Jump to content

Песчаный червь (хакерская группа)

Песчаный червь
Формирование в. 2004–2007 гг. [1]
Тип Расширенная постоянная угроза
Цель Кибершпионаж , кибервойна
Штаб-квартира 22 Kirova Street
Химки, Россия
Область
Россия
Методы Нулевые дни , целевой фишинг , вредоносное ПО
Официальный язык
Русский
Головная организация
ГРУ
Принадлежности Необычный медведь
Ранее назывался
Медведь Вуду [1]
Железный Викинг [2]
Телеботы [2]

Sandworm — это продвинутая постоянная угроза, управляет воинская часть 74455, подразделение кибервойны ГРУ которой , России службы военной разведки . [3] Другие названия группы, данные исследователями кибербезопасности , включают Telebots , Voodoo Bear , IRIDIUM , Seashell Blizzard , [4] и Железный Викинг . [5] [6]

Предполагается, что эта команда стоит за кибератакой на энергосистему Украины в декабре 2015 года . [7] [8] [9] кибератаки на Украину в 2017 году с использованием вредоносного ПО NotPetya , [10] различные попытки вмешательства в президентские выборы во Франции 2017 года , [5] и кибератака на церемонию открытия зимних Олимпийских игр 2018 года . [11] [12] Тогдашний прокурор США в Западном округе Пенсильвании Скотт Брейди охарактеризовал киберкампанию группы как «представляющую собой самые разрушительные и дорогостоящие кибератаки в истории». [5]

История [ править ]

2014 [ править ]

3 сентября 2014 года компания iSIGHT Partners (теперь Mandiant ) обнаружила целевую фишинговую кампанию, использующую уязвимость нулевого дня в документах Microsoft Office, используемых в качестве оружия. Уязвимость, получившая название CVE-2014-4114, затронула все версии Windows от Vista до 8.1 и позволила злоумышленникам выполнить произвольный код на целевой машине. Исследователи смогли приписать нападение группе Sandworm и заметили, что украинское правительство было одной из целей кампании. Примечательно, что это нападение совпало с саммитом НАТО по Украине в Уэльсе. [13]

Взлом электросети Украины 2015 , г.

Основная статья: Взлом электросети Украины в 2015 году

23 декабря 2015 года хакеры предприняли скоординированную кибератаку против трех энергетических компаний Украины и сумели временно прекратить подачу электроэнергии примерно 230 тысячам украинцев на 1-6 часов.

В январе iSight Partners опубликовала отчет, связывающий атаку с Sandworm на основе использования BlackEnergy 3. [14]

Взлом электросети Украины 2016 , г.

Основная статья: Кибератака в Киеве в 2016 году

17 декабря 2016 года, через год после предыдущей атаки на электросети, хакеры снова нарушили работу энергосистемы Украины с помощью кибератаки. Около пятой части Киева обесточили на час. Хотя сбой в конечном итоге был непродолжительным, в отчете, опубликованном через 3 года после атаки охранной фирмы Dragos, излагается теория о том, что вредоносное ПО, известное как Industroyer или CRASHOVERRIDE, предназначалось для разрушения физического электрооборудования. Используя известную уязвимость в защитных реле, вредоносное ПО могло быть разработано для того, чтобы скрыть любые проблемы безопасности, например, когда инженеры работали над восстановлением электропитания, перегрузка по току вызывала разрушение трансформаторов или линий электропередачи. Такое разрушение потенциально могло бы нанести вред работникам коммунальных предприятий, а также привело бы к гораздо более длительному отключению электроэнергии, если бы оно удалось. [15]

Зимние Олимпийские игры 2018 года [ править ]

2018 года во время церемонии открытия зимних Олимпийских игр в Пхёнчхане 9 февраля южнокорейские хакеры предприняли кибератаку и успешно разрушили ИТ-инфраструктуру, включая Wi-Fi, телевизоры вокруг Олимпийского стадиона в Пхёнчхане, показывающие церемонию, ворота безопасности на основе RFID и официальные Олимпийские игры. приложение, которое использовалось для продажи цифровых билетов. Сотрудники смогли восстановить большинство критически важных функций еще до завершения церемонии открытия, но всю сеть пришлось перестраивать с нуля. Вредоносная программа Wiper проникла во все контроллеры домена и вывела их из строя. [11]

Три дня спустя Cisco Talos опубликовала отчет, назвав вредоносное ПО «Олимпийским разрушителем». В отчете указано сходство методов распространения вредоносного ПО со штаммами вредоносного ПО BadRabbit и Nyetya, а целью атаки указано нарушение работы игр. [16]

