El 3 de septiembre de 2014, iSIGHT Partners (ahora Mandiant ) descubrió una campaña de phishing que explotaba una vulnerabilidad de día cero mediante documentos de Microsoft Office utilizados como arma. La vulnerabilidad, denominada CVE-2014-4114, afectaba a todas las versiones de Windows desde Vista hasta 8.1 y permitía a los atacantes ejecutar código arbitrario en una máquina objetivo. Los investigadores pudieron atribuir el ataque al grupo Sandworm y observaron que el gobierno ucraniano era uno de los objetivos de la campaña. Cabe destacar que este ataque coincidió con una cumbre de la OTAN sobre Ucrania en Gales. [15]
Hackeo de la red eléctrica de Ucrania en 2015
El 23 de diciembre de 2015, piratas informáticos lanzaron un ciberataque coordinado contra tres empresas energéticas en Ucrania y lograron interrumpir temporalmente el suministro de electricidad a unos 230.000 ucranianos durante 1 a 6 horas.
En enero, iSight Partners publicó un informe que vincula el ataque a Sandworm basándose en el uso de BlackEnergy 3. [16]
Hackeo de la red eléctrica de Ucrania en 2016
El 17 de diciembre de 2016, un año después del ataque anterior a la red eléctrica, los piratas informáticos volvieron a interrumpir la red eléctrica ucraniana con un ciberataque. Aproximadamente una quinta parte de Kiev se quedó sin electricidad durante una hora. Si bien el corte fue breve, un informe publicado tres años después del ataque por la empresa de seguridad Dragos describe una teoría según la cual el malware, conocido como Industroyer o CRASHOVERRIDE, tenía como objetivo destruir equipos eléctricos físicos. Al explotar una vulnerabilidad conocida en los relés de protección, el malware podría haber sido diseñado para ocultar cualquier problema de seguridad de modo que cuando los ingenieros trabajaran para restablecer la energía, se enviara una sobrecarga de corriente para destruir transformadores o líneas eléctricas. Tal destrucción podría haber dañado potencialmente a los trabajadores de la empresa de servicios públicos y, si hubiera tenido éxito, habría provocado un corte de energía mucho más prolongado. [17]
Tres días después, Cisco Talos publicó un informe en el que se denominaba al malware «Olympic Destroyer». El informe enumeraba similitudes en las técnicas de propagación del malware con las cepas de malware «BadRabbit» y «Nyetya» y afirmaba que el objetivo del ataque era interrumpir los juegos. [18]
La atribución del malware Olympic Destroyer resultó difícil, ya que parecía que el autor o los autores habían incluido muestras de código pertenecientes a múltiples actores de amenazas como banderas falsas . Intezer publicó un informe el 12 de febrero que mostraba similitudes de código con muestras atribuidas a 3 actores de amenazas chinos, mientras que un informe de seguimiento de Talos señaló una pista "débil" que apuntaba a otro limpiador creado por una escisión del Grupo Lazarus , una APT norcoreana . [19] [20]
El equipo de Kaspersky GReAT publicó el 8 de marzo dos artículos en su blog en los que analiza las teorías actuales de la industria y su propia investigación original. En el artículo técnico, Kaspersky, una empresa rusa, mostró en detalle cómo descubrieron que los encabezados de archivos que apuntaban al Grupo Lazarus eran falsos, pero no llegó a atribuir el malware Olympic Destroyer a ningún grupo que no fuera norcoreano. [21] [22]
Acusación en Estados Unidos (2020)
El 19 de octubre de 2020, un gran jurado con sede en Estados Unidos emitió una acusación formal que imputaba a seis presuntos oficiales de la Unidad 74455 por delitos cibernéticos. [23] [24] [25] Los oficiales, Yuriy Sergeyevich Andrienko, Sergey Vladimirovich Detistov, Pavel Valeryevich Frolov, Anatoliy Sergeyevich Kovalev, Artem Valeryevich Ochichenko y Petr Nikolayevich Pliskin, fueron acusados individualmente de conspiración para llevar a cabo fraude y abuso informático, conspiración para cometer fraude electrónico , fraude electrónico, daño a computadoras protegidas y robo de identidad agravado . Cinco de los seis fueron acusados de desarrollar abiertamente herramientas de piratería, mientras que Ochichenko fue acusado de participar en ataques de phishing contra los Juegos Olímpicos de Invierno de 2018 y de realizar reconocimiento técnico e intentar piratear el dominio oficial del Parlamento de Georgia . [6] [a]
