Sandworm es una amenaza persistente avanzada operada por la Unidad Militar 74455, una unidad de guerra cibernética del GRU , el servicio de inteligencia militar de Rusia . [3] Otros nombres para el grupo, dados por investigadores de ciberseguridad , incluyen APT44 , [4] Telebots , Voodoo Bear , IRIDIUM , Seashell Blizzard , [5] y Iron Viking . [6] [7]
Se cree que el equipo está detrás del ciberataque a la red eléctrica de Ucrania en diciembre de 2015 , [8] [9] [10] los ciberataques de 2017 a Ucrania utilizando el malware NotPetya , [11] varios esfuerzos de interferencia en las elecciones presidenciales francesas de 2017 , [6] y el ciberataque a la ceremonia de apertura de los Juegos Olímpicos de Invierno de 2018. [12] [13] El entonces fiscal de los Estados Unidos para el Distrito Oeste de Pensilvania, Scott Brady, describió la campaña cibernética del grupo como "representante de los ciberataques más destructivos y costosos de la historia". [6]
El 3 de septiembre de 2014, iSIGHT Partners (ahora Mandiant ) descubrió una campaña de phishing que explotaba una vulnerabilidad de día cero mediante documentos de Microsoft Office utilizados como arma. La vulnerabilidad, denominada CVE-2014-4114, afectaba a todas las versiones de Windows desde Vista hasta 8.1 y permitía a los atacantes ejecutar código arbitrario en una máquina objetivo. Los investigadores pudieron atribuir el ataque al grupo Sandworm y observaron que el gobierno ucraniano era uno de los objetivos de la campaña. Cabe destacar que este ataque coincidió con una cumbre de la OTAN sobre Ucrania en Gales. [14]
El 23 de diciembre de 2015, piratas informáticos lanzaron un ciberataque coordinado contra tres empresas energéticas en Ucrania y lograron interrumpir temporalmente el suministro de electricidad a unos 230.000 ucranianos durante 1 a 6 horas.
En enero, iSight Partners publicó un informe que vincula el ataque a Sandworm basándose en el uso de BlackEnergy 3. [15]
El 17 de diciembre de 2016, un año después del ataque anterior a la red eléctrica, los piratas informáticos volvieron a interrumpir la red eléctrica ucraniana con un ciberataque. Aproximadamente una quinta parte de Kiev se quedó sin electricidad durante una hora. Si bien el corte fue breve, un informe publicado tres años después del ataque por la empresa de seguridad Dragos describe una teoría según la cual el malware, conocido como Industroyer o CRASHOVERRIDE, tenía como objetivo destruir equipos eléctricos físicos. Al explotar una vulnerabilidad conocida en los relés de protección, el malware podría haber sido diseñado para ocultar cualquier problema de seguridad de modo que cuando los ingenieros trabajaran para restablecer la energía, se enviara una sobrecarga de corriente para destruir transformadores o líneas eléctricas. Tal destrucción podría haber dañado potencialmente a los trabajadores de la empresa de servicios públicos y, si hubiera tenido éxito, habría provocado un corte de energía mucho más prolongado. [16]
El 9 de febrero de 2018, durante la ceremonia de apertura de los Juegos Olímpicos de Invierno en Pyeongchang , los piratas informáticos de Corea del Sur lanzaron un ciberataque y lograron interrumpir con éxito la infraestructura de TI, incluido el WiFi, los televisores alrededor del Estadio Olímpico de Pyeongchang que mostraban la ceremonia, las puertas de seguridad basadas en RFID y la aplicación oficial de los Juegos Olímpicos que se usaba para la emisión de boletos digitales. El personal pudo restaurar la mayoría de las funciones críticas antes de que terminara la ceremonia de apertura, pero toda la red tuvo que reconstruirse desde cero. El malware de limpieza se había infiltrado en todos los controladores de dominio y los había dejado inoperativos. [12]
Tres días después, Cisco Talos publicó un informe en el que se denominaba al malware «Olympic Destroyer». El informe enumeraba similitudes en las técnicas de propagación del malware con las cepas de malware «BadRabbit» y «Nyetya» y afirmaba que el objetivo del ataque era interrumpir los juegos. [17]
La atribución del malware Olympic Destroyer resultó difícil, ya que parecía que el autor o los autores habían incluido muestras de código pertenecientes a múltiples actores de amenazas como banderas falsas . Intezer publicó un informe el 12 de febrero que mostraba similitudes de código con muestras atribuidas a 3 actores de amenazas chinos, mientras que un informe de seguimiento de Talos señaló una pista "débil" que apuntaba a otro limpiador creado por una escisión del Grupo Lazarus , una APT norcoreana . [18] [19]
