Sandworm (gruppo di hacker): differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 22:05, 14 apr 2023 modifica Pwinger (discussione \| contributi) 182 modifiche Modifiche nell'ortografia generale della pagina Etichetta: Modifica visuale ← Differenza precedente		Versione attuale delle 18:10, 5 mag 2025 modifica annulla Eumolpo (discussione \| contributi) Utenti autoverificati 477 219 modifiche ortografia
(16 versioni intermedie di 7 utenti non mostrate)
Riga 1: ~~{{Richiesta revisione bozza\|ts=20230412121618\|esito=Abuso dei grassetti, errori di ortografia, collegamenti esterni nel corpo del testo\|utente=Superspritz}}~~ {{Richiesta revisione bozza\|ts=20230403194004\|esito=il testo presenta ancora errori nell'uso dell'Italiano, inoltre il testo deve affermare con certezza ciò che sostiene, allo stato attuale è un grosso [[wp:recentismo]] giornalistico \|utente=Luix710}} ~~{{Bozza\|arg=guerra\|arg2=\|ts=20230403192809}}<!-- IMPORTANTE: NON CANCELLARE QUESTA RIGA, SCRIVERE SOTTO -->~~ {{Organizzazione \|Nome = Sandworm Line 13 ⟶ 10: \|Lingua = [[Lingua russa\|russo]] }} L{{'}}''~~Sandworm~~'unità militare 74455''' èdel unservizio ~~gruppo~~informazioni die ~~hacker~~intelligence ~~inserito nella categoria delle~~russo [[~~Advanced~~Glavnoe ~~Persistent~~razvedyvatel'noe ~~Threat~~upravlenie\|GRU]] ~~(in italiano~~, ~~''minaccia~~più ~~avanzata~~comunemente econosciuta ~~persistente'')~~con ~~operato~~lo ~~dall'[[Numero~~pseudonimo di ~~unità militare\|unità militare]]~~ '''~~74455~~Sandworm,''', rappresenta un~~'unita~~ dacollettivo di [[~~guerra cibernetica~~hacker]] ~~del~~noto ~~servizio~~per ~~informazioni~~lo ~~russo~~svolgimento ~~[[Glavnoe~~di ~~razvedyvatel'noe~~diversi ~~upravlenie\|GRU]]~~attacchi ~~delegato~~su ~~allo~~scala ~~sviluppo~~globale, diclassificati ~~attacchi a~~come [[~~infrastrutture~~Advanced ~~critiche~~Persistent Threat]].<ref>{{Cita libro\|nome=Andy\|cognome=Greenberg\|titolo=Sandworm : a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers\|url=https://www.worldcat.org/oclc/1049787879\|accesso=2023-04-03\|edizione=First edition\|data=2019\|OCLC=1049787879\|ISBN=978-0-385-54440-5}}</ref> Il nome “Sandworm” è stato attribuito dai ricercatori di iSight Partners (ora Mandiant) per via dei riferimenti al romanzo [[Dune (romanzo)\|Dune]] di [[Frank Herbert]] presenti negli URL dei [[server]] di comando e controllo degli aggressori.<ref>{{Cita news\|lingua=en-US\|nome=Kim\|cognome=Zetter\|url=https://www.wired.com/2014/10/russian-sandworm-hack-isight/\|titolo=Russian 'Sandworm' Hack Has Been Spying on Foreign Governments for Years\|pubblicazione=Wired\|accesso=2024-08-27}}</ref> Altri nomi del gruppo dati da diversi investigatori di [[cybersicurezza]] sono Telebots, Voodoo Bear e Iron Viking.<ref name=":0">{{Cita web\|url=https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and\|titolo=Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace\|sito=www.justice.gov\|data=2020-10-19\|lingua=en\|accesso=2023-04-03}}</ref> == Attacchi informatici noti == Il gruppo è ritenuto responsabile dell'attacco informatico alla rete elettrica ucraina del dicembre 2015<ref>{{Cita news\|url=https://www.ft.com/content/0cfffe1e-b3cd-11e5-8358-9a82b43f6b2f\|titolo=Hackers shut down Ukraine power grid\|pubblicazione=Financial Times\|data=2016-01-05\|accesso=2023-04-03}}</ref><ref>{{Cita web\|url=https://www.cybersecitalia.it/russia-sandworm-attacca-una-centrale-elettrica-in-ucraina/18277/\|titolo=Russia, Sandworm