Simultáneamente con el anuncio de la acusación en Estados Unidos, el Centro Nacional de Seguridad Cibernética del Reino Unido ( NCSC ) publicó un informe que asociaba públicamente a Sandworm con el ataque a los Juegos Olímpicos de Invierno de 2018. [2]
Explotación Exim (2020)
El 28 de mayo de 2020, la Agencia de Seguridad Nacional publicó un aviso de ciberseguridad advirtiendo que el grupo Sandworm estaba explotando activamente una vulnerabilidad de ejecución remota de código (conocida como CVE-2019-10149) en Exim [32] para obtener el control total de los servidores de correo. [33] En el momento en que se publicó el aviso, una versión actualizada de Exim había estado disponible durante un año y la NSA instó a los administradores a parchear sus servidores de correo.
Parpadeo de cíclope (2022)
En febrero de 2022, Sandworm supuestamente lanzó Cyclops Blink como malware. El malware es similar a VPNFilter . [34] El malware permite construir una botnet y afecta a los enrutadores Asus y a los dispositivos WatchGuard Firebox y XTM. CISA emitió una advertencia sobre este malware. [35]
Ataque a la red eléctrica de Ucrania (abril de 2022)
En abril de 2022, Sandworm intentó provocar un apagón en Ucrania. [37] Se dice que es el primer ataque en cinco años que utiliza una variante del malware Industroyer llamada Industroyer2. [38]
El 31 de agosto de 2023, las agencias de ciberseguridad de EE. UU., Reino Unido, Canadá, Australia y Nueva Zelanda (conocidas colectivamente como Five Eyes ) publicaron conjuntamente un informe sobre una nueva campaña de malware y la atribuyeron a Sandworm. El malware, denominado "Infamous Chisel", tenía como objetivo los dispositivos Android utilizados por el ejército ucraniano. Después de la infección inicial, el malware establece un acceso persistente y luego recopila y extrae periódicamente datos del dispositivo comprometido. La información recopilada incluye:
información del sistema del dispositivo
Datos de aplicaciones de muchos tipos de aplicaciones:
Finanzas: Binance, PayPal, Trust Wallet, Google Wallet
Aplicaciones específicas del ejército ucraniano.
El malware también recopila periódicamente puertos abiertos y banners de servicios que se ejecutan en otros hosts de la red local. Además, se crea un servidor SSH y se configura para que se ejecute como un servicio oculto de Tor . Un atacante podría entonces conectarse de forma remota al dispositivo infectado sin revelar su verdadera dirección IP. [40]
Nombre
El nombre "Sandworm" fue creado por investigadores de iSight Partners (ahora Mandiant ) debido a las referencias en el código fuente del malware a la novela Dune de Frank Herbert . [41]
En 2024, dadas las amenazas activas y persistentes que Sandworm representaba para los gobiernos y los operadores de infraestructura crítica a nivel mundial, Mandiant "graduó" a Sandworm en un grupo APT, llamándolo APT44. [4]
^ El Servicio de Seguridad Diplomática del Departamento de Estado de los Estados Unidos : Recompensas por la Justicia ofrece una recompensa de hasta 10 millones de dólares por información que conduzca a la identificación o ubicación de los oficiales del GRU Petr Nikolayevich Pliskin ( ruso : Петр Николаевич Плискин ), Artem Valeryevich Ochichenko ( Ruso : Артем Валерьевич Очиченко ), Anatoliy Sergeyevich Kovalev ( ruso : Анатолий Сергеевич Ковалев ), Pavel Valeryevich Frolov ( ruso : Павел Валерьевич Фролов ), Sergey Vladimirovich Detistov ( ruso : Сергей Владимирович Детистов ) y Yuriy Sergeyevich Andrienko ( ruso : Юрий Сергеевич Андриенко ) del Centro Principal de Tecnologías de las Fuerzas Especiales de la G RU Fuerzas Terrestres Rusas (Unidad 74455) que está asociada con "Sandworm Team, "Telebots", "Voodoo Bear" y "Iron Viking" [26] [27] [28] . [29] [30] [31]
Referencias
^ Adam Meyers (29 de enero de 2018). "VOODOO BEAR | Perfil de un actor amenazante | CrowdStrike". Crowdstrike.
