Russlands Sandworm hacking gruppen varsler nye æra av cyber krigføring

0
3

Høyttalerne på årets CyberwarCon konferanse dissekert en ny æra av cyber krigføring, som nasjon-statlige aktører slå til en rekke nye advanced persistent threat (APT) strategier, verktøy og taktikker for å angripe fiender og spionere på innenlandske dissidenter og rivaler. Høyeste profil eksempel på dette new era of nation-state krigføring i det digitale rom er en russisk militær etterretning gruppe kalt Sandworm, en mystisk hacking initiativ som om lite har vært kjent inntil nylig. Gruppen har likevel lansert noen av de mest ødeleggende nettangrep i historien.

[ Finn ut hva du trenger å vite om å forsvare kritisk infrastruktur . | Få det nyeste fra CSO ved å registrere deg for våre nyhetsbrev. ]

Wired-journalist Andy Greenberg har nettopp sluppet en høy-profil bok om gruppen, som han sa på konferansen er en beretning om den første full-blåst cyberwar ledet av disse russiske angripere. Han sparket av hendelsen med på et dypdykk Sandworm, noe som gir en oversikt over det meste menneskelige erfaringer av konsernets skadelig arbeid.

Sandworm først dukket opp i begynnelsen av 2014, med et angrep på den ukrainske elektrisk nett som “var en slags faktiske cyberwar i fremgang,” Greenberg sa. De nettselskapene i Ukraina så hjelpeløst som “phantom musen angrep” dukket opp på sine skjermer mens Sandworm låst dem ut av deres systemer, slått av back-up strøm til sine kontroll-rom, og deretter slått av elektrisitet til en kvart million ukrainske sivile, den første noensinne blackout utløst av hackere.

[ Forberede seg til å bli et Certified Information Security Systems Profesjonelle med denne omfattende online-kurs fra PluralSight. Tilbyr nå en 10-dagers gratis prøveversjon! ]

I slutten av 2016, Sandworm slo ukrainske rutenett igjen. “Det var et typisk eksempel på en nasjon-stat forstyrrende angrep på en fiende som er midt i en fysisk krig,” Greenberg sa. Hvis det ikke hadde vært for en konfigurasjonsfeil i Sandworm er malware, angrepet kunne ha vært langt mer ødeleggende. Det kunne ha brent ned linjer eller blåst opp transformatorer, som Joe Slowik på Dragos nylig oppdaget i sin forskning av hendelsen, Greenberg påpekt.

Anta hva som skjedde i Ukraina vil skje andre steder

Dette var “den slags destruktiv handling på kraftnettet vi aldri har sett før, men vi har alltid fryktede.” Enda mer om, “hva skjer i Ukraina vi vil anta at vil skje for resten av oss også, fordi Russland er å bruke det som en test-lab for cyberwar. Som cyberwar vil før eller siden lekke ut til West,” Greenberg sa. “Når du gjør spådommer som dette, trenger du ikke egentlig vil ha dem til å gå i oppfyllelse.”

Sandworm er motstandere angrep gjorde lekke ut til West i sin neste store angrepet, NotPetya malware, som feide over kontinenter i juni 2017 forårsaker utallige skader i Europa og Usa, men for det meste i Ukraina. NotPetya, tok ned “300 ukrainske selskaper og 22 banker, fire sykehus som jeg er klar over, flere flyplasser, ganske mye hver etat. Det var en slags teppe bombing av den ukrainske internett, men det gjorde umiddelbart spredt seg til resten av verden oppfylle [min] prediksjon langt raskere enn jeg ville ha noen gang ønsket det,” Greenberg sa.