El equipo de Kaspersky GReAT publicó el 8 de marzo dos artículos en su blog en los que analizaba las teorías actuales de la industria y su propia investigación original. En el artículo técnico, Kaspersky, una empresa rusa, mostró en detalle cómo descubrieron que los encabezados de archivos que apuntaban al Grupo Lazarus eran falsos, pero no llegó a atribuir el malware Olympic Destroyer a ningún grupo que no fuera norcoreano. [20] [21]
El 19 de octubre de 2020, un gran jurado con sede en Estados Unidos emitió una acusación formal que imputaba a seis presuntos oficiales de la Unidad 74455 por delitos cibernéticos. [22] [23] [24] Los oficiales, Yuriy Sergeyevich Andrienko, Sergey Vladimirovich Detistov, Pavel Valeryevich Frolov, Anatoliy Sergeyevich Kovalev, Artem Valeryevich Ochichenko y Petr Nikolayevich Pliskin, fueron acusados individualmente de conspiración para llevar a cabo fraude y abuso informático, conspiración para cometer fraude electrónico , fraude electrónico, daño a computadoras protegidas y robo de identidad agravado . Cinco de los seis fueron acusados de desarrollar abiertamente herramientas de piratería, mientras que Ochichenko fue acusado de participar en ataques de phishing contra los Juegos Olímpicos de Invierno de 2018 y de realizar reconocimiento técnico e intentar piratear el dominio oficial del Parlamento de Georgia . [6]
Simultáneamente con el anuncio de la acusación en Estados Unidos, el Centro Nacional de Seguridad Cibernética del Reino Unido ( NCSC ) publicó un informe que asociaba públicamente a Sandworm con el ataque a los Juegos Olímpicos de Invierno de 2018. [2]
El 28 de mayo de 2020, la Agencia de Seguridad Nacional publicó un aviso de ciberseguridad advirtiendo que el grupo Sandworm estaba explotando activamente una vulnerabilidad de ejecución remota de código (conocida como CVE-2019-10149) en Exim [25] para obtener el control total de los servidores de correo. [26] En el momento en que se publicó el aviso, una versión actualizada de Exim había estado disponible durante un año y la NSA instó a los administradores a parchear sus servidores de correo.
En febrero de 2022, Sandworm supuestamente lanzó Cyclops Blink como malware. El malware es similar a VPNFilter . [27] El malware permite construir una botnet y afecta a los enrutadores Asus y a los dispositivos WatchGuard Firebox y XTM. CISA emitió una advertencia sobre este malware. [28]
A fines de marzo de 2022, investigadores y abogados de derechos humanos de la Facultad de Derecho de la Universidad de California en Berkeley enviaron una solicitud formal al Fiscal de la Corte Penal Internacional en La Haya . [29] Instaron a la Corte Penal Internacional a considerar los cargos de crímenes de guerra contra piratas informáticos rusos por ciberataques contra Ucrania. [29] Sandworm fue nombrado específicamente en relación con los ataques de diciembre de 2015 a las empresas de servicios eléctricos en el oeste de Ucrania y los ataques de 2016 a las empresas de servicios públicos en Kiev. [29]
En abril de 2022, Sandworm intentó provocar un apagón en Ucrania. [30] Se dice que es el primer ataque en cinco años que utiliza una variante del malware Industroyer llamada Industroyer2. [31]
El 25 de enero de 2023, ESET atribuyó un limpiador de vulnerabilidades de Active Directory a Sandworm. [32]
El 31 de agosto de 2023, las agencias de ciberseguridad de EE. UU., Reino Unido, Canadá, Australia y Nueva Zelanda (conocidas colectivamente como Five Eyes ) publicaron conjuntamente un informe sobre una nueva campaña de malware y la atribuyeron a Sandworm. El malware, denominado "Infamous Chisel", tenía como objetivo los dispositivos Android utilizados por el ejército ucraniano. Después de la infección inicial, el malware establece un acceso persistente y luego recopila y extrae periódicamente datos del dispositivo comprometido. La información recopilada incluye:
El malware también recopila periódicamente puertos abiertos y banners de servicios que se ejecutan en otros hosts de la red local. Además, se crea un servidor SSH y se configura para que se ejecute como un servicio oculto de Tor . Un atacante podría entonces conectarse de forma remota al dispositivo infectado sin revelar su verdadera dirección IP. [33]
El nombre "Sandworm" fue creado por investigadores de iSight Partners (ahora Mandiant ) debido a las referencias en el código fuente del malware a la novela Dune de Frank Herbert . [34]
En 2024, dadas las amenazas activas y persistentes que Sandworm representaba para los gobiernos y los operadores de infraestructura crítica a nivel mundial, Mandiant "graduó" a Sandworm en un grupo APT, llamándolo APT44. [4]