SandWorm, hakerzy APT stojący za NotPetyą i Industroyer

SandWorm to jedna z najbardziej niesławnych grup Advanced Persistent Threat (APT). Jej działalność można prześledzić wstecz do 2009 roku i była zaangażowana w liczne ataki na podmioty i narody sprzeciwiające się Rosji. Eksperci ds. cyberbezpieczeństwa uważają, że grupa SandWorm APT może być pododdziałem GRU, rosyjskiej jednostki wywiadu wojskowego. W poprzednich kampaniach hakerzy SandWorm byli również określani pod pseudonimami Iron Viking, Telebots i innymi.

W ostatnich latach SandWorm wielokrotnie pojawiał się w wiadomościach, wykorzystując destrukcyjne i nowatorskie złośliwe oprogramowanie, które było wykorzystywane w starannie zaaranżowanych atakach. Jednym z najbardziej niesławnych implantów, z którymi kojarzy się SandWorm, jest NotPetya Ransomware – jedno z pierwszych zagrożeń, których celem jest uszkodzenie głównego rekordu rozruchowego (MBR) zamiast pojedynczych plików. Wymazując MBR dysków twardych, NotPetya Ransomware zapewnił, że zhakowane systemy w ogóle nie będą mogły się uruchomić.

Niszczycielskie złośliwe oprogramowanie wydaje się być specjalnością SandWorm i są one również odpowiedzialne za korzystanie z innych głośnych programów do wycierania, takich jak Olympic Destroyer i Industroyer. Ten pierwszy brał udział w cyberataku, który miał miejsce podczas otwarcia Zimowych Igrzysk Olimpijskich 2018. W międzyczasie Industroyer jest złośliwym implantem zaprojektowanym specjalnie do atakowania przemysłowych systemów sterowania (ICS) stosowanych w instalacjach sieci elektrycznej. Hakerzy SandWorm wykorzystali Industroyer w atakach na ukraińską sieć energetyczną w 2016 roku.

Najnowsze wieści o SandWormie są powiązane z Industroyer2, następcą niesławnego implantu, z którego korzystali w 2016 roku. Hakerzy SandWorm wykorzystali go w kwietniu 2022 roku w kolejnym ataku na ukraińską sieć energetyczną. Celem operacji było wywołanie blackoutu, takiego jak ten, który hakerzy zorganizowali w grudniu 2015 roku.