stringtranslate.com

Sandworm (grupo de hackers)

Sandworm es una amenaza persistente avanzada operada por la Unidad Militar 74455, una unidad de guerra cibernética del GRU , el servicio de inteligencia militar de Rusia . [3] Otros nombres para el grupo, dados por investigadores de ciberseguridad , incluyen APT44 , [4] Telebots , Voodoo Bear , IRIDIUM , Seashell Blizzard , [5] y Iron Viking . [6] [7]

Se cree que el equipo está detrás del ciberataque a la red eléctrica de Ucrania en diciembre de 2015 , [8] [9] [10] los ciberataques de 2017 a Ucrania utilizando el malware NotPetya , [11] varios esfuerzos de interferencia en las elecciones presidenciales francesas de 2017 , [6] y el ciberataque a la ceremonia de apertura de los Juegos Olímpicos de Invierno de 2018. [12] [13] El entonces fiscal de los Estados Unidos para el Distrito Oeste de Pensilvania, Scott Brady, describió la campaña cibernética del grupo como "representante de los ciberataques más destructivos y costosos de la historia". [6]

Historia

2014

El 3 de septiembre de 2014, iSIGHT Partners (ahora Mandiant ) descubrió una campaña de phishing que explotaba una vulnerabilidad de día cero mediante documentos de Microsoft Office utilizados como arma. La vulnerabilidad, denominada CVE-2014-4114, afectaba a todas las versiones de Windows desde Vista hasta 8.1 y permitía a los atacantes ejecutar código arbitrario en una máquina objetivo. Los investigadores pudieron atribuir el ataque al grupo Sandworm y observaron que el gobierno ucraniano era uno de los objetivos de la campaña. Cabe destacar que este ataque coincidió con una cumbre de la OTAN sobre Ucrania en Gales. [14]

Hackeo de la red eléctrica de Ucrania en 2015

El 23 de diciembre de 2015, piratas informáticos lanzaron un ciberataque coordinado contra tres empresas energéticas en Ucrania y lograron interrumpir temporalmente el suministro de electricidad a unos 230.000 ucranianos durante 1 a 6 horas.

En enero, iSight Partners publicó un informe que vincula el ataque a Sandworm basándose en el uso de BlackEnergy 3. [15]

Hackeo de la red eléctrica de Ucrania en 2016

El 17 de diciembre de 2016, un año después del ataque anterior a la red eléctrica, los piratas informáticos volvieron a interrumpir la red eléctrica ucraniana con un ciberataque. Aproximadamente una quinta parte de Kiev se quedó sin electricidad durante una hora. Si bien el corte fue breve, un informe publicado tres años después del ataque por la empresa de seguridad Dragos describe una teoría según la cual el malware, conocido como Industroyer o CRASHOVERRIDE, tenía como objetivo destruir equipos eléctricos físicos. Al explotar una vulnerabilidad conocida en los relés de protección, el malware podría haber sido diseñado para ocultar cualquier problema de seguridad de modo que cuando los ingenieros trabajaran para restablecer la energía, se enviara una sobrecarga de corriente para destruir transformadores o líneas eléctricas. Tal destrucción podría haber dañado potencialmente a los trabajadores de la empresa de servicios públicos y, si hubiera tenido éxito, habría provocado un corte de energía mucho más prolongado. [16]

Juegos Olímpicos de Invierno de 2018

El 9 de febrero de 2018, durante la ceremonia de apertura de los Juegos Olímpicos de Invierno en Pyeongchang , los piratas informáticos de Corea del Sur lanzaron un ciberataque y lograron interrumpir con éxito la infraestructura de TI, incluido el WiFi, los televisores alrededor del Estadio Olímpico de Pyeongchang que mostraban la ceremonia, las puertas de seguridad basadas en RFID y la aplicación oficial de los Juegos Olímpicos que se usaba para la emisión de boletos digitales. El personal pudo restaurar la mayoría de las funciones críticas antes de que terminara la ceremonia de apertura, pero toda la red tuvo que reconstruirse desde cero. El malware de limpieza se había infiltrado en todos los controladores de dominio y los había dejado inoperativos. [12]

Tres días después, Cisco Talos publicó un informe en el que se denominaba al malware «Olympic Destroyer». El informe enumeraba similitudes en las técnicas de propagación del malware con las cepas de malware «BadRabbit» y «Nyetya» y afirmaba que el objetivo del ataque era interrumpir los juegos. [17]

