Google Mandiant neemt APT44 Russische cybersabotage-eenheid Sandworm onder de loep
Nu de grootschalige invasie van Rusland zijn derde jaar ingaat, blijft Sandworm (ook bekend als FROZENBARENTS) een formidabele bedreiging voor Oekraïne. De operaties van de groep ter ondersteuning van de oorlogsdoelen van Moskou zijn tactisch en operationeel aanpasbaar gebleken, en lijken vanaf vandaag beter geïntegreerd te zijn met de activiteiten van de Russische conventionele strijdkrachten dan in enige andere voorgaande fase van het conflict. Tot op heden heeft geen enkele andere door de Russische overheid gesteunde cybergroep een centralere rol gespeeld bij het vormgeven en ondersteunen van de Russische militaire campagnem aldus Mandiant.
Mandiant meldt in een blog: 'Toch is de dreiging die uitgaat van Sandworm verre van beperkt tot Oekraïne. Mandiant blijft operaties van de groep zien die mondiaal van omvang zijn in belangrijke politieke, militaire en economische hotspots voor Rusland. Bovendien vergroot Sandworms geschiedenis van pogingen om zich in democratische processen te mengen, met een recordaantal mensen dat deelneemt aan de nationale verkiezingen in 2024, de ernst van de dreiging die de groep op de korte termijn kan vormen nog verder.
Gezien de actieve en diffuse aard van de dreiging die Sandworm wereldwijd uitgaat, heeft Mandiant besloten de groep op te splitsen in een zogenaamde Advanced Persistent Threat: APT44 . Als onderdeel van dit proces brengen we een rapport uit, “ APT44: Unearthing Sandworm ”, dat aanvullende inzichten biedt in de nieuwe operaties van de groep, retrospectieve inzichten en context over hoe de groep zich aanpast om de oorlogsdoelen van Moskou te ondersteunen.
Belangrijkste bevindingen
APT44, gesponsord door de Russische militaire inlichtingendienst, is een dynamische en operationeel volwassen dreigingsacteur die actief betrokken is bij het volledige spectrum van spionage-, aanvals- en beïnvloedingsoperaties. Hoewel de meeste door de staat gesteunde dreigingsgroepen de neiging hebben zich te specialiseren in een specifieke missie, zoals het verzamelen van inlichtingen, het saboteren van netwerken of het uitvoeren van informatieoperaties, onderscheidt APT44 zich in de manier waarop het elk van deze capaciteiten heeft aangescherpt en heeft geprobeerd deze in de loop van de tijd te integreren in een uniform draaiboek . . Elk van deze respectieve componenten, en de inspanningen van APT44 om ze te combineren voor een gecombineerd effect, zijn fundamenteel voor Ruslands leidende “informatieconfrontatie”-concept voor cyberoorlogvoering.
APT44 heeft op agressieve wijze een meervoudige inspanning geleverd om het Russische leger te helpen een oorlogsvoordeel te behalen en is verantwoordelijk voor bijna alle ontwrichtende en destructieve operaties tegen Oekraïne in de afgelopen tien jaar. Gedurende de Russische oorlog heeft APT44 een campagne van cybersabotage met hoge intensiteit binnen Oekraïne gevoerd. Door het gebruik van ontwrichtende cybertools, zoals wiper-malware die is ontworpen om systemen te ontwrichten, heeft APT44 geprobeerd een breed scala aan kritieke infrastructuursectoren te beïnvloeden. Soms werden deze operaties gecoördineerd met conventionele militaire activiteiten, zoals kinetische aanvallen of andere vormen van sabotage, in een poging gezamenlijke militaire doelstellingen te bereiken.
Naarmate de oorlog voortduurde, is de relatieve focus van APT44 echter verschoven van verstoring naar het verzamelen van inlichtingen. De doelen en methoden van de groep zijn in het tweede jaar van de oorlog aanzienlijk veranderd, waarbij steeds meer de nadruk wordt gelegd op spionageactiviteiten die bedoeld zijn om de conventionele strijdkrachten van Rusland voordeel te bieden op het slagveld. Een langlopende APT44-campagne heeft bijvoorbeeld voorwaarts ingezette Russische grondtroepen geholpen om communicatie van buitgemaakte mobiele apparaten te exfiltreren om relevante targetinggegevens te verzamelen en te verwerken. De aanpak van APT44 ter ondersteuning van de Russische militaire campagne is de afgelopen twee jaar aanzienlijk geëvolueerd.
Wij stellen met groot vertrouwen vast dat APT44 door het Kremlin wordt gezien als een flexibel machtsinstrument dat in staat is de brede nationale belangen en ambities van Rusland te dienen, inclusief pogingen om democratische processen wereldwijd te ondermijnen.
Ondanks dat ze een tak van het Russische leger zijn, beperken de sabotageactiviteiten van de groep zich niet tot militaire doelstellingen en bestrijken ze ook de bredere nationale belangen van Rusland, zoals het aansturen van de politieke signaalinspanningen van het Kremlin, de reacties op crises, of de beoogde niet-escalatoire reacties op vermeende minachtingen voor de Moskouse regering. status in de wereld.
