Wikipedia

Sandworm (gruppo di hacker)

gruppo di hacker russi
Versione del 15 apr 2023 alle 00:19 di Pwinger (discussione | contributi) (modificata la sintassi generale)
Questa pagina è la bozza di una voce (per i revisori: criteripubblica).
Ne è stata richiesta la pubblicazione, ma non è stata ancora considerata accettabile.
Correggi la voce secondo le indicazioni fornite prima di riproporla per la pubblicazione. La versione attuale è già stata revisionata e non può essere riproposta prima di ulteriori modifiche.
12 aprile 2023
Abuso dei grassetti, errori di ortografia, collegamenti esterni nel corpo del testo --Utente:Superspritz
Nota bene Attenzione: la pagina risulta già pubblicata e questo avviso sarà presto rimosso.

Sandworm è un gruppo di hacker inserito nella categoria delle Advanced Persistent Threat (in italiano, minaccia avanzata e persistente) operato dall'unità militare russa 74455. Esso è specializzato nel contesto della guerra cibernetica per il servizio informazioni e intelligence GRU ed è delegato allo sviluppo di attacchi a infrastrutture critiche estere.[1]

Sandworm
Unità Militare 74455
TipoAdvanced Persistent Threat
Affiliazione internazionaleGlavnoe razvedyvatel'noe upravlenie
Fondazione2004-2007
ScopoSpionaggio, Guerra cibernetica
Sede centraleRussia (bandiera) Khimki
Lingua ufficialerusso

Altri nomi del gruppo dati da diversi investigatori di cybersicurezza sono Telebots, Voodoo Bear e Iron Viking.[2]

Attacchi informatici noti

Il gruppo è ritenuto responsabile dell'attacco informatico alla rete elettrica ucraina del dicembre 2015[3][4], degli attacchi informatici all'Ucraina del 2017 con il malware NotPetya, di varie interferenze nelle elezioni presidenziali francesi del 2017[2] e dell'attacco informatico alla cerimonia di apertura delle Olimpiadi invernali del 2018, oltre all'attacco informatico contro le indagini dell'OPCW sull'avvelenamento da Novičok.[5]

Nel febbraio 2022, Sandworm rilasciò il malware Cyclops Blink. Esso è un framework sostitutivo per il malware VPNFilter[6] precedentemente esposto nel 2018, e che sfruttava i dispositivi di rete, principalmente router SOHO (Small Office/Home Office) e dispositivi NAS. Il malware ha come funzionalità principali la trasmissione di informazioni sul terminale a un server e il successivo download ed esecuzione di file in remoto[7]. Secondo gli investigatori, esisterebbe anche la possibilità di aggiungere nuovi moduli durante l'esecuzione del malware, condizione che avrebbe consentito a Sandworm di implementare ulteriori funzionalità in base alle esigenze.[8][9] Il 23 febbraio 2022 il CISA emise l'avviso AA22-054A su questo malware.[10][11]

Industroyer2

Il 4 aprile 2022, il Computer Emergency Response Team ucraino (CERT-UA) e l'azienda slovacca di cybersicurezza ESET emisero avvisi in cui descrivevano come il gruppo Sandworm fosse riuscito a prendere di mira le sottostazioni elettriche ad alta tensione in Ucraina utilizzando una variante di un malware noto come Industroyer o Crash Override.[12] Il nuovo malware, denominato Industroyer2, può interagire direttamente con le apparecchiature delle aziende elettriche per inviare comandi ai dispositivi delle sottostazioni che controllano il flusso di energia. A differenza della prima variante, Industroyer2 implementa solo il protocollo IEC 60870-5-104[13] per comunicare con le apparecchiature industriali. Queste includono i relè di protezione utilizzati nelle sottostazioni elettriche. Si tratta di un leggero cambiamento rispetto alla variante Industroyer del 2016, una piattaforma completamente modulare con payload per più protocolli ICS.[14]

SwiftSlicer

Il 25 gennaio, l'azienda slovacca di cybersicurezza ESET individuò un wiper scritto in Go chiamato SwiftSlicer, immediatamente attribuito al gruppo hacker Sandworm. Esso venne distribuito tramite Group Policy, lasciando intendere che gli aggressori presero il controllo dell'ambiente Active Directory delle vittime con Microsoft Windows installato.[15] Con esso, Sandworm ottenne i permessi di rimozione delle copie shadow e successivamente quelli di scrittura sui file critici utilizzando blocchi di 4096 byte generati in modo casuale nella directory di sistema di Windows. In base alla destinazione specifica della cartella %CSIDL_SYSTEM_DRIVE%\Windows\NTDS, il wiper è quindi in grado di mirare a interi domini Windows. Dopo aver distribuito i dati, il malware eseguiva un riavvio forzato dei sistemi, applicando le modifiche.[16]

Relazione con la giustizia internazionale

Il 19 ottobre 2020, un gran giurì con sede negli Stati Uniti accusò sei presunti ufficiali dell'Unità 74455 di crimini informatici[17][18]. Gli ufficiali, Yuriy Sergeyevich Andrienko, Sergey Vladimirovich Detistov, Pavel Valeryevich Frolov, Anatoliy Sergeyevich Kovalev, Artem Valeryevich Ochichenko e Petr Nikolayevich Pliskin, vennero accusati di associazione per delinquere finalizzata alla frode e all'abuso informatico, frode telematica, danneggiamento di computer protetti e furto di identità aggravato[19]. L'allora procuratore generale per il distretto occidentale della Pennsylvania, Scott Brady definì la campagna informatica del gruppo come "l'attacco informatico più distruttivo e costoso della storia".[2] Cinque dei vennero accusati di aver chiaramente sviluppato strumenti di hacking. Ochichenko, invece, venne processato per aver partecipato ad attacchi di spearphishing contro le Olimpiadi invernali del 2018, di aver condotto una sorveglianza tecnica e aver tentato di violare il dominio ufficiale del Parlamento della Georgia[2].