La atribución del malware Olympic Destroyer resultó difícil, ya que parecía que el autor o los autores habían incluido muestras de código pertenecientes a múltiples actores de amenazas como banderas falsas . Intezer publicó un informe el 12 de febrero que mostraba similitudes de código con muestras atribuidas a 3 actores de amenazas chinos, mientras que un informe de seguimiento de Talos señaló una pista "débil" que apuntaba a otro limpiador creado por una escisión del Grupo Lazarus , una APT norcoreana . [18] [19]

El equipo de Kaspersky GReAT publicó el 8 de marzo dos artículos en su blog en los que analizaba las teorías actuales de la industria y su propia investigación original. En el artículo técnico, Kaspersky, una empresa rusa, mostró en detalle cómo descubrieron que los encabezados de archivos que apuntaban al Grupo Lazarus eran falsos, pero no llegó a atribuir el malware Olympic Destroyer a ningún grupo que no fuera norcoreano. [20] [21]

Acusación en Estados Unidos (2020)

Cartel de búsqueda del FBI con lista de 6 oficiales militares rusos acusados ​​de delitos cibernéticos.

El 19 de octubre de 2020, un gran jurado con sede en Estados Unidos emitió una acusación formal que imputaba a seis presuntos oficiales de la Unidad 74455 por delitos cibernéticos. [22] [23] [24] Los oficiales, Yuriy Sergeyevich Andrienko, Sergey Vladimirovich Detistov, Pavel Valeryevich Frolov, Anatoliy Sergeyevich Kovalev, Artem Valeryevich Ochichenko y Petr Nikolayevich Pliskin, fueron acusados ​​individualmente de conspiración para llevar a cabo fraude y abuso informático, conspiración para cometer fraude electrónico , fraude electrónico, daño a computadoras protegidas y robo de identidad agravado . Cinco de los seis fueron acusados ​​de desarrollar abiertamente herramientas de piratería, mientras que Ochichenko fue acusado de participar en ataques de phishing contra los Juegos Olímpicos de Invierno de 2018 y de realizar reconocimiento técnico e intentar piratear el dominio oficial del Parlamento de Georgia . [6]

Simultáneamente con el anuncio de la acusación en Estados Unidos, el Centro Nacional de Seguridad Cibernética del Reino Unido ( NCSC ) publicó un informe que asociaba públicamente a Sandworm con el ataque a los Juegos Olímpicos de Invierno de 2018. [2]

Explotación Exim (2020)

El 28 de mayo de 2020, la Agencia de Seguridad Nacional publicó un aviso de ciberseguridad advirtiendo que el grupo Sandworm estaba explotando activamente una vulnerabilidad de ejecución remota de código (conocida como CVE-2019-10149) en Exim [25] para obtener el control total de los servidores de correo. [26] En el momento en que se publicó el aviso, una versión actualizada de Exim había estado disponible durante un año y la NSA instó a los administradores a parchear sus servidores de correo.

Parpadeo de cíclope (2022)

En febrero de 2022, Sandworm supuestamente lanzó Cyclops Blink como malware. El malware es similar a VPNFilter . [27] El malware permite construir una botnet y afecta a los enrutadores Asus y a los dispositivos WatchGuard Firebox y XTM. CISA emitió una advertencia sobre este malware. [28]

Solicitud de crímenes de guerra (marzo de 2022)

A fines de marzo de 2022, investigadores y abogados de derechos humanos de la Facultad de Derecho de la Universidad de California en Berkeley enviaron una solicitud formal al Fiscal de la Corte Penal Internacional en La Haya . [29] Instaron a la Corte Penal Internacional a considerar los cargos de crímenes de guerra contra piratas informáticos rusos por ciberataques contra Ucrania. [29] Sandworm fue nombrado específicamente en relación con los ataques de diciembre de 2015 a las empresas de servicios eléctricos en el oeste de Ucrania y los ataques de 2016 a las empresas de servicios públicos en Kiev. [29]

Ataque a la red eléctrica de Ucrania (abril de 2022)

En abril de 2022, Sandworm intentó provocar un apagón en Ucrania. [30] Se dice que es el primer ataque en cinco años que utiliza una variante del malware Industroyer llamada Industroyer2. [31]

SwiftSlicer (enero de 2023)

El 25 de enero de 2023, ESET atribuyó un limpiador de vulnerabilidades de Active Directory a Sandworm. [32]

El infame cincel (agosto de 2023)

