|
}}
'''Sandworm''' è il gruppo di hackerinformatici delegato all'avanzamento e loallo sviluppo di minacce a [[infrastrutture critiche]] estere amministratopresso dalll'[[Unità militari|Unità militare]] russa '''74455''', un'unità di guerra informatica del [[Glavnoe razvedyvatel'noe upravlenie|GRU]], il servizio di intelligence militare russo<ref>{{Cita libro|nome=Andy|cognome=Greenberg|titolo=Sandworm : a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers|url=https://www.worldcat.org/oclc/1049787879|accesso=2023-04-03|edizione=First edition|data=2019|OCLC=1049787879|ISBN=978-0-385-54440-5}}</ref>. Altri nomi del gruppo, dati dagli investigatori di cybersicurezza, sono Telebots, Voodoo Bear e Iron Viking<ref name=":0">{{Cita web|url=https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and|titolo=Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace|sito=www.justice.gov|data=2020-10-19|lingua=en|accesso=2023-04-03}}</ref>.
== Attacchi informatici ==
Il gruppo è ritenuto essere responsabile, tra l'altro, dell'attacco informatico alla rete elettrica ucraina del dicembre 2015<ref>{{Cita news|url=https://www.ft.com/content/0cfffe1e-b3cd-11e5-8358-9a82b43f6b2f|titolo=Hackers shut down Ukraine power grid|pubblicazione=Financial Times|data=2016-01-05|accesso=2023-04-03}}</ref><ref>{{Cita web|url=https://www.cybersecitalia.it/russia-sandworm-attacca-una-centrale-elettrica-in-ucraina/18277/|titolo=Russia, Sandworm attacca una centrale elettrica in Ucraina|autore=Redazione|sito=CyberSecurity Italia|data=2022-04-13|lingua=it-IT|accesso=2023-04-03}}</ref>, degli attacchi informatici all'Ucraina del 2017 con il malware [[NotPetya]], di varie interferenze nelle [[wikidata:Q7020999|elezioni presidenziali francesi del 2017]]<ref name=":0" /> e dell'attacco informatico alla cerimonia di apertura delle [[XXIII Giochi olimpici invernali|Olimpiadi invernali del 2018]]. Il procuratore dell'epoca per il distretto occidentale della [[Pennsylvania]] Scott Brady ha definito la campagna informatica del gruppo come "l'attacco informatico più distruttivo e costoso della storia"<ref name=":0" />.
Nel febbraio 2022, Sandworm avrebbe rilasciato il malware [[Cyclops Blink]]. TaleEsso malwareè presentaun caratteristicheframework similisostitutivo aper il malware VPNFilter<ref>{{Cita web|url=https://www.theregister.com/2022/03/18/cyclops_asus_routers/|titolo=Cyclops Blink malware sets up shop in ASUS routers|autore=Jessica Lyons Hardcastle|sito=www.theregister.com|lingua=en|accesso=2023-04-03}}</ref> esposto nel 2018, che glisfruttava consentonoi [[Dispositivo di crearerete|dispositivi unadi [[botnetrete]], prendendoprincipalmente dirouter miraSOHO router(Small prodottiOffice/Home daOffice) e [[AsusNetwork Attached Storage|dispositivi NAS]],. Il malware ha come funzionalità principale quella di trasmettere informazioni sul terminale ([[WatchGuard]https://attack.mitre.org/techniques/T1132/002/ T1132.002]) Fireboxa un server e dispositividi [[XTM]]consentire il download e l'esecuzione di file. Esiste anche la possibilità di aggiungere nuovi moduli durante l'esecuzione del malware, il che consentirebbe a Sandworm di implementare ulteriori funzionalità in base alle esigenze.<ref>{{Cita web|url=https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter|titolo=New Sandworm malware Cyclops Blink replaces VPNFilter|sito=www.ncsc.gov.uk|lingua=en|accesso=2023-04-06}}</ref><ref>{{Cita web|url=https://www.ncsc.gov.uk/files/Cyclops-Blink-Malware-Analysis-Report.pdf|titolo=Cyclops Blink - Malware Analysis Report|autore=National Cyber Security Centre|data=23 febbraio 2022|lingua=en|formato=PDF}}</ref> Il 23 febbraio 2022 il [[Cybersecurity and Infrastructure Security Agency|CISA]] ha emesso un avviso su questo malware<ref>{{Cita web|url=https://www.cisa.gov/news-events/alerts/2022/04/11/cisa-adds-eight-known-exploited-vulnerabilities-catalog|titolo=CISA Adds Eight Known Exploited Vulnerabilities to Catalog {{!}} CISA|sito=www.cisa.gov|lingua=en|accesso=2023-04-03}}</ref> su questo malware con Alert [https://www.cisa.gov/sites/default/files/publications/AA22-054A%20New%20Sandworm%20Malware%20Cyclops%20Blink%20Replaces%20VPN%20Filter.pdf AA22-054A].
