Sandworm
| Sandworm | |
|---|---|
Організаційна структура російських розвідувальних служб. Sandworm діє у складі ГУ ГШ ЗС РФ. | |
| На честь | Шай-Хулуд |
| Тип | Розвинена стала загроза |
| Засновано | прибл. 2004–2007 |
| Мета | Кібершпигунство, кібервійна |
| Сфера | Психологічна операція і кібервійна |
| Країна | |
| Штаб-квартира | вул. Кірова, 22 Хімки, Московська область, РФ |
| Офіційні мови | російська |
| Афіліація | Unit 26165d[2] |
| Материнська організація | ГУ ГШ ЗС РФ |
| Дочірня(і) організація(ї) | Fancy Bear |
![]() | |
Sandworm — це розвинена стала загроза, якою керує військова частина 74455, підрозділ кібервійни ГУ ГШ ЗС РФ, служби воєнної розвідки Росії.[3] Інші назви групи, надані дослідниками кібербезпеки, включають APT44,[4] Telebots, Voodoo Bear, IRIDIUM, Seashell Blizzard,[5] і Iron Viking.[6][7][8]
Вважається, що команда стоїть за кібератакою на енергомережі України в грудні 2015 року,[9][10][11] закібератаками на Україну в 2017 році з використанням шкідливого програмного забезпечення NotPetya,[12] за різними спробами втручання у президентські вибори у Франції 2017 року,[13] і кібератака на церемонію відкриття зимових Олімпійських ігор 2018 року.[14][15] Тодішній прокурор Західного округу Пенсільванії Скот Брейді описав кіберкампанію групи як «найбільш руйнівну та дорогу кібератаку в історії».[13]
3 вересня 2014 року iSIGHT Partners (тепер Mandiant) виявили кампанію з фішингу, яка використовувала вразливість нульового дня, що експлуатується через документи Microsoft Office. Уразливість під назвою CVE-2014-4114 вражала всі версії Windows від Vista до 8.1 і дозволяла зловмисникам виконувати довільний код на цільовій машині. Дослідники змогли приписати атаку групі Sandworm і помітили, що український уряд був однією з цілей кампанії. Примітно, що ця атака збіглася з самітом НАТО щодо України в Уельсі.[16]
23 грудня 2015 року хакери здійснили скоординовану кібератаку на 3 енергетичні компанії України та зуміли на 1-6 годин тимчасово припинити електропостачання близько 230 тисячам українців.[17]
У січні iSight Partners опублікувала звіт, який пов'язує атаку з Sandworm на основі використання BlackEnergy 3.[18]
17 грудня 2016 року, через рік після попередньої атаки на енергомережі, хакери знову пошкодили енергомережу України кібератакою. Близько п'ятої частини Києва на годину знеструмлено. Хоча збій був зрештою коротким, звіт, опублікований через 3 роки після атаки компанією Dragos, викладає теорію про те, що зловмисне програмне забезпечення, відоме як Industroyer або CRASHOVERRIDE, мало знищити фізичне електричне обладнання. Використовуючи відому вразливість у захисних реле, зловмисне програмне забезпечення, можливо, було розроблено, щоб приховати будь-які проблеми безпеки, так що коли інженери працювали над відновленням живлення, надсилалося перевантаження струму, щоб зруйнувати трансформатори або лінії електропередач. Таке руйнування потенційно могло б завдати шкоди працівникам комунальних служб, а також призвело б до набагато більш тривалого відключення електроенергії, якби воно вдалось.[19]
9 лютого 2018 року під час церемонії відкриття зимових Олімпійських ігор у Пхьончхані хакери здійснили кібератаку та успішно зламали ІТ-інфраструктуру, включаючи Wi-Fi, телевізори навколо Олімпійського стадіону в Пхенчхані, які транслювали церемонію, ворота безпеки на основі RFID та офіційний застосунок, який використовувався для продажу цифрових квитків. Співробітники змогли відновити більшість критичних функцій до закінчення церемонії відкриття, але всю мережу довелося відновлювати з нуля. Вайпер проник на кожен контролер домену та вивів їх з ладу.[14]
Через 3 дні Cisco Talos опублікувала звіт, назвавши шкідливу програму «Olympic Destroyer». У звіті перелічено подібність методів розповсюдження зловмисного програмного забезпечення до штамів зловмисного програмного забезпечення «BadRabbit» і «Nyetya» та вказано, що метою атаки є порушення роботи ігор.[20]
Визначити походження шкідливого програмного забезпечення Olympic Destroyer виявилося складно, оскільки виявилося, що автори включили зразки коду, що належать кільком загрозам, як фальшиві прапори. 12 лютого Intezer опублікував звіт, у якому показано схожість коду із зразками, приписуваними трьом китайським загрозам, тоді як у наступному звіті Talos було зазначено «слабку» підказку, яка вказує на ще один вайпер, створений поділом Lazarus Group, північнокорейським APT.[21][22]
Команда Kaspersky GReAT 8 березня опублікувала 2 публікації в блозі, в яких обговорювали актуальні теорії галузі та власні оригінальні дослідження. У технічній статті російська компанія Kaspersky детально показала, як виявила, що заголовки файлів, що вказують на Lazarus Group, були підробленими, але не приписала зловмисне програмне забезпечення Olympic Destroyer будь-якій не північнокорейській групі.[23][24]