A fine marzo 2022, gli avvocati per i diritti umani della UC Berkeley School of Law inviarono una richiesta formale al Procuratore della Corte internazionale di giustizia dell'Aia[20]. Essi sollecitarono la corte nel considerare le accuse di crimini di guerra contro gli hacker russi per gli attacchi informatici contro l'Ucraina. Il gruppo Sandworm venne espressamente citato in relazione agli attacchi del dicembre 2015 alle società elettriche dell'Ucraina occidentale e agli attacchi del 2016 alle infrastrutture di Kiev[20].

Il giorno 30 marzo 2023 venne pubblicata una inchiesta giornalistica condotta da diversi quotidiani internazionali che divulgò il contenuto di un insieme di file secretati denominati Vulkan Files che collegherebbero l'azienda russa di cybersecurity NTC Vulkan con il gruppo Sandworm, e quindi con la GRU.[21]

Note

  1. ^ Andy Greenberg, Sandworm : a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers, First edition, 2019, ISBN 978-0-385-54440-5, OCLC 1049787879. URL consultato il 3 aprile 2023.
  2. ^ a b c d (EN) Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace, su www.justice.gov, 19 ottobre 2020. URL consultato il 3 aprile 2023.
  3. ^ Hackers shut down Ukraine power grid, in Financial Times, 5 gennaio 2016. URL consultato il 3 aprile 2023.
  4. ^ Redazione, Russia, Sandworm attacca una centrale elettrica in Ucraina, su CyberSecurity Italia, 13 aprile 2022. URL consultato il 3 aprile 2023.
  5. ^ (EN) US charges Russian hackers behind NotPetya, KillDisk, OlympicDestroyer attacks, su ZDNET.
  6. ^ (EN) Jessica Lyons Hardcastle, Cyclops Blink malware sets up shop in ASUS routers, su www.theregister.com. URL consultato il 3 aprile 2023.
  7. ^ Data Encoding: Non-Standard Encoding, Sub-technique T1132.002 - Enterprise | MITRE ATT&CK®, su attack.mitre.org. URL consultato il 14 aprile 2023.
  8. ^ (EN) New Sandworm malware Cyclops Blink replaces VPNFilter, su www.ncsc.gov.uk. URL consultato il 6 aprile 2023.
  9. ^ (EN) National Cyber Security Centre, Cyclops Blink - Malware Analysis Report (PDF), su ncsc.gov.uk, 23 febbraio 2022.
  10. ^ (EN) CISA Adds Eight Known Exploited Vulnerabilities to Catalog | CISA, su www.cisa.gov. URL consultato il 3 aprile 2023.
  11. ^ (EN) National Cyber Security Center, Cybersecurity Infrastructure Security Agency, Federal Bureau of Investigation e National Security Agency, AA22-054A New Sandworm Malware Cyclops Blink Replaces VPN Filter (PDF), su cisa.gov, 23 febbraio 2022.
  12. ^ (EN) Andy Greenberg, Russia's Sandworm Hackers Attempted a Third Blackout in Ukraine, in Wired. URL consultato il 3 aprile 2023.
  13. ^ Electronic Workshops in Computing (eWiC), su ScienceOpen. URL consultato il 14 aprile 2023.
  14. ^ (EN) Industroyer2: Industroyer reloaded, su WeLiveSecurity, 12 aprile 2022. URL consultato il 6 aprile 2023.
  15. ^ (EN) ESET Research: Russian APT groups, including Sandworm, continue their attacks against Ukraine with wipers and ransomware, su ESET. URL consultato il 3 aprile 2023.
  16. ^ SwiftSlicer è un nuovo malware che distrugge i domini Windows, su Tom's Hardware. URL consultato il 6 aprile 2023.
  17. ^ (EN) US charges Russian hackers behind NotPetya, KillDisk, OlympicDestroyer attacks, su ZDNET. URL consultato il 3 aprile 2023.
  18. ^ (EN) Julian Borger, Russian cyber-attack spree shows what unrestrained internet warfare looks like, in The Guardian, 19 ottobre 2020. URL consultato il 3 aprile 2023.
  19. ^ (EN) Andy Greenberg, US Indicts Sandworm, Russia's Most Destructive Cyberwar Unit, in Wired. URL consultato il 3 aprile 2023.
  20. ^ a b (EN) Andy Greenberg, The Case for War Crimes Charges Against Russia’s Sandworm Hackers, in Wired. URL consultato il 3 aprile 2023.
  21. ^ (EN) Secret trove offers rare look into Russian cyberwar ambitions, su Washington Post, 30 marzo 2023. URL consultato il 3 aprile 2023.

Voci correlate

  Portale Guerra
Estratto da "https://it.wikipedia.org/w/index.php?title=Sandworm_(gruppo_di_hacker)&oldid=133004985"