SandWorm, gli hacker APT dietro NotPetya e Industroyer

SandWorm è uno dei gruppi APT (Advanced Persistent Threat) più famosi. Le sue attività possono essere fatte risalire al 2009 ed è stato coinvolto in numerosi attacchi contro entità e nazioni che si oppongono alla Russia. Gli esperti di sicurezza informatica ritengono che il gruppo SandWorm APT potrebbe essere una sottodivisione del GRU, l'unità di intelligence militare russa. Nelle campagne precedenti, gli hacker di SandWorm sono stati indicati anche con gli alias Iron Viking, Telebots e altri.

Negli ultimi anni, SandWorm ha fatto notizia innumerevoli volte, con l'uso di malware distruttivo e innovativo che è stato utilizzato in attacchi accuratamente orchestrati. Uno degli impianti più famigerati a cui sono associati i SandWorm è NotPetya Ransomware, una delle prime minacce che mira a danneggiare il Master Boot Record (MBR) anziché i singoli file. Cancellando l'MBR dei dischi rigidi, NotPetya Ransomware ha assicurato che i sistemi compromessi non sarebbero stati in grado di avviarsi affatto.

Il malware distruttivo sembra essere la specialità di SandWorm e sono anche responsabili dell'uso di altri wiper di alto profilo come Olympic Destroyer e Industroyer. Il primo è stato coinvolto in un attacco informatico avvenuto durante l'apertura delle Olimpiadi invernali del 2018. Nel frattempo, Industroyer è un impianto dannoso progettato specificamente per prendere di mira i sistemi di controllo industriale (ICS) utilizzati nelle installazioni della rete elettrica. Gli hacker di SandWorm hanno impiegato Industroyer negli attacchi contro la rete elettrica ucraina nel 2016.

L'ultima notizia di SandWorm è associata a Industroyer2, un successore del famigerato impianto utilizzato nel 2016. Gli hacker di SandWorm lo hanno impiegato nell'aprile 2022, in un altro attacco contro la rete elettrica ucraina. L'obiettivo dell'operazione era quello di innescare un blackout, proprio come quello che gli hacker erano riusciti a orchestrare nel dicembre 2015.