O grupo de hacking Sandworm, associado à inteligência militar russa, tem escondido ataques e operações por trás de várias personas online, posando como grupos hacktivistas.
Segundo a Mandiant, o ator de ameaça está ligado a pelo menos três canais do Telegram que foram usados para amplificar a atividade do grupo, criando narrativas em favor da Rússia.
Sandworm - também conhecido como BlackEnergy, Seashell Blizzard, Voodoo Bear, está ativo desde pelo menos 2009, com vários governos atribuindo suas operações à Unidade 74455, o Centro Principal de Tecnologias Especiais (GTsST) dentro da Diretoria Principal do Estado-Maior das Forças Armadas da Federação Russa (GU), mais conhecida como Diretoria Principal de Inteligência (GRU).
O adversário é altamente adaptável e conta tanto com métodos iniciais de acesso comuns, como phishing e colheita de credenciais, bem como explorando vulnerabilidades conhecidas e comprometimento de cadeia de suprimento.
A Mandiant começou a rastrear o grupo como APT44 e observa que ele "estabeleceu-se como a principal unidade de sabotagem cibernética da Rússia".
Desde que a Rússia invadiu a Ucrânia há pouco mais de dois anos, Sandworm começou a usar personas online para vazamentos de dados e operações disruptivas.
Em um relatório, a Mandiant diz que Sandworm contou com três principais canais do Telegram com marca hacktivista chamados XakNet Team, CyberArmyofRussia_Reborn e Solntsepek, todos operando em paralelo e independentemente um do outro.
Não está claro quanto controle o ator de ameaça tinha sobre essas identidades, mas o Grupo de Análise de Ameaças do Google encontrou no caso de CyberArmyofRussia_Reborn a relação operacional mais próxima.
O TAG do Google descobriu que o canal do YouTube do grupo aparentemente hacktivista havia sido criado a partir de infraestrutura atribuída ao Sandworm/APT44.
Além disso, "a Mandiant observou infraestrutura conhecida de APT44 usada para exfiltrar dados de vítimas posteriormente vazadas no canal do Telegram CyberArmyofRussia_Reborn, bem como egresso para o Telegram em proximidade temporal próxima às alegações postadas pela persona."
Em um ponto, um erro por parte do APT44 resultou em CyberArmyofRussia_Reborn reivindicando em seu canal um ataque que APT44 ainda não havia executado.
Embora a maioria da atividade de ataque e vazamento que a Mandiant atribuiu ao GRU e envolveu personas do Telegram se concentrasse em entidades ucranianas, CyberArmyofRussia_Reborn reivindicou ataques a utilitários de água nos EUA e na Polônia e a uma instalação hidroelétrica na França.
Nos dois casos, os "hacktivistas" publicaram vídeos e capturas de tela mostrando controle dos ativos de tecnologia operacional.
A Mandiant observa que, embora não possa verificar essas intrusões, oficiais das utilidades impactadas nos EUA confirmaram incidentes e malfuncionamentos em organizações que CyberArmyofRussia_Reborn alegou ter violado.
O canal Solntsepek vazou informações pessoalmente identificáveis de militares e pessoal de segurança ucranianos antes de uma rebrandagem para "grupo hacker" em 2023, quando começou a assumir o crédito pelos ataques cibernéticos disruptivos de APT44.
"Além de uma tentativa grosseira de maximizar seu impacto operacional, avaliamos que essas operações de informação subsequentes são provavelmente destinadas pelo APT44 a servir múltiplos objetivos de guerra", explica a Mandiant no relatório.
A guerra na Ucrânia tornou o Sandworm notório por lançar ataques multifacetados visando causar danos à infraestrutura crítica do país e serviços, incluindo redes estaduais, provedores de telecomunicações, mídia e a rede elétrica.
Durante esse período, os hackers russos empregaram uma série de malware wiper para apagar dados além da recuperação.
Parece que o Sandworm mudou o foco, mesmo que temporariamente, de ataques de sabotagem na Ucrânia para operações focadas em espionagem e influência para modificar as percepções domésticas e estrangeiras sobre o poder dos hacktivistas russos e as capacidades cibernéticas do GRU.
O relatório da Mandiant elabora sobre o uso de APT44 de um rico conjunto de malware, campanhas de phishing e exploração de vulnerabilidades para acesso inicial e operações sustentadas dentro das redes visadas, oferecendo vários estudos de caso específicos.
APT44 continua a visar sistemas eleitorais em países da OTAN, usando operações cibernéticas que envolvem vazamento de informações sensíveis e implantação de malware para influenciar resultados eleitorais.
O grupo aumentou seu foco na coleta de inteligência para apoiar vantagens militares russas, incluindo a extração de dados de dispositivos móveis capturados em campos de batalha.
APT44 realiza roubo generalizado de credenciais visando servidores de correio globais, visando manter acesso a redes de alto valor para atividades maliciosas adicionais.
O grupo visa jornalistas e organizações como a Bellingcat que investigam atividades do governo russo usando mensagens de phishing.
Desde o início do ano, APT44 realizou operações cibernéticas para expressar descontentamento político ou retaliar contra agravos, implantando malware disruptivo contra infraestrutura crítica em países da OTAN.
As atividades de APT44 permanecem concentradas na Ucrânia, com operações em andamento para perturbar e coletar inteligência, apoiando objetivos militares e políticos russos na região.
A Mandiant alerta que, com base nos padrões de atividade de APT44, há uma chance muito alta de que o grupo tentará interferir nas próximas eleições nacionais e outros eventos políticos significativos em vários países, incluindo os EUA.
No entanto, os pesquisadores acreditam que a Ucrânia continuará a ser o foco principal do ator de ameaça enquanto a guerra continuar.
Ao mesmo tempo, Sandworm é versátil o suficiente para executar operações para objetivos estratégicos em nível global.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...