Den enorme økonomiske kostnader av NotPetya er fortsatt ukjent, men for bedrifter som har satt en prislapp på angrep, tallene er svimlende. Frakt Maersk giant, som kjempet for måneder å komme tilbake på føttene når du ser på alle sine pc-skjermer slå “svart, svart, svart, svart, svart,” i ordene til en Maersk ansattes, knyttet prisen av angrepet på $300 millioner kroner. Stoffet selskapet Merck lidd enda større konsekvenser, med en estimert kostnad av angrepet på $870 millioner kroner. Disse og andre kjente økonomisk tap, som til dags dato er estimert til $10 milliarder kroner, bør betraktes som et teppe, et minimum mål på virkningen av konsekvensene av NotPetya, Greenberg sa, siterer tidligere US Department of Homeland Security rådgiver Tom Bossert.

Sandworm mål politiske kampanjer, globale begivenheter

Google security forskere Neel Mehta og Billy Leonard tilbys nye og ekstra innsikt i Sandworm aktiviteter på konferansen. De begynte å grave i Sandworm rundt den tiden av 2017 franske valget, da gruppen startet målretting Emmanuel Macron ‘ s presidentvalget.

Før Sandworm tok over den russisk-stat hacking innsats, som Mehta og Leonard pinpoint til April 14, annen hacking arm av Russlands viktigste intelligens arm, GRU, var på scenen og også målretting Macron ‘ s kampanje. “Det er nesten som B-laget var kalt til å ta ballen og gå hjem, og de kalles opp på A-laget,” sa Leonard. “Infrastrukturen, regnskap, alt som er involvert med det. To svært forskjellige operasjoner.”

Deretter, i høst og tidlig vinter 2017, Sandworm svinges til målretting mot Sør-Korea og en rekke organisasjoner knyttet til Vinter-Ol arrangert i PyeongChang. På det tidspunktet Sandworm begynte målretting Android-telefoner i et forsøk på å spre malware gjennom et antall infiserte apper, Guttekor og Leonard sa.

Deres taktikk var å ta over en rekke legitime programmer som er populære i Sør-Korea, for eksempel en buss timeplan app. De gjorde det ved å laste ned legitime app, backdooring det, og deretter re-laste den opp til det sted hvor den lovlige versjonen av appen bør være.

Selv om formålet med disse Android-infeksjon forsøk er uklart – Mehta og Leonard sa nei enheter ble infisert av malware – siste aktivitet av Sandworm i Sør-Korea var i midten av Mars 2017, en særhet gitt at Ol endte i februar det året.

Russiske selskaper også et mål

Sandworm tok en ny vending, men i løpet av Våren 2018 når Google forskere så den samme malware brukt i innenlandsk målretting av selskaper som er internt til Russland, inkludert commercial real estate bedrifter, finansielle institusjoner og bilindustrien. “Ser du denne gruppen skal det, som er rettet mot Ol, og prøver å gjøre forstyrrende angrep mot Ol, [så] målretting innenlandske selskaper i Russland,” sa Leonard. “Det er en ganske stor shift”.

Neste, høsten 2018 Sandworm startet målretting software utviklere og apputviklere, og andre utviklere, som i hovedsak er basert i Ukraina. De lyktes i å svekke et program utvikleren, Guttekor og Leonard sa.

Alle land, ikke bare i Ukraina, er svært sårbare for Sandworm angrep. Parafrasering tidligere NSA og CIA-Direktør Michael Hayden, som en gang sa: “På internett, vi er alle Polands,” henviser til Tyskland er lett invasjon av landet i World War II, Greenberg sa Hayden ble slått av et par hundre mil. “På internett, vi er alle Ukraina.”

Mer på kritisk infrastruktur:

  • Beskyttelse av kritisk Infrastruktur (CIP): sikkerhetsproblemer finnes tross samsvar
  • Er kritisk infrastruktur neste DDoS målet?
  • Topp IT-sikkerhet sertifiseringer for kritisk infrastruktur — av sektor
  • Kritisk infrastruktur, Ut web, ut av fare?

Denne historien, “Russlands Sandworm hacking gruppen varsler nye æra av cyber warfare” ble opprinnelig utgitt av