образцы кода, принадлежащие нескольким злоумышленникам Установление авторства вредоносного ПО Olympic Destroyer оказалось трудным, поскольку оказалось, что автор(ы) включил в качестве ложных сигналов . 12 февраля компания Intezer опубликовала отчет, показывающий сходство кода с образцами, приписываемыми трем китайским злоумышленникам, а в последующем отчете Talos отмечалась «слабая» подсказка, указывающая на другой вайпер, созданный дочерней компанией Lazarus Group , северокорейской APT . [17] [18]

8 марта команда Kaspersky GReAT опубликовала две записи в блоге, в которых обсуждаются текущие теории отрасли и собственные оригинальные исследования. В технической статье российская компания «Касперский» подробно показала, как они обнаружили, что заголовки файлов, указывающие на Lazarus Group, были поддельными, но не стала приписывать вредоносное ПО Olympic Destroyer какой-либо не северокорейской группе. [19] [20]

Обвинение США (2020 г.) [ править ]

ФБР запросило плакат со списком шести российских офицеров, обвиненных в киберпреступлениях.

19 октября 2020 года большое жюри в США опубликовало обвинительное заключение, в котором шести предполагаемым офицерам подразделения 74455 предъявлено обвинение в киберпреступлениях. [21] [22] [23] Офицерам Юрию Сергеевичу Андриенко, Сергею Владимировичу Детистову, Павлу Валерьевичу Фролову, Анатолию Сергеевичу Ковалеву, Артему Валерьевичу Очиченко и Петру Николаевичу Плискину были предъявлены индивидуальные обвинения в сговоре с целью совершения компьютерного мошенничества и злоупотреблений, сговоре с целью совершения электронного мошенничества , электронном мошенничестве, повреждение защищенных компьютеров и кража личных данных при отягчающих обстоятельствах . Пятеро из шести были обвинены в открытой разработке хакерских инструментов, а Очиченко обвинили в участии в целевых фишинговых атаках на зимние Олимпийские игры 2018 года , а также в проведении технической разведки и попытке взлома официального домена парламента Грузии . [5]

Одновременно с объявлением обвинительного заключения в США Национальный центр кибербезопасности Великобритании ( NCSC ) опубликовал отчет, в котором публично связался с песчаным червем и атакой на зимних Олимпийских играх 2018 года. [2]

Эксплуатация Exim (2020) [ править ]

28 мая 2020 года Агентство национальной безопасности опубликовало предупреждение по кибербезопасности о том, что группа Sandworm активно эксплуатирует уязвимость удаленного выполнения кода (известную как CVE-2019-10149) в Exim. [24] получить полный контроль над почтовыми серверами. [25] На момент публикации рекомендаций обновленная версия Exim была доступна уже год, и АНБ призвало администраторов обновить свои почтовые серверы.

Циклоп Блинк (2022) [ править ]

В феврале 2022 года Sandworm якобы выпустила Cyclops Blink как вредоносное ПО. Вредоносное ПО похоже на VPNFilter . [26] Вредоносное ПО позволяет ботнет создать Asus и поражает маршрутизаторы , а также устройства WatchGuard Firebox и XTM. CISA выпустила предупреждение об этом вредоносном ПО. [27]

военных преступлениях (март 2022 г. Запрос о )

В конце марта 2022 года следователи и юристы по правам человека юридической школы Калифорнийского университета в Беркли направили официальный запрос прокурору Международного уголовного суда в Гааге . [28] Они призвали Международный уголовный суд рассмотреть обвинения в военных преступлениях против российских хакеров за кибератаки на Украину. [28] Песчаный червь был специально назван в связи с атаками на электроэнергетические предприятия в декабре 2015 года на западе Украины и атаками на коммунальные предприятия в Киеве в 2016 году. [28]

энергосистему Украины (апрель 2022 г. Атака на )

В апреле 2022 года Sandworm попыталась отключить электричество в Украине. [29] Сообщается, что это первая атака за пять лет с использованием варианта вредоносного ПО Industroyer под названием Industroyer2. [30]

SwiftSlicer (январь 2023 г.) [ править ]

25 января 2023 года компания ESET приписала Active Directory . уязвимости очистку Sandworm [31]

Chisel (август 2023 Infamous г. )

