Korkunç Sandworm hacker grubu, Rusya’nın stratejik, siyasi, ekonomik ve askeri çıkarlarına sahip diğer bölgelerdeki siber tehdit operasyonlarını hızlandırmasına rağmen, son iki yılda Rusya’nın Ukrayna’daki askeri hedeflerini destekleyen merkezi bir rol oynadı.
Bu, tehdit aktörünün Google Cloud’un Mandiant güvenlik grubu tarafından gerçekleştirilen faaliyetlerine ilişkin analizin sonucudur. Rusya’nın Şubat 2022’deki işgalinden bu yana Ukrayna’daki neredeyse tüm yıkıcı ve yıkıcı siber saldırılardan Sandworm’un (veya Mandiant’ın izlediği isimle APT44’ün) sorumlu olduğunu buldular.
Mandiant, bu süreçte tehdit aktörünün kendisini Rusya Ana İstihbarat Müdürlüğü (GRU) ve tüm Rus devleti destekli siber gruplar arasında birincil siber saldırı birimi haline getirdiğini değerlendirdi. Güvenlik sağlayıcısı, bu hafta grubun araçlarına, tekniklerine ve uygulamalarına ayrıntılı bir bakış sunan bir raporda, başka hiçbir siber birimin Rusya’nın askeri operatörleriyle Sandworm kadar tamamen entegre görünmediğini belirtti.
Mandiant, “APT44 operasyonlarının kapsamı küreseldir ve Rusya’nın geniş kapsamlı ulusal çıkarlarını ve hedeflerini yansıtır” diye uyardı. “Devam eden bir savaşa rağmen grubun Kuzey Amerika, Avrupa, Orta Doğu, Orta Asya ve Latin Amerika’da erişim ve casusluk operasyonlarını sürdürdüğünü gözlemledik.”
Sandworm’un genişleyen küresel yetkisinin bir tezahürü, Mandiant’ın Sandworm tarafından kontrol edildiğine inandığı CyberArmyofRussia_Reborn adlı bir bilgisayar korsanlığı ekibinin bu yılın başında ABD ve Fransa’daki üç su ve hidroelektrik tesisine düzenlediği bir dizi saldırıydı.
Her şeyden çok yeteneklerin bir göstergesi gibi görünen saldırılar, saldırıya uğrayan ABD su tesislerinden birinde sistem arızasına neden oldu. Ekim 2022’de, Mandiant’ın APT44 olduğuna inandığı bir grup, bir NATO ülkesine karşı yıkıcı bir yetenek konuşlandırmanın nadir bir örneğini gerçekleştirerek Polonya’daki lojistik sağlayıcılara karşı fidye yazılımı dağıttı.
Küresel Yetki
Sandworm, on yılı aşkın süredir aktif olan bir tehdit aktörüdür. 2022’deki gibi çok sayıda yüksek profilli saldırıyla tanınıyor. Ukrayna’nın elektrik şebekesinin bazı bölümleri devre dışı bırakıldı Rus füze saldırısından hemen önce; the 2017 NotPetya fidye yazılımı salgınıAçılış töreninde saldırı ve Pyeongchang Olimpiyat Oyunları Güney Kore’de. Grup geleneksel olarak savunma, ulaştırma ve enerji sektörleri de dahil olmak üzere hükümet ve kritik altyapı kuruluşlarını hedef alıyordu. ABD hükümeti ve diğerleri, operasyonu Rusya’nın GRU’su içindeki bir siber birime bağladı. 2020 yılında ABD Adalet Bakanlığı çok sayıda Rus askeri yetkiliyi suçladı çeşitli Kum Solucanı kampanyalarındaki iddia edilen rolleri nedeniyle.
Mandiant’ın baş analisti Dan Black, “APT44’ün son derece geniş bir hedefleme alanı var” diyor. “Endüstriyel kontrol sistemleri ve diğer kritik altyapı bileşenleri için yazılım veya diğer teknolojiler geliştiren kuruluşların, tehdit modellerinde APT44 ön planda ve merkezde olmalıdır.”
