Ryssland är Sandworm hacking grupp som förebådar en ny era av it-krig

0
5

Talare på årets CyberwarCon konferens dissekerade en ny era av it-krig, som nation-statliga aktörer att vända sig till en mängd nya avancerade ihållande hot (APT) strategier, verktyg och taktik för att attackera motståndare och spionera på inhemska motståndare och rivaler. Det mest uppmärksammade exemplet på denna nya era av nation-state digital krigföring är en ryska militära underrättelsetjänsten grupp som kallas Sandworm, en mystisk hacka initiativ som inte har varit kända förrän nyligen. Koncernen har dock tagit några av de mest destruktiva it-angrepp i historien.

[ Lär dig vad du behöver veta om att försvara en kritisk infrastruktur . | Det senaste från CSO genom att registrera dig för vårt nyhetsbrev. ]

Fast journalisten Andy Greenberg har precis släppt en hög profil bok om gruppen, som han sade vid konferensen är ett konto för den första full-blown cyberkrig som leds av dessa ryska angriparna. Han sparkade av händelsen med en djupdykning i Sandworm, ger en överblick av de mest mänskliga erfarenheter av koncernens skadliga insatser.

Sandworm först uppstod i början av 2014 med en attack på den ukrainska elnätet att “var en typ av faktiska cyberkrig i utvecklingen,” Greenberg sagt. De nätansvariga i Ukraina såg hjälplöst på “phantom musen attacker” dök upp på deras skärmar samtidigt Sandworm låst dem ur deras system, stängde av reservkraft till sina respektive rum, och sedan stängas av el till en kvarts miljon ukrainska civila, den första någonsin blackout utlöses av hackare.

[ Förbereda sig för att bli en Certified Information Security System Professional med denna omfattande online-kurs från PluralSight. Erbjuder nu en 10-dagars gratis testperiod! ]

I slutet av 2016, Sandworm slog den ukrainska nätet igen. “Det var en i huvudsak exempel på en nation-state störande angrepp på en motståndare mitt i ett kinetisk krig,” Greenberg sagt. Om det inte hade varit för en konfiguration fel i Sandworm är malware, attacken kunde ha varit långt mer förödande. Det kunde ha bränt ner linjer eller blåst upp transformatorer, Joe Slowik på Dragos nyligen upptäckte i sin forskning av händelsen, Greenberg påpekade.

Antar att det som hände i Ukraina som kommer att hända på andra håll

Detta var “den typ av destruktiv handling på elnätet har vi aldrig sett förut, men vi har alltid fruktade.” Ännu mer om “vad som händer i Ukraina som vi kommer att anta kommer att hända med resten av oss också eftersom Ryssland är att använda det som ett test lab för cyberkrig. Att cyberkrig kommer förr eller senare läcker ut till Väst,” Greenberg sagt. “När du gör förutsägelser som detta, behöver du inte verkligen vill att de ska gå i uppfyllelse.”

Sandworm är kontradiktoriska attacker gjorde spilla ut till Väst i sin nästa stora attack, NotPetya malware, som svepte över kontinenter i juni 2017 orsakar outsägligt skador i Europa och Usa, men främst i Ukraina. NotPetya, tog ner “300 ukrainska företag och 22 banker, fyra sjukhus som jag känner till, flera flygplatser, ganska mycket varje statlig myndighet. Det var en slags matta bombningen av den ukrainska internet, men det gjorde omedelbart sprida sig till resten av världen som uppfyller [min] prognos betydligt snabbare än jag någonsin skulle ha velat ha det,” Greenberg sagt.

Den enorma finansiella kostnader NotPetya är fortfarande okänd, men för företag som har satt en prislapp på attack, siffrorna är svindlande. Frakt jätte Maersk, som kämpade i månader för att komma tillbaka på fötter efter att ha sett alla sina datorskärmar turn”, svart, svart, svart, svart, svart,” i ord av en Maersk anställd, knuten priset attacken på $300 miljoner. Läkemedelsföretaget Merck drabbats av ännu större konsekvenser, med en beräknad kostnad av attacken på $870 miljoner euro. Dessa och andra kända ekonomiska förluster, som hittills beräknas till 10 miljarder dollar, bör betraktas som ett golv, ett minsta mått på effekt av konsekvenserna av NotPetya, Greenberg sade, med hänvisning till tidigare AMERIKANSKA Department of Homeland Security advisor Tom Bossert.

Sandworm mål för politiska kampanjer, globala händelser

Google säkerhet forskare Neel Mehta och Billy Leonard erbjuds nya och ytterligare insikt i Sandworm verksamhet på konferens. De började gräva i Sandworm runt tiden för 2017 franska valet, när gruppen började med inriktning Emmanuel Streck presidentens kampanj.

Innan Sandworm tog över den ryska staten hacka insatser, som Mehta och Leonard pinpoint-14 April, en annan att hacka arm av Rysslands främsta intelligens arm, GRU, var på scenen och även inriktning Streck kampanj. “Det är nästan som B-laget var kallade att ta bollen och gå hem och de ringde upp A-team,” Leonard sade. “Infrastruktur, konton, allt arbetar med det. Två mycket olika verksamheter.”

Då, hösten och tidig vinter 2017, Sandworm vrids till inriktning Sydkorea och ett antal organisationer med anknytning till värd för Vinter-Os i PyeongChang. På den punkten Sandworm började inrikta sig på Android-telefoner i en insats för att sprida skadlig kod genom ett antal infekterade appar, Mehta och Leonard sade.

Deras taktik var att ta över ett antal legitima appar som var populära i Sydkorea, till exempel en buss tidtabell app. De gjorde det genom att ladda ner den legitima app, backdooring det och sedan ladda upp det till den plats där den lagliga versionen av appen bör vara.

Även om syftet med dessa Android-infektion försök är oklart – Mehta och Leonard sade inga enheter har smittats med skadlig kod – den sista aktiviteten av Sandworm i Sydkorea var i mitten av Mars 2017, en underlighet med tanke på att Os som slutade i februari samma år.

Ryska företag är också ett mål

Sandworm tog en annan vändning, men under Våren 2018 när Google forskare såg samma skadlig kod som används i nationella inriktning av företag som är interna för Ryssland, inklusive kommersiella fastigheter företag, finansiella institutioner och fordonsindustrin. “Du ser denna grupp som det kommer, med inriktning på Os, försöker göra störande angrepp mot de Olympiska spelen, [då] inriktning inhemska företag i Ryssland,” Leonard sade. “Det är en ganska stor förändring.”

Nästa, hösten 2018 Sandworm började med inriktning mjukvaruutveckling och mobila utvecklare och andra utvecklare inom främst baserade i Ukraina. De lyckades kompromissa en ansökan utvecklare, Mehta och Leonard sade.

Alla länder, inte bara Ukraina, är extremt känsliga för Sandworm attacker. Med en omskrivning av tidigare NSA och CIA-chefen Michael Hayden, som en gång sade: “På internet, vi är alla Polens,” med hänvisning till Tyskland är lätt invasion av landet under andra Världskriget, Greenberg sa Hayden var iväg med några hundra mil. “På internet, vi är alla Ukraina.”

Mer om kritisk infrastruktur:

  • Skydd av kritisk Infrastruktur (CIP): säkerhetsproblem finns trots överensstämmelse
  • Är kritisk infrastruktur nästa DDoS mål?
  • Top IT-säkerhet certifieringar för kritisk infrastruktur — per sektor
  • Kritisk infrastruktur: Off the web, utom fara?

Denna berättelse, “Rysslands Sandworm hacking grupp som förebådar en ny era av it-krig” var ursprungligen publicerad av