^ abc "Reino Unido expone una serie de ciberataques rusos contra los Juegos Olímpicos y Paralímpicos". Centro Nacional de Seguridad Cibernética. 19 de octubre de 2020.
^ Greenberg, Andy (2019). Sandworm: una nueva era de ciberguerra y la caza de los hackers más peligrosos del Kremlin . Knopf Doubleday. ISBN978-0-385-54441-2.
^ ab "APT44: Desenterrando el gusano de arena" (PDF) . Consultado el 12 de septiembre de 2024 .Error en la cita: La referencia nombrada "apt44-unearthing-sandworm" fue definida varias veces con contenido diferente (ver la página de ayuda ).
^ "Cómo Microsoft nombra a los actores de amenazas". Microsoft . Consultado el 21 de enero de 2024 .
^ abcd «Seis oficiales rusos del GRU acusados en relación con la implementación mundial de malware destructivo y otras acciones disruptivas en el ciberespacio». Oficina de Asuntos Públicos del Departamento de Justicia . Departamento de Justicia de los Estados Unidos . 19 de octubre de 2020. Consultado el 23 de julio de 2021 .
^ Timberg, Craig; Nakashima, Ellen; Munzinger, Hannes; Tanriverdi, Hakan (30 de marzo de 2023). «Un tesoro secreto ofrece una mirada poco común a las ambiciones de Rusia en la ciberguerra». The Washington Post . Consultado el 31 de marzo de 2023 .
^ "Los piratas informáticos cortaron la red eléctrica de Ucrania". www.ft.com . 5 de enero de 2016 . Consultado el 28 de octubre de 2020 .
^ Volz, Dustin (25 de febrero de 2016). "El gobierno de Estados Unidos concluye que un ataque cibernético provocó un corte de energía en Ucrania". Reuters . Consultado el 28 de octubre de 2020 .
^ Hern, Alex (7 de enero de 2016). «Los piratas informáticos que atacaron a una empresa de medios provocaron un apagón en Ucrania, según los investigadores». The Guardian . ISSN 0261-3077 . Consultado el 28 de octubre de 2020 .
^ "La historia no contada de NotPetya, el ciberataque más devastador de la historia". Wired . ISSN 1059-1028 . Consultado el 28 de octubre de 2020 .
^ ab Greenberg, Andy . "Inside Olympic Destroyer, el hackeo más engañoso de la historia". Wired . ISSN 1059-1028 . Consultado el 28 de octubre de 2020 .
^ Andrew S. Bowen (24 de noviembre de 2020). Inteligencia militar rusa: antecedentes y cuestiones para el Congreso (PDF) (Informe). Servicio de Investigación del Congreso . p. 16 . Consultado el 21 de julio de 2021 .
^ Stephen Ward (14 de octubre de 2014). «iSIGHT descubre la vulnerabilidad de día cero CVE-2014-4114 utilizada en una campaña de ciberespionaje rusa». Archivado desde el original el 14 de octubre de 2014. Consultado el 5 de noviembre de 2023 .
^ Hultquist, John (7 de enero de 2016). "El equipo Sandworm y los ataques de la Autoridad de Energía de Ucrania". iSIGHT Partners. Archivado desde el original el 29 de enero de 2016.