31 августа 2023 года агентства кибербезопасности США, Великобритании, Канады, Австралии и Новой Зеландии (совместно известные как Five Eyes ) совместно опубликовали отчет о новой вредоносной кампании и приписали ее Sandworm. Вредоносное ПО, получившее название «Infamous Chisel», было нацелено на устройства Android, используемые украинскими военными. После первоначального заражения вредоносная программа устанавливает постоянный доступ, а затем периодически собирает и удаляет данные со скомпрометированного устройства. Собираемая информация включает в себя:

  • системная информация устройства
  • данные приложений из многих типов приложений:
    • чат - Skype, Telegram, WhatsApp, Signal, Viber, Discord
    • браузер – Opera, Brave, Firefox, Chrome
    • двухфакторная аутентификация (2FA) – Google Authenticator
    • VPN — OpenVPN, мастер VPN-прокси
    • синхронизация файлов — OneDrive, Dropbox
    • финансы — Binance, PayPal, Trust Wallet, Google Wallet
  • приложения, специфичные для украинской армии

Вредоносная программа также периодически собирает открытые порты и баннеры сервисов, работающих на других хостах локальной сети. Кроме того, SSH- создается и настраивается сервер для работы в качестве скрытой службы Tor . Злоумышленник может затем удаленно подключиться к зараженному устройству, не раскрывая свой истинный IP-адрес. [32]

Имя [ править ]

Название «Sandworm» было дано исследователями из iSight Partners (ныне Mandiant ) из-за отсылок в исходном коде вредоносного ПО к Фрэнка Герберта роману «Дюна » . [33]

См. также [ править ]

Ссылки [ править ]