Nell'Il 4 aprile 2022, Sandwormil ha[[Computer tentatoEmergency perResponse laTeam]] terzaucraino volta(CERT-UA) une l'azienda slovacca di cybersicurezza [[Black outEset|blackoutESET]] emisero avvisi che il gruppo Sandworm prese di mira le sottostazioni elettriche ad alta tensione in Ucraina utilizzando una variante di un malware noto come [[Industroyer]] o Crash Override.<ref>{{Cita news|lingua=en-US|nome=Andy|cognome=Greenberg|url=https://www.wired.com/story/sandworm-russia-ukraine-blackout-gru/|titolo=Russia's Sandworm Hackers Attempted a Third Blackout in Ukraine|pubblicazione=Wired|accesso=2023-04-03}}</ref> Il nuovo malware, denominato '''Industroyer2''', può interagire direttamente con le apparecchiature delle aziende elettriche per inviare comandi ai dispositivi delle sottostazioni che controllano il flusso di energia. ÈA differenza della prima variante, Industroyer2 implementa solo il primoprotocollo attacco[https://www.scienceopen.com/collection/BCS_proceedings inIEC cinque60870-5-104] anniper acomunicare utilizzarecon unale varianteapparecchiature delindustriali. malwareQuesto include i [[relè]] di protezione, utilizzati nelle sottostazioni elettriche. Si tratta di un leggero cambiamento rispetto alla variante Industroyer del 2016, chiamatauna Industroyer2piattaforma completamente modulare con payload per più protocolli ICS.<ref>{{Cita web|url=https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/|titolo=Industroyer2: Industroyer reloaded|sito=WeLiveSecurity|data=2022-04-12|lingua=en-US|accesso=2023-04-0306}}</ref>.
Il 25 gennaio 2023, ESET ha assegnatoindividuato aun Sandwormwiper unascritto vulnerabilitàin [[Go (linguaggio di tipoprogrammazione)|Go]] wiperchiamato perSwiftSlicer, limmediatamente attribuito al gruppo hacker Sandworm. È stato distribuito tramite [[Group Policy]], lasciando intendere che gli aggressori abbiano preso il controllo dell'ambiente [[Active Directory]] sviluppatodelle evittime gestito sucon [[Windows Server|Microsoft Windows Server]] installato.<ref>{{Cita web|url=https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-russian-apt-groups-including-sandworm-continue-their-attacks-against-ukraine-with-wipe/|titolo=ESET Research: Russian APT groups, including Sandworm, continue their attacks against Ukraine with wipers and ransomware|sito=ESET|lingua=en|accesso=2023-04-03}}</ref> Con esso, Sandworm ha ottenuto i permessi di rimozione delle copie shadow e successivamente scrittura di file critici utilizzando blocchi di 4096 [[byte]] generati in modo casuale nella directory di sistema di Windows. In base alla destinazione specifica della cartella '''%CSIDL_SYSTEM_DRIVE%\Windows\NTDS''', il wiper è in grado di mirare a interi domini Windows. Dopo aver distribuito i dati, il malware riavvia i sistemi, applicando le modifiche.<ref>{{Cita web|url=https://www.tomshw.it/hardware/swiftslicer-e-un-nuovo-malware-che-distrugge-i-domini-windows/|titolo=SwiftSlicer è un nuovo malware che distrugge i domini Windows|sito=Tom's Hardware|lingua=it-IT|accesso=2023-04-06}}</ref>
== Relazione con la giustizia internazionale ==
|