El 31 de agosto de 2023, las agencias de ciberseguridad de EE. UU., Reino Unido, Canadá, Australia y Nueva Zelanda (conocidas colectivamente como Five Eyes ) publicaron conjuntamente un informe sobre una nueva campaña de malware y la atribuyeron a Sandworm. El malware, denominado "Infamous Chisel", tenía como objetivo los dispositivos Android utilizados por el ejército ucraniano. Después de la infección inicial, el malware establece un acceso persistente y luego recopila y extrae periódicamente datos del dispositivo comprometido. La información recopilada incluye:

El malware también recopila periódicamente puertos abiertos y banners de servicios que se ejecutan en otros hosts de la red local. Además, se crea un servidor SSH y se configura para que se ejecute como un servicio oculto de Tor . Un atacante podría entonces conectarse de forma remota al dispositivo infectado sin revelar su verdadera dirección IP. [33]

Nombre

El nombre "Sandworm" fue creado por investigadores de iSight Partners (ahora Mandiant ) debido a las referencias en el código fuente del malware a la novela Dune de Frank Herbert . [34]

En 2024, dadas las amenazas activas y persistentes que Sandworm representaba para los gobiernos y los operadores de infraestructura crítica a nivel mundial, Mandiant "graduó" a Sandworm en un grupo APT, llamándolo APT44. [4]