19 жовтня 2020 року велике журі присяжних у США оприлюднило обвинувальний висновок, в якому звинуватили шістьох офіцерів підрозділу 74455 у кіберзлочинах.[25][26][27] Усім офіцерам, Юрію Сергійовичу Андрієнку, Сергію Володимировичу Детистову, Павлу Валерійовичу Фролову, Анатолію Сергійовичу Ковальову, Артему Валерійовичу Очиченку та Петру Миколайовичу Пліскіну, було пред'явлено індивідуальні звинувачення у змові з метою комп'ютерного шахрайства та зловживань, змові з метою вчинення електронного шахрайства, пошкодження комп'ютерів і викрадення особистих даних при обтяжуючих обставинах. П'ятьох із шести звинуватили у відкритій розробці хакерських інструментів, тоді як Очіченка звинуватили в участі в фішингових атаках на Зимову Олімпіаду 2018 року та проведенні технічної розвідки та спробі злому офіційного домену парламенту Грузії.[28][a]
Одночасно з оголошенням обвинувачення в США Національний центр кібербезпеки Великої Британії (NCSC) опублікував звіт, у якому публічно пов'язував Sandworm з атакою на зимові Олімпійські ігри 2018 року.[35]
28 травня 2020 року Агентство національної безпеки опублікувало попередження з кібербезпеки про те, що група Sandworm активно використовує вразливість віддаленого виконання коду (іменовану CVE-2019-10149) у Exim[36], щоб отримати повний контроль над поштовими серверами.[37] На момент публікації консультації оновлена версія Exim була доступна протягом року, і АНБ закликало адміністраторів виправити свої поштові сервери.[37]
У лютому 2022 року Sandworm нібито випустив Cyclops Blink[en] як шкідливе програмне забезпечення. Зловмисне програмне забезпечення схоже на VPNFilter.[38] Зловмисне програмне забезпечення дозволяє створити ботнет і впливає на маршрутизатори Asus і пристрої WatchGuard Firebox і XTM. випустило попередження про цю шкідливу програму.[39]
Наприкінці березня 2022 року правозахисники та юристи Школи права Каліфорнійського університету в Берклі надіслали офіційний запит до прокурора Міжнародного кримінального суду в Гаазі.[40] Вони закликали Міжнародний кримінальний суд розглянути звинувачення у військових злочинах проти російських хакерів за кібератаки проти України.[40] Sandworm був конкретно названий у зв'язку з атаками на підприємства електропостачання в Західній Україні в грудні 2015 року та нападами на комунальні підприємства в Києві в 2016 році.[40]
У квітні 2022 року Sandworm спробувала відключити електроенергію в Україні.[41] Кажуть, що це перша атака за п'ять років з використанням варіанту шкідливого програмного забезпечення Industroyer під назвою Industroyer2.[42]
25 січня 2023 року ESET приписала Sandworm вайпер через вразливості Active Directory.[43]
31 серпня 2023 року агентства з кібербезпеки США, Великобританії, Канади, Австралії та Нової Зеландії (відомі як Five Eyes) спільно опублікували звіт про нову кампанію зловмисного програмного забезпечення та приписали її Sandworm. Зловмисне програмне забезпечення під назвою «Infamous Chisel» було спрямоване на пристрої Android, які використовуються українськими військовими. Після початкового зараження зловмисне програмне забезпечення встановлює постійний доступ, а потім періодично збирає та вилучає дані з скомпрометованого пристрою. Зібрана інформація включає:
- системна інформація пристрою
- дані програми з багатьох типів програм:
- програми, характерні для українських військових
Зловмисне програмне забезпечення також періодично збирає відкриті порти та банери служб, запущених на інших хостах у локальній мережі. Крім того, створюється та налаштовується SSH-сервер для роботи як прихованої служби Tor. Потім зловмисник міг віддалено підключитися до зараженого пристрою, не розкриваючи своєї справжньої IP-адреси.[44]
Назва «Sandworm» була названа дослідниками iSight Partners (тепер Mandiant) через посилання у вихідному коді зловмисного програмного забезпечення на роман Френка Герберта «Дюна».[45]
У 2024 році, враховуючи активні та постійні загрози, які Sandworm представляв для урядів та операторів критичної інфраструктури в усьому світі, Mandiant «переробив» Sandworm у групу APT, назвавши її APT44.[4]
- ↑ Служба дипломатичної безпеки Державного департаменту США пропонує виплату 10 мільйонів доларів США за інформацію, що дозволяє ідентифікувати або місцезнаходження офіцерів ГУ ГШ ЗС РФ Пліскіна Петра Миколайовича (рос. Петр Николаевич Плискин), Очиченка Артема Валерійовича (рос. Артем Валерьевич Очиченко), Ковальова Анатолія Сергійовича (рос. Анатолий Сергеевич Ковалев), Фролова Павла Валерійовича (рос. Павел Валерьевич Фролов), Детистова Сергія Володивировича (рос. Сергей Владимирович Детистов) та Андрієнка Юрія Сергійовича (рос. Юрий Сергеевич Андриенко) з Головного центра технологій спеціального призначення ГУ ГШ ЗС РФ Росії (в/ч 74455), пов’язаних з "Sandworm Team," Telebots," "Voodoo Bear," та "Iron Viking."[29][30][31][32][33][34]
- ↑ https://www.wired.com/story/us-indicts-sandworm-hackers-russia-cyberwar-unit/
- ↑ Greenberg, Andy (2019). Sandworm: a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers. Knopf Doubleday. ISBN 978-0-385-54441-2.