  1. ^ Адам Мейерс (29 января 2018 г.). «МЕДВЕДЬ ВУДУ | Профиль злоумышленника | CrowdStrike» . Забастовка толпы.
  2. Перейти обратно: Перейти обратно: а б с «Великобритания разоблачила серию российских кибератак против Олимпийских и Паралимпийских игр» . Национальный центр кибербезопасности. 19 октября 2020 г.
  3. ^ Гринберг, Энди (2019). Песчаный червь: новая эра кибервойн и охота на самых опасных кремлевских хакеров . Кнопф Даблдэй. ISBN  978-0-385-54441-2 .
  4. ^ «Как Microsoft называет субъектов угроз» . Майкрософт . Проверено 21 января 2024 г.
  5. Перейти обратно: Перейти обратно: а б с д «Шестерым российским офицерам ГРУ предъявлены обвинения в связи с распространением по всему миру деструктивного вредоносного ПО и другими подрывными действиями в киберпространстве» . Управление по связям с общественностью Министерства юстиции . Министерство юстиции США . 19 октября 2020 г. Проверено 23 июля 2021 г.
  6. ^ Тимберг, Крейг; Накашима, Эллен; Мюнцингер, Ханнес; Танриверди, Хакан (30 марта 2023 г.). «Секретная находка предлагает редкий взгляд на амбиции России в области кибервойны» . Вашингтон Пост . Проверено 31 марта 2023 г.
  7. ^ «Хакеры отключили энергосистему Украины» . www.ft.com . 5 января 2016 года . Проверено 28 октября 2020 г.
  8. ^ Волц, Дастин (25 февраля 2016 г.). «Правительство США пришло к выводу, что кибератака стала причиной отключения электроэнергии в Украине» . Рейтер . Проверено 28 октября 2020 г.
  9. ^ Херн, Алекс (7 января 2016 г.). "Украинский блэкаут вызван хакерами, атаковавшими медиакомпанию, - считают исследователи" . Хранитель . ISSN   0261-3077 . Проверено 28 октября 2020 г.
  10. ^ «Нерассказанная история NotPetya, самой разрушительной кибератаки в истории» . Проводной . ISSN   1059-1028 . Проверено 28 октября 2020 г.
  11. Перейти обратно: Перейти обратно: а б Гринберг, Энди . «Внутри олимпийского разрушителя, самый обманчивый взлом в истории» . Проводной . ISSN   1059-1028 . Проверено 28 октября 2020 г.
  12. ^ Эндрю С. Боуэн (24 ноября 2020 г.). Российская военная разведка: предыстория и проблемы для Конгресса (PDF) (Отчет). Исследовательская служба Конгресса . п. 16 . Проверено 21 июля 2021 г.
  13. ^ Стивен Уорд (14 октября 2014 г.). «iSIGHT обнаружила уязвимость нулевого дня CVE-2014-4114, используемую в российской кампании кибершпионажа» . Архивировано из оригинала 14 октября 2014 года . Проверено 5 ноября 2023 г.
  14. ^ Халтквист, Джон (7 января 2016 г.). «Команда песчаных червей и атаки украинской власти» . Партнеры iSIGHT. Архивировано из оригинала 29 января 2016 года.
  15. ^ Джо Слоуик (15 августа 2019 г.). «CRASHOVERRIDE: Переоценка событий в электроэнергетике Украины в 2016 году как атака, направленная на защиту» (PDF) . Драгос Инк.
  16. ^ Уоррен Мерсер (12 февраля 2018 г.). «Олимпийский разрушитель нацелился на зимние Олимпийские игры» . Циско Талос.
  17. ^ Расканьерес, Поль; Ли, Мартин (26 февраля 2018 г.). «Кто не несет ответственности за олимпийский разрушитель?» . Циско Талос.
  18. ^ Джей Розенберг (12 февраля 2018 г.). «Зимние киберолимпиады 2018 года: сходство кода с кибератаками в Пхенчхане» . Архивировано из оригинала 30 июня 2020 года.
  19. ^ Команда Kaspersky GReAT (8 марта 2018 г.). «OlympicDestroyer здесь, чтобы обмануть индустрию» . Архивировано из оригинала 31 января 2019 года.
  20. ^ Команда Kaspersky GReAT (8 марта 2018 г.). «Дьявол в заголовке Rich» . Архивировано из оригинала 22 февраля 2019 года.
  21. ^ Чимпану, Каталин. «США обвиняют российских хакеров в атаках NotPetya, KillDisk, OlympicDestroyer» . ЗДНет . Проверено 28 октября 2020 г.
  22. ^ «Российские кибератаки показывают, как выглядит безудержная интернет-война» . Хранитель . 19 октября 2020 г. Проверено 28 октября 2020 г.
  23. ^ «США предъявили обвинение песчаному червю, самому разрушительному подразделению России в сфере кибервойны» . Проводной . ISSN   1059-1028 . Проверено 28 октября 2020 г.
  24. ^ Сатнам Наранг (6 июня 2019 г.). «CVE-2019-10149: в Exim обнаружена критическая уязвимость удаленного выполнения команд» . Проверено 4 ноября 2023 г.
  25. ^ «Агент передачи почты Exim активно используется российскими киберпреступниками ГРУ» . Агентство национальной безопасности. Архивировано из оригинала 24 марта 2023 года.
  26. ^ Хардкасл, Джессика Лайонс. «Вредоносная программа Cyclops Blink внедряется в маршрутизаторы ASUS» . www.theregister.com . Проверено 21 марта 2022 г.
  27. ^ «CISA добавляет в каталог восемь известных эксплуатируемых уязвимостей | CISA» . www.cisa.gov . 11 апреля 2022 г. Проверено 13 апреля 2022 г.
  28. Перейти обратно: Перейти обратно: а б с Гринберг, Энди (12 мая 2022 г.). «Дело об обвинениях в военных преступлениях против российских хакеров-червей» . Проводной . Проверено 7 июля 2022 г.
  29. ^ Гринберг, Энди. «Российские хакеры-песчаные черви предприняли третью попытку отключения электроэнергии на Украине» . Проводной . ISSN   1059-1028 . Проверено 13 апреля 2022 г.
  30. ^ «Индустрой2: Индустрой перезагрузка» . www.welivesecurity.com . Проверено 13 апреля 2022 г.
  31. ^ Живе.ск (27 января 2023 г.). «Новый троянский конь уничтожает компьютеры в Украине. Говорят, что хакеры связаны с Россией» . Живе.ск (на словацком языке) . Проверено 27 января 2023 г.
  32. ^ «Отчет об анализе вредоносного ПО Infamous Chisel» . Агентство кибербезопасности и безопасности инфраструктуры. 31 августа 2023 г. Проверено 6 ноября 2023 г.
  33. ^ Ким Зеттер (14 октября 2014 г.). «Российский хакер Sandworm» уже много лет шпионит за правительствами иностранных государств» . Проводной . Архивировано из оригинала 14 октября 2014 года.

Дальнейшее чтение [ править ]

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Sandworm_(hacker_group)&oldid=1230243450"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 3c261ddbe3ae58baedff0fe6c4c51787__1718973600
URL1:https://arc.ask3.ru/arc/aa/3c/87/3c261ddbe3ae58baedff0fe6c4c51787.html
Заголовок, (Title) документа по адресу, URL1:
Sandworm (hacker group) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)