attacca una centrale elettrica in Ucraina\|autore=Redazione\|sito=CyberSecurity Italia\|data=2022-04-13\|lingua=it-IT\|accesso=2023-04-03}}</ref>, degli attacchi informatici all'Ucraina del 2017 con il [[malware]] NotPetya, di varie interferenze nelle [[wikidata:Q7020999\|elezioni presidenziali francesi del 2017]]<ref name=":0" /> e dell'attacco informatico alla cerimonia di apertura delle [[XXIII Giochi olimpici invernali\|Olimpiadi invernali del 2018]], oltre all'attacco informatico contro le indagini dell'[[Organizzazione per la proibizione delle armi chimiche\|OPCW]] sull'avvelenamento da [[Novičok]].<ref>{{Cita web\|url=https://www.zdnet.com/article/us-charges-russian-hackers-behind-notpetya-killdisk-olympicdestroyer-attacks/\|titolo=US charges Russian hackers behind NotPetya, KillDisk, OlympicDestroyer attacks\|sito=ZDNET\|lingua=en}}</ref> === Cyclops Blink === Nel febbraio 2022, Sandworm ~~rilasciò~~diffuse il malware Cyclops Blink. Esso è un ~~framework~~[[Fork ~~sostitutivo~~(sviluppo ~~per~~software)\|fork]] ildel malware VPNFilter<ref>{{Cita web\|url=https://www.theregister.com/2022/03/18/cyclops_asus_routers/\|titolo=Cyclops Blink malware sets up shop in ASUS routers\|autore=Jessica Lyons Hardcastle\|sito=www.theregister.com\|lingua=en\|accesso=2023-04-03}}</ref> precedentemente {{chiarire\|esposto}} nel 2018, e che sfruttava i [[Dispositivo di rete\|dispositivi di rete]], principalmente router SOHO (''Small Office/Home Office'') e [[Network Attached Storage\|dispositivi NAS]]. IlCyclops ~~malware~~Blink ha come funzionalità principali la trasmissione di informazioni sul terminale a un server e il successivo download ed esecuzione di file in remoto<ref>{{Cita web\|url=https://attack.mitre.org/techniques/T1132/002/\|titolo=Data Encoding: Non-Standard Encoding, Sub-technique T1132.002 - Enterprise {{!}} MITRE ATT&CK®\|sito=attack.mitre.org\|accesso=2023-04-14}}</ref>. Secondo gli investigatori, esisterebbe anche la possibilità di aggiungere nuovi moduli durante l'esecuzione del malware, condizione che ~~avrebbe~~potrebbe ~~consentito~~consentire a Sandworm di implementare ulteriori funzionalità in base alle esigenze.<ref>{{Cita web\|url=https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter\|titolo=New Sandworm malware Cyclops Blink replaces VPNFilter\|sito=www.ncsc.gov.uk\|lingua=en\|accesso=2023-04-06}}</ref><ref>{{Cita web\|url=https://www.ncsc.gov.uk/files/Cyclops-Blink-Malware-Analysis-Report.pdf\|titolo=Cyclops Blink - Malware Analysis Report\|autore=National Cyber Security Centre\|data=23 febbraio 2022\|lingua=en\|formato=PDF}}</ref> Il 23 febbraio 2022 il [[Cybersecurity and Infrastructure Security Agency\|CISA]] emise l'avviso ''AA22-054A'' su questo malware.<ref>{{Cita web\|url=https://www.cisa.gov/news-events/alerts/2022/04/11/cisa-adds-eight-known-exploited-vulnerabilities-catalog\|titolo=CISA Adds Eight Known Exploited Vulnerabilities to Catalog {{!}} CISA\|sito=www.cisa.gov\|lingua=en\|accesso=2023-04-03}}</ref><ref>{{Cita web\|url=https://www.cisa.gov/sites/default/files/publications/AA22-054A%20New%20Sandworm%20Malware%20Cyclops%20Blink%20Replaces%20VPN%20Filter.pdf\|titolo=AA22-054A New Sandworm Malware Cyclops Blink Replaces VPN Filter\|autore=National Cyber Security Center\|autore2=Cybersecurity Infrastructure Security Agency\|autore3=Federal Bureau of Investigation\|autore4=National Security Agency\|data=23 febbraio 2022\|lingua=en\|formato=PDF}}</ref> === Industroyer2 === Il 4 aprile 2022, il [[Computer Emergency Response Team]] ucraino (CERT-UA) e l'azienda slovacca di cybersicurezza [[Eset\|ESET]] emisero avvisi in cui descrivevano come il gruppo Sandworm fosse riuscito a prendere di mira le sottostazioni elettriche ad alta tensione in Ucraina utilizzando una variante di un malware noto come Industroyer o Crash Override.