SandWorm, οι APT Hackers Behind NotPetya και Industroyer
Το SandWorm είναι μια από τις πιο διαβόητες ομάδες Advanced Persistent Threat (APT). Οι δραστηριότητές της μπορούν να παρακολουθηθούν από το 2009 και έχει εμπλακεί σε πολυάριθμες επιθέσεις εναντίον οντοτήτων και εθνών που αντιτίθενται στη Ρωσία. Οι ειδικοί στον τομέα της κυβερνοασφάλειας πιστεύουν ότι η ομάδα SandWorm APT μπορεί να είναι υποδιαίρεση της GRU, της ρωσικής στρατιωτικής μονάδας πληροφοριών. Σε προηγούμενες καμπάνιες, οι χάκερ SandWorm αναφέρονται επίσης με τα ψευδώνυμα Iron Viking, Telebots και άλλα.
Τα τελευταία χρόνια, το SandWorm έχει κάνει την είδηση αμέτρητες φορές, με τη χρήση καταστροφικού και πρωτότυπου κακόβουλου λογισμικού που χρησιμοποιήθηκε σε προσεκτικά ενορχηστρωμένες επιθέσεις. Ένα από τα πιο διαβόητα εμφυτεύματα με τα οποία σχετίζεται το SandWorm είναι το NotPetya Ransomware – μία από τις πρώτες απειλές που στοχεύουν να βλάψουν το Master Boot Record (MBR) αντί για μεμονωμένα αρχεία. Εξαφανίζοντας το MBR των σκληρών δίσκων, το NotPetya Ransomware εξασφάλισε ότι τα παραβιασμένα συστήματα δεν θα μπορούσαν να εκκινήσουν καθόλου.
Το καταστροφικό κακόβουλο λογισμικό φαίνεται να είναι η ειδικότητα του SandWorm και είναι επίσης υπεύθυνο για τη χρήση άλλων υαλοκαθαριστήρων υψηλού προφίλ όπως το Olympic Destroyer και το Industroyer. Ο πρώτος συμμετείχε σε κυβερνοεπίθεση που έλαβε χώρα κατά τη διάρκεια των εγκαινίων των Χειμερινών Ολυμπιακών Αγώνων του 2018. Στο μεταξύ, το Industroyer είναι ένα κακόβουλο εμφύτευμα που έχει σχεδιαστεί ειδικά για να στοχεύει Συστήματα Βιομηχανικού Ελέγχου (ICS) που χρησιμοποιούνται σε εγκαταστάσεις ηλεκτρικού δικτύου. Οι χάκερ SandWorm χρησιμοποίησαν την Industroyer σε επιθέσεις κατά του ουκρανικού δικτύου ηλεκτρικής ενέργειας το 2016.
Τα τελευταία νέα του SandWorm συνδέονται με τον Industroyer2, έναν διάδοχο του διαβόητου εμφυτεύματος που χρησιμοποίησαν το 2016. Οι χάκερ του SandWorm το χρησιμοποίησαν τον Απρίλιο του 2022, σε μια άλλη επίθεση εναντίον του ουκρανικού δικτύου ηλεκτροδότησης. Στόχος της επιχείρησης ήταν να πυροδοτήσει ένα μπλακ άουτ, ακριβώς όπως αυτό που είχαν καταφέρει να ενορχηστρώσουν οι χάκερ τον Δεκέμβριο του 2015.