^ Joe Slowik (15 de agosto de 2019). "CRASHOVERRIDE: reevaluación del incidente de energía eléctrica de Ucrania de 2016 como un ataque centrado en la protección" (PDF) . Dragos Inc.
^ Warren Mercer (12 de febrero de 2018). "El destructor olímpico apunta a los Juegos Olímpicos de Invierno". Cisco Talos.
^ Rascagneres, Paul; Lee, Martin (26 de febrero de 2018). "¿Quién no fue responsable del Olympic Destroyer?". Cisco Talos.
^ Jay Rosenberg (12 de febrero de 2018). «Juegos Olímpicos de Invierno Cibernéticos 2018: Similitudes de código con los ataques cibernéticos en Pyeongchang». Archivado desde el original el 30 de junio de 2020.
^ Kaspersky GReAT Team (8 de marzo de 2018). «OlympicDestroyer está aquí para engañar a la industria». Archivado desde el original el 31 de enero de 2019.
^ Kaspersky GReAT Team (8 de marzo de 2018). «El diablo está en el encabezado Rich». Archivado desde el original el 22 de febrero de 2019.
^ Cimpanu, Catalin. «Estados Unidos acusa a piratas informáticos rusos de estar detrás de los ataques a NotPetya, KillDisk y OlympicDestroyer». ZDNet . Consultado el 28 de octubre de 2020 .
^ "La oleada de ciberataques rusos muestra cómo es una guerra desenfrenada en Internet". The Guardian . 19 de octubre de 2020 . Consultado el 28 de octubre de 2020 .
^ "Estados Unidos acusa a Sandworm, la unidad de ciberguerra más destructiva de Rusia". Wired . ISSN 1059-1028 . Consultado el 28 de octubre de 2020 .
^ Satnam Narang (6 de junio de 2019). «CVE-2019-10149: vulnerabilidad crítica de ejecución remota de comandos descubierta en Exim» . Consultado el 4 de noviembre de 2023 .
^ "Agente de transferencia de correo de Exim explotado activamente por actores cibernéticos del GRU ruso". Agencia de Seguridad Nacional. Archivado desde el original el 24 de marzo de 2023.
^ Hardcastle, Jessica Lyons. "El malware Cyclops Blink se instala en los enrutadores ASUS". www.theregister.com . Consultado el 21 de marzo de 2022 .
^ "CISA agrega ocho vulnerabilidades explotadas conocidas al catálogo | CISA". www.cisa.gov . 11 de abril de 2022 . Consultado el 13 de abril de 2022 .
^ abc Greenberg, Andy (12 de mayo de 2022). "El caso de los cargos de crímenes de guerra contra los piratas informáticos rusos Sandworm". Wired . Consultado el 7 de julio de 2022 .
^ Greenberg, Andy. "Los piratas informáticos rusos Sandworm intentaron un tercer apagón en Ucrania". Wired . ISSN 1059-1028 . Consultado el 13 de abril de 2022 .
^ "Industroyer2: Industroyer reloaded". www.welivesecurity.com . Consultado el 13 de abril de 2022 .
^ Živé.sk (27 de enero de 2023). "Na Ukrajine maže počítače nový trójsky kôň. Hackeri majú byť prepojení na Rusko". Živé.sk (en eslovaco) . Consultado el 27 de enero de 2023 .
^ "Informe de análisis de malware de Infamous Chisel". Agencia de Seguridad de Infraestructura y Ciberseguridad. 31 de agosto de 2023. Consultado el 6 de noviembre de 2023 .
^ Kim Zetter (14 de octubre de 2014). "El hacker ruso 'Sandworm' ha estado espiando a gobiernos extranjeros durante años". Wired . Archivado desde el original el 14 de octubre de 2014.
Lectura adicional
Greenberg, Andy (2019). Sandworm: una nueva era de ciberguerra y la caza de los hackers más peligrosos del Kremlin . Knopf Doubleday. ISBN 978-0-385-54441-2.
Enlaces externos
Acusación formal del Departamento de Justicia de Estados Unidos