Sandworm повысили до APT44Mandiant выпустила большой
отчёт (текст в
PDF) про хакерскую группу Sandworm, которую связывают с российской военной разведкой (американские власти —
на официальном уровне). Исследователи киберугроз отслеживают деятельность Sandworm уже на протяжении 10 лет, ей приписывают, в частности, атаки на украинскую энергосистему в 2015 и 2016 годах и глобальную атаку с помощью шифровальщика без возможности восстановления NotPetya в 2017 году (от которой пострадали в т.ч.
многие российские организации).
В отчёте утверждается (стр. 7), что группа представляет риск распространения новых концепций и методов взлома, и якобы именно в связи с осознанием этого риска сама Россия проводит учения по защите от вредоносной деятельности, похожей на атаки Sandworm — здесь речь идёт о прошлогоднем
разборе софта, вероятно разработанного для киберполигона Ростелеком-Солара.
Из-за того, что, по оценке Mandiant, Sandworm «представляет активную и устойчивую угрозу правительствам и операторам критической инфраструктуры по всему миру», компания решила присвоить ей наименование согласно своей традиционной таксономии — APT44.
Исследователи Mandiant также связывают (стр. 12) с Sandworm/APT44 деятельность трёх хактивистских группировок: XakNet, CyberArmyofRussia и Солнцепёк (последняя в декабре взяла ответственность за выведения из строя украинского мобильного оператора Киевстар). При этом не утверждается, что эти группы являются частью APT44, но у последней якобы есть возможность влиять на их деятельность, в т.ч. публиковать через них похищенные данные.
Главным инфоповодом для СМИ на основе отчёта стали как раз заявления хактивистов, а именно CyberArmyofRussia. В отчёте сообщается (стр. 13), что 17 и 18 января этого года CyberArmyofRussia взяла ответственность за манипулирование интерфейсами автоматизированных систем управления объектов водоснабжения в США и Польше, опубликовав в подтверждение соответствующие видео. А 2 марта в канале этой же группы было опубликовано ещё одно заявление о взломе гидроэлектрической станции во Франции.
Mandiant отмечает, что две недели спустя местные власти в США подтвердили кибератаку. В
коротком сообщении от начала февраля со ссылкой на сити-менеджера города Мьюлшу, штат Техас, говорится, что 18 января
«взлом был обнаружен после того, как один из жителей города обратился в полицию с необычной проблемой — переполненным баком для воды. [Сити-менеджер] Санчес сказал, что городские власти изучили ситуацию и обнаружили сбой в системе, который был относительно вне контроля городских властей. Это не вызвало никаких перебоев в обслуживании».
Про атаки на физические объекты написали
CNN,
Le Monde и
Wired. Из статьи CNN можно узнать некоторые подробности инцидента в Техасе:
«Хакеры взломали систему удаленного входа в промышленную программу, позволяющую операторам взаимодействовать с резервуаром для воды, сообщил CNN сити-менеджер Рамон Санчес. Резервуар с водой переполнялся в течение 30-45 минут, прежде чем власти Мьюлшу отключили взломанное оборудование и перешли на ручное управление, сообщил Санчес в электронном письме. По словам Санчеса, власти Мьюлшу заменили взломанную систему и предприняли другие меры для защиты сети».Le Monde утверждает, что в случае атаки на Францию злоумышленники преувеличили свой успех: они утверждали, что атаковали плотину, но журналисты узнали, что в действительности инцидент произошёл на водяной мельнице в небольшом городке.
Энди Гринберг, автор книги про Sandworm,
замечает в этой связи, что атаки на физические объекты, скорее всего, дело рук не самой Sandworm, а слабо связанных с ней групп. Mandiant тоже подчёркивает, что пока не может самостоятельно подтвердить связи этих атак с Sandworm.