De steun van APT44 aan de politieke doelstellingen van het Kremlin heeft geresulteerd in enkele van de grootste en meest consequente cyberaanvallen uit de geschiedenis. Deze operaties omvatten de eerste verstoringen in hun soort van het Oekraïense energienetwerk in de winters van 2015 en 2016, de wereldwijde NotPetya-aanval die samenvalt met de Oekraïense Dag van de Grondwet in 2017, en de verstoring van de openingsceremonie van de Olympische Spelen van 2018 in Pyeongchang in Pyeongchang. reactie op het Russische dopingverbod op de Spelen, om er maar een paar te noemen.
Vanwege zijn geschiedenis van agressief gebruik van netwerkaanvalmogelijkheden in politieke en militaire contexten, vormt APT44 een aanhoudende, zeer ernstige bedreiging voor regeringen en exploitanten van kritieke infrastructuur wereldwijd waar Russische nationale belangen elkaar kruisen. De combinatie van APT44's hoge capaciteit, risicotolerantie en verreikende mandaat om de belangen van het Russische buitenlands beleid te ondersteunen, zorgt ervoor dat regeringen, het maatschappelijk middenveld en exploitanten van kritieke infrastructuur over de hele wereld het risico lopen op korte termijn in het vizier van de groep te vallen.
We zijn ook van mening dat APT44 een aanzienlijk proliferatierisico met zich meebrengt voor nieuwe cyberaanvalconcepten en -methoden. Voortdurende vooruitgang en het grootschalige gebruik van de ontwrichtende en destructieve capaciteiten van de groep hebben waarschijnlijk de toegangsdrempel verlaagd voor andere statelijke en niet-statelijke actoren om hun eigen cyberaanvalprogramma's te repliceren en te ontwikkelen. Rusland zelf is vrijwel zeker alert op en bezorgd over dit proliferatierisico, aangezien Mandiant heeft waargenomen dat Russische cyberbeveiligingsentiteiten hun vermogen uitoefenen om zich te verdedigen tegen categorieën van ontwrichtende cybercapaciteiten die oorspronkelijk door APT44 tegen Oekraïne werden gebruikt.
Vooruit kijken
APT44 zal vrijwel zeker een van de breedste en ernstigste cyberdreigingen ter wereld blijven vormen. Het loopt al meer dan tien jaar voorop in het dreigingslandschap en is verantwoordelijk voor een lange lijst van primeurs die precedenten hebben geschapen voor toekomstige cyberaanvalactiviteiten. Patronen van historische activiteit, zoals pogingen om verkiezingen te beïnvloeden of represailles te nemen tegen internationale sportorganisaties, suggereren dat er geen grenzen zijn aan de nationalistische impulsen die de activiteiten van de groep in de toekomst kunnen voeden.
Terwijl de oorlog in Rusland voortduurt, verwachten wij dat Oekraïne het voornaamste aandachtspunt zal blijven van de APT44-operaties. Zoals de geschiedenis echter aangeeft, is de bereidheid van de groep om cyberoperaties uit te voeren ter bevordering van de bredere strategische doelstellingen van het Kremlin wereldwijd ingebakken in haar mandaat. Wij zijn daarom van mening dat de veranderende westerse politieke dynamiek, komende verkiezingen en opkomende kwesties in het nabije buitenland van Rusland ook de activiteiten van APT44 in de nabije toekomst zullen blijven bepalen.
Bescherming van de Gemeenschap
Als onderdeel van ons onderzoek ondernemen we verschillende stappen om klanten en de gemeenschap te beschermen:
- De Threat Analysis Group (TAG) van Google gebruikt de resultaten van ons onderzoek om de veiligheid en beveiliging van de producten van Google te verbeteren.
- Bij ontdekking worden alle geïdentificeerde websites en domeinen toegevoegd aan Safe Browsing om gebruikers tegen verdere exploitatie te beschermen.
- Alle beoogde Gmail- en Workspace-gebruikers ontvangen waarschuwingen van door de overheid gesteunde aanvallers , waarin ze op de hoogte worden gesteld van de activiteit, potentiële doelwitten worden aangemoedigd om Verbeterd Safe Browsing voor Chrome in te schakelen en ervoor te zorgen dat alle apparaten worden bijgewerkt.
- Waar mogelijk verstuurt Mandiant slachtoffermeldingen via het Victim Notification Program .
- Als u een Google Chronicle Enterprise+-klant bent, zijn de Chronicle-regels vrijgegeven aan uw Emerging Threats- regelpakket en zijn IOC's beschikbaar voor prioritering met Applied Threat Intelligence .
- Een VirusTotal-collectie met APT44-gerelateerde indicatoren van compromissen is nu beschikbaar voor geregistreerde gebruikers.
We streven ernaar onze bevindingen te delen met de beveiligingsgemeenschap om het bewustzijn te vergroten, en met bedrijven en individuen die mogelijk het doelwit zijn van deze activiteiten.
Lees het APT44-rapport voor onze volledige analyse van deze groep, een gedetailleerde lijst van malware die APT44 sinds 2018 gebruikt, jachtregels voor het detecteren van de malware en een lijst met Mandiant Security Validation -acties die organisaties kunnen gebruiken om hun beveiligingscontroles te valideren.'