<ref>{{Cita news\|lingua=en-US\|nome=Andy\|cognome=Greenberg\|url=https://www.wired.com/story/sandworm-russia-ukraine-blackout-gru/\|titolo=Russia's Sandworm Hackers Attempted a Third Blackout in Ukraine\|pubblicazione=Wired\|accesso=2023-04-03}}</ref> Il nuovo malware, denominato Industroyer2, può interagire direttamente con le apparecchiature delle aziende elettriche per inviare comandi ai dispositivi delle sottostazioni che controllano il flusso di energia. A differenza della prima variante, Industroyer2 implementa solo il protocollo ''IEC 60870-5-104''<ref>{{Cita web\|url=https://www.scienceopen.com/collection/f9a30221-4fef-4d53-bc0a-e5f0327d4090\|titolo=Electronic Workshops in Computing (eWiC)\|sito=ScienceOpen\|accesso=2023-04-14}}</ref> per comunicare con le apparecchiature industriali., ~~Queste~~che includono i [[relè]] di protezione utilizzati nelle sottostazioni elettriche. Si tratta quindi di un leggero cambiamento rispetto alla variante Industroyer del 2016, una piattaforma completamente modulare con payload per più protocolli ICS.<ref>{{Cita web\|url=https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/\|titolo=Industroyer2: Industroyer reloaded\|sito=WeLiveSecurity\|data=2022-04-12\|lingua=en-US\|accesso=2023-04-06}}</ref> === SwiftSlicer === Il 25 gennaio 2023, l'azienda slovacca di cybersicurezza ESET individuò un wiper scritto in [[Go (linguaggio di programmazione)\|Go]] chiamato SwiftSlicer, immediatamente attribuito al gruppo hacker Sandworm. Esso venne distribuito tramite [[Group Policy]], lasciando intendere che gli aggressori ~~presero~~avessero preso il controllo dell'ambiente [[Active Directory]] delle vittime con un client [[Microsoft Windows]] installato.<ref>{{Cita web\|url=https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-russian-apt-groups-including-sandworm-continue-their-attacks-against-ukraine-with-wipe/\|titolo=ESET Research: Russian APT groups, including Sandworm, continue their attacks against Ukraine with wipers and ransomware\|sito=ESET\|lingua=en\|accesso=2023-04-03}}</ref> Con esso, Sandworm ottenne i permessi di rimozione delle copie shadow, e successivamente quelli di scrittura sui file critici utilizzando blocchi di 4096 [[byte]] generati in modo casuale nella ~~directory~~cartella di sistema di Windows. In base alla destinazione specifica della cartella ''<code>%CSIDL_SYSTEM_DRIVE%\Windows\NTDS</code>'', il wiper è quindi in grado di mirare a interi domini Windows, se questi non sono correttamente protetti. Dopo aver distribuito i dati, il malware ~~eseguiva~~esegue un riavvio forzato dei sistemi, applicando le modifiche.<ref>{{Cita web\|url=https://www.tomshw.it/hardware/swiftslicer-e-un-nuovo-malware-che-distrugge-i-domini-windows/\|titolo=SwiftSlicer è un nuovo malware che distrugge i domini Windows\|sito=Tom's Hardware\|lingua=it-IT\|accesso=2023-04-06}}</ref> == Supporto all'invasione russa dell'Ucraina del 2022 == A seguito dell'inizio dell'[[Invasione russa dell'Ucraina del 2022\|invasione russa dell'Ucraina nel 2022]], il gruppo Sandworm, ora identificato da Mandiant come '''APT-44''', è considerato uno dei principali attori informatici sostenuti dal [[Governo della Federazione Russa\|governo russo]], con un ruolo chiave nel supportare la campagna militare della Russia.