Sandworm — подрывники в киберпространстве

После развала КГБ его ответвления стали конкурировать за бюджеты в современных капиталистических реалиях.

ФСБ в нулевых, как показывает история, достался весь пиар, и о ГРУ, которая за это время успела переименоваться, слышно было нечасто. Это, как и в случае с израильским 8200, может значит 2 вещи: либо это там сотрудники просиживают штаны, либо они умеют в скрытые операции.

На деле хакеры, работающие по всему миру из Химок, настолько преисполнились в скрытности, что о них нет статьи даже в собственной русскоязычной части Википедии. Главный Центр Специальных Технологий ГШ ВС РФ, воинская часть 74455, APT44 или Sandworm считается одной из самых опасных APT в мире. Основной род их деятельности — саботаж, выражающийся в характерных атаках с массовым удалением данных и попытками повредить технику.

Сам центр основан еще в нулевых, но первые атаки задокументированы в 2014. Группа стоит за атаками на украинскую электросеть в 2015 и 2016. Первый признак их саботажных пристрастий проявился во второй атаке: спустя 3 года расследований, исследователи пришли к выводу, что целью было физическое уничтожение оборудования перегрузкой электросети, но атакующие не смогли её достичь.

Самая известная в репертуаре группы и одна из крупнейших кибератак в истории в целом не ограничилась Украиной, хоть и ставила её целью. В 2017 мир сотрясла еще одна атака, в которой использовались эксплойты, украденные The Shadow Brokers у АНБ США — NotPetya. В ней так же, как и в случае с корейской WannaCry шифровались данные машины и требовался выкуп, однако это не было конечной целью.

Червь NotPetya целился в организации в сферах энергетики и логистики, а именно в украинские (атака совпала с её Днем Конституции), поэтому использовала уязвимость в My Electronic Document — ПО для отчетности бизнеса в госорганы.

Однако, из-за использования «Медока» в т.ч. заграничными компаниями, заражения вышли из под контроля. Пострадали устройства компаний в США, Англии, Франции, Германии, Польше, Италии, но больше всех (80%, более 1500 организаций) — в Украине и даже самой России.

Последствия шифрования NotPetya сильно отличались от типичной рансомвари сегодня. Червь шифровал загрузочную запись (MBR) Windows, после чего последняя не могла запуститься, а на этапе её загрузки высвечивалось требование $300 в битке в обмен на ключ расшифровки MBR.

Ключ так никто и не получил, из-за чего вначале сделали вывод, что целью атаки было именно уничтожение данных, но спустя годы расследований безопасники предполагают, что перед самим шифрованием в системах производились действия, отвлечь внимание от которых и было призвано шифрование.

Sandworm и по сей день продолжает атаковать организации — все так же преимущественно безвозвратно уничтожая их данные и выводя из строя индустриальные устройства. Свое самое известное имя “земляной червь” получил из-за отсылок к научно-популярной саге «Дюна» в коде вредоносов группы. Отсылки быстро прекратились после атрибуции малвари этой группе.

Свежее