SandWorm, les hackers APT derrière NotPetya et Industroyer
SandWorm est l'un des groupes de menaces persistantes avancées (APT) les plus tristement célèbres. Ses activités remontent à 2009 et il a été impliqué dans de nombreuses attaques contre des entités et des nations opposées à la Russie. Les experts en cybersécurité pensent que le groupe SandWorm APT pourrait être une sous-division du GRU, l'unité de renseignement militaire russe. Dans les campagnes précédentes, les pirates SandWorm ont également été désignés sous les pseudonymes Iron Viking, Telebots et autres.
Au cours des dernières années, les SandWorm ont fait l'actualité d'innombrables fois, avec l'utilisation de logiciels malveillants destructeurs et nouveaux qui ont été utilisés dans des attaques soigneusement orchestrées. L'un des implants les plus infâmes auxquels les SandWorm sont associés est le NotPetya Ransomware - l'une des premières menaces visant à endommager le Master Boot Record (MBR) au lieu de fichiers individuels. En effaçant le MBR des disques durs, le NotPetya Ransomware s'est assuré que les systèmes compromis ne pourraient pas démarrer du tout.
Les logiciels malveillants destructeurs semblent être la spécialité de SandWorm, et ils sont également responsables de l'utilisation d'autres essuie-glaces de haut niveau comme Olympic Destroyer et Industroyer. Le premier a été impliqué dans une cyberattaque qui a eu lieu lors de l'ouverture des Jeux olympiques d'hiver de 2018. En attendant, Industroyer est un implant malveillant spécialement conçu pour cibler les systèmes de contrôle industriels (ICS) utilisés dans les installations de réseaux électriques. Les pirates de SandWorm ont employé Industroyer dans des attaques contre le réseau électrique ukrainien en 2016.
Les dernières nouvelles de SandWorm sont associées à Industroyer2, un successeur du tristement célèbre implant qu'ils ont utilisé en 2016. Les pirates de SandWorm l'ont utilisé en avril 2022, dans une autre attaque contre le réseau électrique ukrainien. Le but de l'opération était de déclencher un black-out, tout comme celui que les hackers avaient réussi à orchestrer en décembre 2015.