SandWorm, az APT hackerei NotPetya és Industroyer mögött

A SandWorm az egyik leghírhedtebb Advanced Persistent Threat (APT) csoport. Tevékenysége 2009-ig nyomon követhető, és számos támadásban vett részt Oroszországgal szemben álló entitások és nemzetek ellen. A kiberbiztonsági szakértők úgy vélik, hogy a SandWorm APT csoport a GRU, az orosz katonai hírszerző egység alosztálya lehet. A korábbi kampányokban a SandWorm hackereket Iron Viking, Telebots és mások álnevekkel is emlegették.

Az elmúlt években a SandWorm számtalanszor jelent meg a hírekben, pusztító és újszerű rosszindulatú programokkal, amelyeket gondosan megtervezett támadásokhoz használtak. Az egyik leghírhedtebb implantátum, amellyel a SandWorm kapcsolódik, a NotPetya Ransomware – az egyik első olyan fenyegetés, amely az egyes fájlok helyett a Master Boot Record (MBR) károsodását célozza. A merevlemezek MBR-jének törlésével a NotPetya Ransomware biztosította, hogy a kompromittált rendszerek egyáltalán ne legyenek képesek elindulni.

Úgy tűnik, hogy a pusztító rosszindulatú programok a SandWorm specialitása, és ők felelősek más nagy horderejű ablaktörlők, például az Olympic Destroyer és az Industroyer használatáért is. Előbbi részt vett egy kibertámadásban, amely a 2018-as téli olimpia megnyitóján történt. Eközben az Industroyer egy rosszindulatú implantátum, amelyet kifejezetten az elektromos hálózatokban használt ipari vezérlőrendszerek (ICS) megcélzására terveztek. A SandWorm hackerei 2016-ban az ukrán elektromos hálózat elleni támadásokhoz alkalmazták az Industroyert.

A SandWorm legfrissebb hírei az Industroyer2-vel kapcsolatosak, amely a 2016-ban használt hírhedt implantátum utódja. A SandWorm hackerei 2022 áprilisában alkalmazták, egy újabb támadásban az ukrán elektromos hálózat ellen. A művelet célja egy áramszünet kiváltása volt, akárcsak azt, amelyet a hackereknek sikerült megszervezniük 2015 decemberében.