Хакерська група Sandworm, пов’язана з російською військовою розвідкою, приховувала атаки та операції за кількома онлайн-персонами, які видавали себе за групи хактивістів. Про це повідомляє BleepingComputer.
Sandworm, також відомий як BlackEnergy, Seashell Blizzard, Voodoo Bear, діє принаймні з 2009 року. Багато урядів приписують його операції підрозділу 74455, Головному центру спеціальних технологій (GTsST) Головного управління Генерального штабу Збройних Сил Російської Федерації, більш відомому як Головне розвідувальне управління (ГРУ).
Зловмисник дуже адаптивний і покладається як на звичайні методи початкового доступу, як-от фішинг і збір облікових даних, так і на використання відомих вразливостей і компрометації ланцюжка поставок.
Mandiant почав відстежувати групу як APT44 і зазначає, що вона зарекомендувала себе як видатний кібердиверсійний підрозділ росії.
Відколи росія вторглася в Україну трохи більше 2 років тому, Sandworm почав використовувати онлайн-персон для витоку даних і підривних операцій.
У новому звіті Mandiant повідомляє, що Sandworm покладався на три основні канали Telegram: XakNet Team, CyberArmyofRussia_Reborn і Solntsepek, які працювали паралельно та незалежно один від одного.
Google TAG виявив, що YouTube-канал цієї хакерської групи був створений з інфраструктури, приписуваної Sandworm/APT44.
Крім того, Mandiant спостерігав відому інфраструктуру APT44, яка використовується для вилучення даних від жертв, пізніше просочених у Telegram-канал CyberArmyofRussia_Reborn, а також вихід у Telegram у безпосередній часовій близькості до опублікованих претензій.
Одного разу помилка з боку APT44 призвела до того, що CyberArmyofRussia_Reborn заявили на своєму каналі про атаку, яку APT44 ще не здійснив.
Попри те, що більшість атак і витоків інформації, яку Mandiant приписує ГРУ, зосереджена на українських організаціях, CyberArmyofRussia_Reborn також заявила про атаки на водопровідні підприємства в США та Польщі й гідроелектростанцію у Франції.
В обох випадках хактивісти публікували відео та скриншоти, що демонструють контроль над оперативними технологічними активами.
Mandiant зазначає, що хоча він не може підтвердити ці вторгнення, офіційні особи відповідних комунальних підприємств США підтвердили інциденти та збої в організаціях, які, як стверджувала CyberArmyofRussia_Reborn, зламали.
Канал «Солнцепек» зливав особисту інформацію українських військових і співробітників служби безпеки перед ребрендингом у хакерську групу у 2023 році, коли він почав брати на себе відповідальність за руйнівні кібератаки APT44.
Війна в Україні зробила Sandworm сумно відомою тим, що вона здійснювала багатогранні атаки, спрямовані на завдання шкоди критичній інфраструктурі та послугам країни, включаючи державні мережі, телекомунікаційних провайдерів, засоби масової інформації й енергосистему.
Протягом цього періоду російські хакери використовували низку зловмисних програм для стирання даних без можливості їх подальшого відновлення.
Mandiant попереджає, що, виходячи з моделей діяльності APT44, існує дуже висока ймовірність того, що група спробує втрутитися у майбутні вибори та інші важливі політичні події в різних країнах. Однак дослідники вважають, що Україна й надалі залишатиметься головним фокусом загрози російських хакерів.
Раніше ProIT повідомляв, що хакери, які працюють на Генштаб рф, атакували українських військових за допомогою нової шкідливої програми для Android.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!