<ref>{{Cita web\|url=https://www.infosecurity-magazine.com/news/russian-sandworm-20-ukrainian/\|titolo=Russian Sandworm Group Hit 20 Ukrainian Energy and Water Sites\|autore=Phil Muncaster\|sito=Infosecurity Magazine\|data=2024-04-23\|lingua=en-gb\|accesso=2024-08-27}}</ref> Secondo un report congiunto di [[Google (azienda)\|Google]] TAG, [[Microsoft]], Mandiant ed [[Eset\|ESET]], Sandworm ha condotto un ampio sforzo su più fronti per favorire le [[Forze armate della Federazione Russa\|forze armate russe]] nelle sue operazioni informatiche, con un'attenzione particolare agli obiettivi di rilevanza militare e alla raccolta di informazioni di [[intelligence]].<ref>{{Cita pubblicazione\|autore=Gabby Roncone, Dan Black, John Wolfram, Tyler McLellan, Nick Simonian, Ryan Hall, Anton Prokopenkov, Dan Perez, Lexie Aytes, Alden Wahlstrom\|titolo=APT44: Unearthing Sandworm\|lingua=inglese\|url=https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdf\|formato=pdf}}</ref> Con il protrarsi del conflitto, l'attenzione del gruppo si è progressivamente spostata dalla distruzione di infrastrutture all'intelligence. A partire dal secondo anno di guerra, gli obiettivi e i metodi di Sandworm sono cambiati in modo significativo, con un'enfasi crescente sulle attività di [[spionaggio]] volte a fornire un vantaggio sul campo di battaglia alle forze convenzionali russe. Un esempio di queste attività è una campagna di lunga durata che ha supportato le forze russe avanzate nell'[[Estrazione (militare)\|esfiltrazione]] delle comunicazioni da dispositivi mobili catturati, al fine di raccogliere ed elaborare dati di puntamento rilevanti.<ref>{{Cita web\|url=https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm\|titolo=Unearthing APT44: Russia’s Notorious Cyber Sabotage Unit Sandworm\|sito=Google Cloud Blog\|lingua=en-US\|accesso=2024-08-27}}</ref> == Relazione con la giustizia internazionale == Il 1915 ottobre 2020, un [[gran giurì]] ~~con~~di ~~sede negli~~[[Pittsburgh]] (Stati Uniti) ~~accusò~~emise ~~sei~~un ~~presunti~~atto d'accusa per sei ufficiali dell'Unità 74455 dicon ~~[[Crimine~~diversi ~~informatico\|crimini~~capi ~~informatici]]~~di imputazione.<ref>{{Cita web\|url=https://www.zdnet.com/article/us-charges-russian-hackers-behind-notpetya-killdisk-olympicdestroyer-attacks/\|titolo=US charges Russian hackers behind NotPetya, KillDisk, OlympicDestroyer attacks\|sito=ZDNET\|lingua=en\|accesso=2023-04-03}}</ref><ref>{{Cita news\|lingua=en-GB\|nome=Julian\|cognome=Borger\|url=https://www.theguardian.com/technology/2020/oct/19/russian-hackers-cyber-attack-spree-tactics\|titolo=Russian cyber-attack spree shows what unrestrained internet warfare looks like\|pubblicazione=The Guardian\|data=2020-10-19\|accesso=2023-04-03}}</ref>. Gli ufficiali, Yuriy Sergeyevich Andrienko, Sergey Vladimirovich Detistov, Pavel Valeryevich Frolov, Anatoliy Sergeyevich Kovalev, Artem Valeryevich Ochichenko e Petr Nikolayevich Pliskin,<ref>{{Cita pubblicazione\|autore=Dipartimento della giustizia degli Stati Uniti d'America\|wkautore=Dipartimento della giustizia degli Stati Uniti d'America\|titolo=Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace: Exhibit A\|url=https://www.justice.gov/opa/press-release/file/1328541/download}}</ref> vennero accusati di [[associazione per delinquere]], ~~finalizzata alla frode e~~[[pirateria ~~all'abuso informatico~~informatica]], [[Frode informatica\|frode telematica]], [[~~Danneggiamento~~furto ~~informatico\|danneggiamento di computer protetti~~d'identità]] aggravato e ~~[[Furto~~falsa ~~d'identità\|furto~~registrazione di ~~identità]]~~nomi ~~aggravato~~di dominio.