- 1 2 APT44: Unearthing Sandworm (PDF). Процитовано 12 вересня 2024.
- ↑ How Microsoft names threat actors. Microsoft. Процитовано 21 січня 2024.
- ↑ ГШ ЗС РФ-officers-charged-connection-worldwide-deployment-destructive-malware-and Office of Public Affairs | Six Russian ГУ ГШ ЗС РФ Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace | United States Department of Justice. www.justice.gov (англ.). 19 жовтня 2020. Процитовано 6 грудня 2024.
{{cite web}}: Перевірте значення|url=(довідка)Обслуговування CS1: Сторінки з параметром url-status, але без параметра archive-url (посилання) - ↑ Timberg, Craig; Nakashima, Ellen; Munzinger, Hannes; Tanriverdi, Hakan (30 березня 2023). Secret trove offers rare look into Russian cyberwar ambitions. The Washington Post (англ.). Процитовано 31 березня 2023.
- ↑ Russia's FSB malign activity: factsheet: Cyber operations and the Russian intelligence services. National Cyber Security Centre (NCSC) and Foreign, Commonwealth and Development Office. 7 грудня 2023. Архів оригіналу за 8 грудня 2023. Процитовано 18 жовтня 2024.
- ↑ Hackers shut down Ukraine power grid. www.ft.com. 5 січня 2016. Процитовано 28 жовтня 2020.
- ↑ Volz, Dustin (25 лютого 2016). U.S. government concludes cyber attack caused Ukraine power outage. Reuters. Процитовано 28 жовтня 2020.
- ↑ Hern, Alex (7 січня 2016). Ukrainian blackout caused by hackers that attacked media company, researchers say. The Guardian. ISSN 0261-3077. Процитовано 28 жовтня 2020.
- ↑ The Untold Story of NotPetya, the Most Devastating Cyberattack in History. Wired. ISSN 1059-1028. Процитовано 28 жовтня 2020.
- 1 2 Office of Public Affairs | Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace | United States Department of Justice. www.justice.gov (англ.). 19 жовтня 2020. Процитовано 6 грудня 2024.
- 1 2 Greenberg, Andy. Inside Olympic Destroyer, the Most Deceptive Hack in History. Wired. ISSN 1059-1028. Процитовано 28 жовтня 2020.
- ↑ Andrew S. Bowen (24 листопада 2020). Russian Military Intelligence: Background and Issues for Congress (PDF) (Звіт). Congressional Research Service. с. 16. Архів оригіналу (PDF) за 13 серпня 2021. Процитовано 21 липня 2021.
- ↑ Stephen Ward (14 жовтня 2014). iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign. Архів оригіналу за 14 жовтня 2014. Процитовано 5 листопада 2023.
- ↑ Kim Zetter (10 січня 2017). The Ukrainian Power Grid Was Hacked Again. Vice Motherboard. Архів оригіналу за 18 січня 2017. Процитовано 12 січня 2017.
- ↑ Hultquist, John (7 січня 2016). Sandworm Team and the Ukrainian Power Authority Attacks. iSIGHT Partners. Архів оригіналу за 29 січня 2016.
- ↑ Joe Slowik (15 серпня 2019). CRASHOVERRIDE: Reassessing the 2016 Ukraine Electric Power Event as a Protection-Focused Attack (PDF). Dragos Inc.
- ↑ Warren Mercer (12 лютого 2018). Olympic Destroyer Takes Aim At Winter Olympics. Cisco Talos.
