6 aprile 2023.
  10. ^ (EN) National Cyber Security Centre, Cyclops Blink - Malware Analysis Report (PDF), su ncsc.gov.uk, 23 febbraio 2022.
  11. ^ (EN) CISA Adds Eight Known Exploited Vulnerabilities to Catalog | CISA, su www.cisa.gov. URL consultato il 3 aprile 2023.
  12. ^ (EN) National Cyber Security Center, Cybersecurity Infrastructure Security Agency, Federal Bureau of Investigation e National Security Agency, AA22-054A New Sandworm Malware Cyclops Blink Replaces VPN Filter (PDF), su cisa.gov, 23 febbraio 2022.
  13. ^ (EN) Andy Greenberg, Russia's Sandworm Hackers Attempted a Third Blackout in Ukraine, in Wired. URL consultato il 3 aprile 2023.
  14. ^ Electronic Workshops in Computing (eWiC), su ScienceOpen. URL consultato il 14 aprile 2023.
  15. ^ (EN) Industroyer2: Industroyer reloaded, su WeLiveSecurity, 12 aprile 2022. URL consultato il 6 aprile 2023.
  16. ^ (EN) ESET Research: Russian APT groups, including Sandworm, continue their attacks against Ukraine with wipers and ransomware, su ESET. URL consultato il 3 aprile 2023.
  17. ^ SwiftSlicer è un nuovo malware che distrugge i domini Windows, su Tom's Hardware. URL consultato il 6 aprile 2023.
  18. ^ (EN) Phil Muncaster, Russian Sandworm Group Hit 20 Ukrainian Energy and Water Sites, su Infosecurity Magazine, 23 aprile 2024. URL consultato il 27 agosto 2024.
  19. ^ (EN) Gabby Roncone, Dan Black, John Wolfram, Tyler McLellan, Nick Simonian, Ryan Hall, Anton Prokopenkov, Dan Perez, Lexie Aytes, Alden Wahlstrom, APT44: Unearthing Sandworm (PDF).
  20. ^ (EN) Unearthing APT44: Russia’s Notorious Cyber Sabotage Unit Sandworm, su Google Cloud Blog. URL consultato il 27 agosto 2024.
  21. ^ (EN) US charges Russian hackers behind NotPetya, KillDisk, OlympicDestroyer attacks, su ZDNET. URL consultato il 3 aprile 2023.
  22. ^ (EN) Julian Borger, Russian cyber-attack spree shows what unrestrained internet warfare looks like, in The Guardian, 19 ottobre 2020. URL consultato il 3 aprile 2023.
  23. ^ Dipartimento della giustizia degli Stati Uniti d'America, Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace: Exhibit A.
  24. ^ (EN) Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace, su www.justice.gov, 19 ottobre 2020. URL consultato il 16 aprile 2023.
  25. ^ (EN) Andy Greenberg, US Indicts Sandworm, Russia's Most Destructive Cyberwar Unit, in Wired. URL consultato il 3 aprile 2023.
  26. ^ a b (EN) Andy Greenberg, The Case for War Crimes Charges Against Russia’s Sandworm Hackers, in Wired. URL consultato il 3 aprile 2023.
  27. ^ (EN) Secret trove offers rare look into Russian cyberwar ambitions, su Washington Post, 30 marzo 2023. URL consultato il 3 aprile 2023.

Voci correlate

Controllo di autoritàGND (DE1294530623