Mandiant’ın Gelişmiş Uygulamalar ekibinde kıdemli analist olan Gabby Roncone, özellikle seçimler sırasında APT44/Sandworm’un hedefleri arasına medya kuruluşlarını da dahil ediyor. Roncone, “Bu yıl Rusya’yı ilgilendiren pek çok önemli seçim yapılıyor ve APT44 bu seçimlerde kilit bir oyuncu olmaya çalışabilir” diyor.
Mandiant’ın kendisi de APT44’ü Rusya’nın askeri istihbaratı içindeki bir birim olarak takip ediyor. Roncone, “Devlete ait araştırma kuruluşları ve özel şirketler de dahil olmak üzere, operasyonlarını mümkün kılan karmaşık bir harici ekosistemi takip ediyoruz” diye ekliyor.
Mandiant, Sandworm’un Ukrayna’daki saldırılarının, Rus askeri kuvvetlerinin savaş alanındaki avantajı için bilgi toplama amacıyla giderek daha fazla casusluk faaliyetlerine odaklandığını söyledi. Çoğu durumda, tehdit aktörünün hedef ağlara ilk erişim elde etmek için en sevdiği taktik, yönlendiricileri, VPN’leri ve diğerlerini kötüye kullanmak olmuştur. uç altyapısı. Bu, tehdit aktörünün Rusya’nın Ukrayna işgalinden bu yana giderek daha fazla kullandığı bir taktik. Grup, geniş bir özel saldırı araçları koleksiyonuna sahip olsa da, tespit edilmekten kaçınmak için genellikle meşru araçlara ve arazide yaşama tekniklerine güvendi.
Bulunması Zor Bir Düşman
Black, “APT44, tespit radarı altında uçma konusunda ustadır. Yaygın olarak suiistimal edilen açık kaynaklı araçlar ve arazide yaşama yöntemleri için tespitler oluşturmak kritik öneme sahiptir” diyor.
Roncone ayrıca Sandworm’un ortamlara ilk giriş ve yeniden giriş için savunmasız uç altyapıyı hedefleme eğilimi nedeniyle kuruluşların ağ ortamlarını haritalandırmasını ve sürdürmesini ve ağları mümkün olduğunca bölümlere ayırmasını savunuyor. Roncone, “Kuruluşlar ayrıca APT44’ün ağlara erişim sağladıktan sonra casusluk ve yıkıcı hedefler arasında gidip gelmesi konusunda da dikkatli olmalıdır” diye belirtiyor. “Özellikle medya ve medya kuruluşlarında çalışan kişiler için bireysel gazetecilere yönelik dijital güvenlik eğitimi çok önemlidir.”
Black ve Roncone, APT44/Sandworm’un CyberArmyofRussia_Reborn gibi hackleme cephelerini kullanmasını, kampanyalarına dikkat çekme ve inkar etme amacıyla bir girişim olarak algılıyor.
Black, “APT44’ün sabotaj faaliyetlerine ilişkin kanıtları yayınlamak ve bunlara dikkat çekmek için CyberArmyofRussia_Reborn Telegram’ı defalarca kullandığını gördük” diyor. “Bunun özel bir ilişki olup olmadığına kesin olarak karar veremiyoruz ancak APT44’ün, kişinin Telegram’da paylaştığı şeyleri yönlendirme ve etkileme yeteneğine sahip olduğuna karar veriyoruz.”
Black, APT44’ün CyberArmyofRussia_Reborn gibi kişileri, bir çizgiyi aşmaları veya bir tepkiyi kışkırtmaları durumunda doğrudan atıf yapmaktan kaçınmanın bir yolu olarak kullanabileceğini söylüyor. “Fakat ikinci [motive] Rusya’nın savaşına sahte bir halk desteği duygusu yaratıyorlar; ortalama Rusların Ukrayna’ya karşı siber savaşa katılmak için kendi kendilerine toplandıkları yönünde yanlış bir izlenim yaratıyorlar.”