SandWorm, хакеры APT, стоящие за NotPetya и Industroyer

SandWorm — одна из самых печально известных групп Advanced Persistent Threat (APT). Его деятельность можно проследить до 2009 года, и он был причастен к многочисленным нападениям на организации и страны, выступающие против России. Эксперты по кибербезопасности считают, что группа SandWorm APT может быть подразделением ГРУ, российской военной разведки. В предыдущих кампаниях хакеры SandWorm также упоминались под псевдонимами Iron Viking, Telebots и другими.

В последние годы SandWorm бесчисленное количество раз попадал в новости благодаря использованию деструктивных и новых вредоносных программ, которые применялись в тщательно спланированных атаках. Одним из самых печально известных имплантов, с которыми связан SandWorm, является программа-вымогатель NotPetya — одна из первых угроз, направленных на повреждение основной загрузочной записи (MBR), а не отдельных файлов. Уничтожив MBR жестких дисков, программа-вымогатель NotPetya гарантировала, что скомпрометированные системы вообще не смогут загрузиться.

Деструктивное вредоносное ПО, похоже, является специальностью SandWorm, и они также несут ответственность за использование других высококлассных вайперов, таких как Olympic Destroyer и Industroyer. Первый был причастен к кибератаке, которая произошла во время открытия Зимних Олимпийских игр 2018 года. Тем временем Industroyer представляет собой вредоносный имплантат, специально разработанный для атак на промышленные системы управления (ICS), используемые в электросетевых установках. Хакеры SandWorm использовали Industroyer для атак на украинские энергосистемы в 2016 году.

Последние новости о SandWorm связаны с Industroyer2, преемником печально известного имплантата, который они использовали в 2016 году. Хакеры SandWorm использовали его в апреле 2022 года в очередной атаке на украинскую энергосистему. Цель операции состояла в том, чтобы спровоцировать отключение, подобное тому, которое хакерам удалось организовать в декабре 2015 года.