Véase también

Referencias

  1. ^ Adam Meyers (29 de enero de 2018). "VOODOO BEAR | Perfil de un actor amenazante | CrowdStrike". Crowdstrike.
  2. ^ abc "Reino Unido expone una serie de ciberataques rusos contra los Juegos Olímpicos y Paralímpicos". Centro Nacional de Seguridad Cibernética. 19 de octubre de 2020.
  3. ^ Greenberg, Andy (2019). Sandworm: una nueva era de ciberguerra y la caza de los hackers más peligrosos del Kremlin . Knopf Doubleday. ISBN 978-0-385-54441-2.
  4. ^ ab "APT44: Desenterrando el gusano de arena" (PDF) . Consultado el 12 de septiembre de 2024 . Error en la cita: La referencia nombrada "apt44-unearthing-sandworm" fue definida varias veces con contenido diferente (ver la página de ayuda ).
  5. ^ "Cómo Microsoft nombra a los actores de amenazas". Microsoft . Consultado el 21 de enero de 2024 .
  6. ^ abcd «Seis oficiales rusos del GRU acusados ​​en relación con la implementación mundial de malware destructivo y otras acciones disruptivas en el ciberespacio». Oficina de Asuntos Públicos del Departamento de Justicia . Departamento de Justicia de los Estados Unidos . 19 de octubre de 2020. Consultado el 23 de julio de 2021 .
  7. ^ Timberg, Craig; Nakashima, Ellen; Munzinger, Hannes; Tanriverdi, Hakan (30 de marzo de 2023). «Un tesoro secreto ofrece una mirada poco común a las ambiciones de Rusia en la ciberguerra». The Washington Post . Consultado el 31 de marzo de 2023 .
  8. ^ "Los piratas informáticos cortaron la red eléctrica de Ucrania". www.ft.com . 5 de enero de 2016 . Consultado el 28 de octubre de 2020 .
  9. ^ Volz, Dustin (25 de febrero de 2016). "El gobierno de Estados Unidos concluye que un ataque cibernético provocó un corte de energía en Ucrania". Reuters . Consultado el 28 de octubre de 2020 .
  10. ^ Hern, Alex (7 de enero de 2016). «El apagón en Ucrania fue provocado por piratas informáticos que atacaron a una empresa de medios, según los investigadores». The Guardian . ISSN  0261-3077 . Consultado el 28 de octubre de 2020 .
  11. ^ "La historia no contada de NotPetya, el ciberataque más devastador de la historia". Wired . ISSN  1059-1028 . Consultado el 28 de octubre de 2020 .
  12. ^ ab Greenberg, Andy . "Inside Olympic Destroyer, el hackeo más engañoso de la historia". Wired . ISSN  1059-1028 . Consultado el 28 de octubre de 2020 .
  13. ^ Andrew S. Bowen (24 de noviembre de 2020). Inteligencia militar rusa: antecedentes y cuestiones para el Congreso (PDF) (Informe). Servicio de Investigación del Congreso . p. 16 . Consultado el 21 de julio de 2021 .
  14. ^ Stephen Ward (14 de octubre de 2014). «iSIGHT descubre la vulnerabilidad de día cero CVE-2014-4114 utilizada en una campaña de ciberespionaje rusa». Archivado desde el original el 14 de octubre de 2014. Consultado el 5 de noviembre de 2023 .
  15. ^ Hultquist, John (7 de enero de 2016). "El equipo Sandworm y los ataques de la Autoridad de Energía de Ucrania". iSIGHT Partners. Archivado desde el original el 29 de enero de 2016.
  16. ^ Joe Slowik (15 de agosto de 2019). "CRASHOVERRIDE: reevaluación del incidente de energía eléctrica de Ucrania de 2016 como un ataque centrado en la protección" (PDF) . Dragos Inc.
  17. ^ Warren Mercer (12 de febrero de 2018). "El destructor olímpico apunta a los Juegos Olímpicos de Invierno". Cisco Talos.
  18. ^ Rascagneres, Paul; Lee, Martin (26 de febrero de 2018). "¿Quién no fue responsable del Olympic Destroyer?". Cisco Talos.
  19. ^ Jay Rosenberg (12 de febrero de 2018). «Juegos Olímpicos de Invierno Cibernéticos 2018: Similitudes de código con los ataques cibernéticos en Pyeongchang». Archivado desde el original el 30 de junio de 2020.
  20. ^ Kaspersky GReAT Team (8 de marzo de 2018). «OlympicDestroyer está aquí para engañar a la industria». Archivado desde el original el 31 de enero de 2019.
  21. ^ Kaspersky GReAT Team (8 de marzo de 2018). «El diablo está en el encabezado Rich». Archivado desde el original el 22 de febrero de 2019.
  22. ^ Cimpanu, Catalin. «Estados Unidos acusa a piratas informáticos rusos de estar detrás de los ataques a NotPetya, KillDisk y OlympicDestroyer». ZDNet . Consultado el 28 de octubre de 2020 .
  23. ^ "La oleada de ciberataques rusos muestra cómo es una guerra desenfrenada en Internet". The Guardian . 19 de octubre de 2020 . Consultado el 28 de octubre de 2020 .
  24. ^ "Estados Unidos acusa a Sandworm, la unidad de ciberguerra más destructiva de Rusia". Wired . ISSN  1059-1028 . Consultado el 28 de octubre de 2020 .
  25. ^ Satnam Narang (6 de junio de 2019). «CVE-2019-10149: vulnerabilidad crítica de ejecución remota de comandos descubierta en Exim» . Consultado el 4 de noviembre de 2023 .
  26. ^ "Agente de transferencia de correo de Exim explotado activamente por actores cibernéticos del GRU ruso". Agencia de Seguridad Nacional. Archivado desde el original el 24 de marzo de 2023.
  27. ^ Hardcastle, Jessica Lyons. "El malware Cyclops Blink se instala en los enrutadores ASUS". www.theregister.com . Consultado el 21 de marzo de 2022 .
  28. ^ "CISA agrega ocho vulnerabilidades explotadas conocidas al catálogo | CISA". www.cisa.gov . 11 de abril de 2022 . Consultado el 13 de abril de 2022 .
  29. ^ abc Greenberg, Andy (12 de mayo de 2022). "El caso de los cargos de crímenes de guerra contra los piratas informáticos rusos Sandworm". Wired . Consultado el 7 de julio de 2022 .
  30. ^ Greenberg, Andy. "Los piratas informáticos rusos Sandworm intentaron un tercer apagón en Ucrania". Wired . ISSN  1059-1028 . Consultado el 13 de abril de 2022 .
  31. ^ "Industroyer2: Industroyer reloaded". www.welivesecurity.com . Consultado el 13 de abril de 2022 .
  32. ^ Živé.sk (27 de enero de 2023). "Na Ukrajine maže počítače nový trójsky kôň. Hackeri majú byť prepojení na Rusko". Živé.sk (en eslovaco) . Consultado el 27 de enero de 2023 .
  33. ^ "Informe de análisis de malware de Infamous Chisel". Agencia de Seguridad de Infraestructura y Ciberseguridad. 31 de agosto de 2023. Consultado el 6 de noviembre de 2023 .
  34. ^ Kim Zetter (14 de octubre de 2014). "El hacker ruso 'Sandworm' ha estado espiando a gobiernos extranjeros durante años". Wired . Archivado desde el original el 14 de octubre de 2014.

Lectura adicional

Enlaces externos