<ref>{{Cita web\|url=https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and\|titolo=Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace\|sito=www.justice.gov\|data=2020-10-19\|lingua=en\|accesso=2023-04-16}}</ref><ref>{{Cita news\|lingua=en-US\|nome=Andy\|cognome=Greenberg\|url=https://www.wired.com/story/us-indicts-sandworm-hackers-russia-cyberwar-unit/\|titolo=US Indicts Sandworm, Russia's Most Destructive Cyberwar Unit\|pubblicazione=Wired\|accesso=2023-04-03}}</ref>. L'allora procuratore generale per il distretto occidentale della [[Pennsylvania]], Scott Brady, definì la campagna informatica del gruppo come "l'attacco informatico più distruttivo e costoso della storia".<ref name=":0" /> ~~Cinque~~Tutti ~~dei~~gli imputati vennero ~~accusati~~dichiarati colpevoli di aver ~~chiaramente~~ sviluppato a vario titolo strumenti di ''hacking'' a larga scala. Ochichenko, ~~invece,~~venne ~~venne~~inoltre processato per aver partecipato ad attacchi di ''spear [[~~spearphishing~~phishing]]'' contro le Olimpiadi invernali del 2018, die per aver {{chiarire\|condotto una sorveglianza tecnica}} e aver tentato di violare il dominio ufficiale del [[Parlamento della Georgia]]<ref name=":0" />. A fine marzo 2022, gli avvocati per i diritti umani della [[~~Università della California - Berkeley\|~~UC Berkeley]] School of Law]] inviarono una richiesta formale al Procuratore della [[Corte internazionale di giustizia]] dell'Aia,<ref name=":1">{{Cita news\|lingua=en-US\|nome=Andy\|cognome=Greenberg\|url=https://www.wired.com/story/cyber-war-crimes-sandworm-russia-ukraine/\|titolo=The Case for War Crimes Charges Against Russia’s Sandworm Hackers\|pubblicazione=Wired\|accesso=2023-04-03}}</ref>. ~~Essi~~chiedendogli ~~sollecitarono~~di laincriminare ~~corte~~gli ~~nel~~hacker ~~considerare~~russi ~~le accuse di~~per [[Crimine di guerra\|crimini di guerra]] ~~contro gli hacker russi~~ per gli attacchi informatici contro l'Ucraina. Il gruppo Sandworm venne espressamente citato in relazione agli attacchi del dicembre 2015 alle società elettriche dell'Ucraina occidentale e agli attacchi del 2016 alle infrastrutture di Kiev<ref name=":1" />. Il ~~giorno~~ 30 marzo 2023 venne pubblicata una inchiesta giornalistica condotta da diversi quotidiani internazionali che divulgò il contenuto di un insieme di file secretati denominati [[Vulkan Files]] che collegherebbero l'azienda russa di [[cybersecurity]] NTC Vulkan con il gruppo Sandworm, e quindi con la GRU.<ref>{{Cita web\|url=https://www.washingtonpost.com/national-security/2023/03/30/russian-cyberwarfare-documents-vulkan-files/\|titolo=Secret trove offers rare look into Russian cyberwar ambitions\|sito=Washington Post\|data=2023-03-30\|lingua=en\|accesso=2023-04-03}}</ref> == Note == Line 43 ⟶ 46: * [[Vulkan Files]] {{Controllo di autorità}} {{portale\|guerra\|informatica\|internet}} ~~{{Categorie bozza\|~~ [[Categoria:Guerra cibernetica]] [[Categoria:Hacker]] [[Categoria:~~Russia~~Servizi segreti russi]] [[Categoria:Invasione russa dell'Ucraina del 2022]] }}