- ↑ Rascagneres, Paul; Lee, Martin (26 лютого 2018). Who Wasn't Responsible for Olympic Destroyer?. Cisco Talos.
- ↑ Jay Rosenberg (12 лютого 2018). 2018 Winter Cyber Olympics: Code Similarities with Cyber Attacks in Pyeongchang. Архів оригіналу за 30 червня 2020.
- ↑ Kaspersky GReAT Team (8 березня 2018). OlympicDestroyer is here to trick the industry. Архів оригіналу за 31 січня 2019.
- ↑ Kaspersky GReAT Team (8 березня 2018). The devil's in the Rich header. Архів оригіналу за 22 лютого 2019.
- ↑ Cimpanu, Catalin. US charges Russian hackers behind NotPetya, KillDisk, OlympicDestroyer attacks. ZDNet. Процитовано 28 жовтня 2020.
- ↑ Russian cyber-attack spree shows what unrestrained internet warfare looks like. The Guardian. 19 жовтня 2020. Процитовано 28 жовтня 2020.
- ↑ US Indicts Sandworm, Russia's Most Destructive Cyberwar Unit. Wired. ISSN 1059-1028. Процитовано 28 жовтня 2020.
- ↑ Office of Public Affairs | Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace | United States Department of Justice. www.justice.gov (англ.). 19 жовтня 2020. Процитовано 6 грудня 2024.
- ↑ Petr Nikolayevich Pliskin. United States Department of State Diplomatic Security Service[en]: Rewards for Justice[en]. Архів оригіналу за 9 жовтня 2024. Процитовано 9 жовтня 2024.
- ↑ Artem Valeryevich Ochichenko. United States Department of State Diplomatic Security Service[en]: Rewards for Justice[en]. Архів оригіналу за 9 жовтня 2024. Процитовано 9 жовтня 2024.
- ↑ Anatoliy Sergeyevich Kovalev. United States Department of State Diplomatic Security Service[en]: Rewards for Justice[en]. Архів оригіналу за 9 жовтня 2024. Процитовано 9 жовтня 2024.
- ↑ Pavel Valeryevich Frolov. United States Department of State Diplomatic Security Service[en]: Rewards for Justice[en]. Архів оригіналу за 9 жовтня 2024. Процитовано 9 жовтня 2024.
- ↑ Sergey Vladimirovich Detistov. United States Department of State Diplomatic Security Service[en]: Rewards for Justice[en]. Архів оригіналу за 9 жовтня 2024. Процитовано 9 жовтня 2024.
- ↑ Yuriy Sergeyevich Andrienko. United States Department of State Diplomatic Security Service[en]: Rewards for Justice[en]. Архів оригіналу за 9 жовтня 2024. Процитовано 9 жовтня 2024.
- ↑ UK exposes series of Russian cyber attacks against Olympic and Paralympic Games. GOV.UK (англ.). Процитовано 13 березня 2026.
- ↑ Satnam Narang (6 червня 2019). CVE-2019-10149: Critical Remote Command Execution Vulnerability Discovered In Exim. Процитовано 4 листопада 2023.
- 1 2 Exim Mail Transfer Agent Actively Exploited by Russian GRU Cyber Actors. National Security Agency. Архів оригіналу за 24 березня 2023.
- ↑ Hardcastle, Jessica Lyons. Cyclops Blink malware sets up shop in ASUS routers. www.theregister.com (англ.). Процитовано 21 березня 2022.
- ↑ CISA Adds Eight Known Exploited Vulnerabilities to Catalog | CISA. www.cisa.gov. 11 квітня 2022. Процитовано 13 квітня 2022.
- 1 2 3 Greenberg, Andy (12 травня 2022). The Case for War Crimes Charges Against Russia's Sandworm Hackers. Wired. Процитовано 7 липня 2022.
- ↑ Greenberg, Andy. Russia's Sandworm Hackers Attempted a Third Blackout in Ukraine. Wired (амер.). ISSN 1059-1028. Процитовано 13 квітня 2022.
- ↑ Industroyer2: Industroyer reloaded. www.welivesecurity.com. Процитовано 13 квітня 2022.
- ↑ Živé.sk (27 січня 2023). Na Ukrajine maže počítače nový trójsky kôň. Hackeri majú byť prepojení na Rusko. Živé.sk (словац.). Процитовано 27 січня 2023.
- ↑ Infamous Chisel Malware Analysis Report. Cybersecurity & Infrastructure Security Agency. 31 серпня 2023. Процитовано 6 листопада 2023.
- ↑ Kim Zetter (14 жовтня 2014). Russian 'Sandworm' Hack Has Been Spying on Foreign Governments for Years. Wired. Архів оригіналу за 14 жовтня 2014.

