SandWorm, APT įsilaužėliai už NotPetya ir Industroyer

„SandWorm“ yra viena iš labiausiai žinomų „Advanced Persistent Threat“ (APT) grupių. Jos veiklą galima atsekti iki 2009 m., ji dalyvavo daugelyje išpuolių prieš Rusijai besipriešinančius subjektus ir tautas. Kibernetinio saugumo ekspertai mano, kad „SandWorm APT“ grupė gali būti Rusijos karinės žvalgybos padalinio GRU padalinys. Ankstesnėse kampanijose „SandWorm“ įsilaužėliai taip pat buvo vadinami „Iron Viking“, „Telebots“ ir kitais slapyvardžiais.

Pastaraisiais metais „SandWorm“ daugybę kartų paskelbė naujienas, naudodamas destruktyvią ir naują kenkėjišką programą, kuri buvo naudojama kruopščiai surengtoms atakoms. Vienas iš liūdniausių implantų, su kuriais siejamas „SandWorm“, yra „NotPetya Ransomware“ – viena pirmųjų grėsmių, kuria siekiama sugadinti pagrindinį įkrovos įrašą (MBR), o ne atskirus failus. Panaikindama standžiųjų diskų MBR, „NotPetya Ransomware“ užtikrino, kad pažeistos sistemos apskritai negalės paleisti.

Panašu, kad destruktyvi kenkėjiška programa yra „SandWorm“ ypatybė, be to, jie yra atsakingi už kitų aukšto lygio valytuvų, tokių kaip „Olympic Destroyer“ ir „Industroyer“, naudojimą. Pirmasis buvo įtrauktas į kibernetinę ataką, įvykusią per 2018 m. žiemos olimpinių žaidynių atidarymą. Tuo tarpu „Industroyer“ yra kenkėjiškas implantas, specialiai sukurtas taikyti pramonės valdymo sistemoms (ICS), naudojamas elektros tinklo įrenginiuose. „SandWorm“ įsilaužėliai panaudojo „Industroyer“ atakoms prieš Ukrainos elektros tinklą 2016 m.

Paskutinės SandWorm naujienos yra susijusios su Industroyer2, liūdnai pagarsėjusio implanto, kurį jie naudojo 2016 m., įpėdiniu. SandWorm įsilaužėliai jį panaudojo 2022 m. balandį, dar vieną ataką prieš Ukrainos elektros tinklą. Operacijos tikslas buvo sukelti elektros energijos tiekimo nutraukimą, kaip ir tą, kurią įsilaužėliams pavyko surengti 2015 m. gruodžio mėn.