Η ομάδα hacking Sandworm, που σχετίζεται με τις ρωσικές στρατιωτικές πληροφορίες, κρύβει επιθέσεις πίσω από πολλαπλές διαδικτυακές περσόνες που παρουσιάζονται ως ομάδες hacktivists.
Δείτε επίσης: Βορειοκορεάτες hackers στοχεύουν blockchain engineers με το Kandykorn malware
Σύμφωνα με τη Mandiant, η ομάδα συνδέεται με τουλάχιστον τρία κανάλια Telegram που χρησιμοποιήθηκαν για να ενισχύσουν τη δραστηριότητα της ομάδας, δημιουργώντας προπαγάνδα υπέρ της Ρωσίας.
Η Sandworm, γνωστή και ως BlackEnergy, Seashell Blizzard, Voodoo Bear, δραστηριοποιείται τουλάχιστον από το 2009, με πολλές κυβερνήσεις να αποδίδουν τις δραστηριότητές της στη Μονάδα 74455, το Κύριο Κέντρο Ειδικών Τεχνολογιών (GTsST) εντός της Κύριας Διεύθυνσης του Γενικού Επιτελείου των Ενόπλων Δυνάμεων της Ρωσικής Ομοσπονδίας (GU), περισσότερο γνωστή ως Κεντρική Διεύθυνση Πληροφοριών (GRU). Βασίζεται στις δύο κοινές μεθόδους αρχικής πρόσβασης, όπως το phishing και η συλλογή διαπιστευτηρίων, καθώς και η εκμετάλλευση γνωστών τρωτών σημείων και η παραβίαση της εφοδιαστικής αλυσίδας.
Η Mandiant άρχισε να παρακολουθεί την ομάδα ως APT44 και σημειώνει ότι «έχει καθιερωθεί ως η εξέχουσα μονάδα κυβερνοδολιοφθοράς της Ρωσίας».
Από τότε που η Ρωσία εισέβαλε στην Ουκρανία πριν από λίγο περισσότερο από δύο χρόνια, η Sandworm άρχισε να χρησιμοποιεί διαδικτυακές περσόνες hacktivists, για διαρροές δεδομένων και ανατρεπτικές λειτουργίες.
Σε μια έκθεση σήμερα, η Mandiant λέει ότι το Sandworm βασίστηκε σε τρία κύρια κανάλια Telegram με επωνυμίες hacktivists, τα XakNet Team, CyberArmyofRussia_Reborn και Solntsepek, που όλα λειτουργούν παράλληλα και ανεξάρτητα το ένα από το άλλο.
Δείτε ακόμα: Ουκρανοί hacker καταστρέφουν την υποδομή IT του Moscollector
«Η Mandiant παρατήρησε γνωστή υποδομή APT44 που χρησιμοποιείται για την κλοπή δεδομένων από θύματα, που διέρρευσαν αργότερα στο κανάλι Telegram CyberArmyofRussia_Reborn, καθώς και μετάβαση στο Telegram σε σύντομο χρονικό διάστημα, με τις δημοσιευμένες αξιώσεις του προσώπου».
Κάποια στιγμή, ένα σφάλμα από την πλευρά της ομάδας APT44, είχε ως αποτέλεσμα η CyberArmyofRussia_Reborn να ισχυριστεί στο κανάλι της μια επίθεση, που η APT44 δεν είχε ακόμη πραγματοποιήσει.
Αν και το μεγαλύτερο μέρος της δραστηριότητας επίθεσης και διαρροής που η Mandiant απέδωσε στην GRU και αφορούσε προσωπικότητες του Telegram επικεντρώθηκε σε ουκρανικές οντότητες, η CyberArmyofRussia_Reborn ανέλαβε επιθέσεις σε επιχειρήσεις ύδρευσης στις ΗΠΑ και την Πολωνία και σε μια υδροηλεκτρική εγκατάσταση στη Γαλλία.
Και στις δύο περιπτώσεις, οι hacktivists δημοσίευσαν βίντεο και στιγμιότυπα οθόνης που δείχνουν τον έλεγχο των λειτουργικών τεχνολογικών στοιχείων της ομάδας Sandworm.
Η Mandiant σημειώνει ότι αν και δεν μπορεί να επαληθεύσει αυτές τις εισβολές, αξιωματούχοι στις επηρεαζόμενες επιχειρήσεις κοινής ωφελείας στις ΗΠΑ, επιβεβαίωσαν περιστατικά και δυσλειτουργίες σε οργανισμούς που η CyberArmyofRussia_Reborn ισχυρίστηκε ότι παραβίασε.
Δείτε επίσης: Οι Ιρανοί hackers Charming Kitten χρησιμοποιούν το νέο BASICSTAR backdoor
Ποιες είναι οι κύριες τεχνικές που χρησιμοποιούν οι Ρώσοι χάκερ;
Οι Ρώσοι hackers, όπως η ομάδα Sandworm που παρουσιάζεται ως hacktivists, χρησιμοποιούν μια πληθώρα τεχνικών για να επιτύχουν τους στόχους τους. Μια από αυτές είναι η τεχνική του social engineering, όπου χρησιμοποιούν ψευδείς πληροφορίες για να παραπλανήσουν τα θύματά τους και να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα. Επιπλέον, χρησιμοποιούν την τεχνική της επίθεσης phishing, όπου στέλνουν ψευδείς ηλεκτρονικές επιστολές ή μηνύματα που φαίνονται να προέρχονται από αξιόπιστες πηγές, προκειμένου να παρακινήσουν τα θύματα να αποκαλύψουν προσωπικές πληροφορίες. Οι ρώσοι χάκερ χρησιμοποιούν επίσης την τεχνική του ransomware, όπου κρυπτογραφούν τα δεδομένα των θυμάτων και απαιτούν λύτρα για την αποκρυπτογράφησή τους. Μια άλλη τεχνική που χρησιμοποιούν είναι η επίθεση DDoS, όπου πλημμυρίζουν έναν διακομιστή με τόσο πολλές αιτήσεις ώστε να καταρρεύσει, αποσπώντας την προσοχή από τις πραγματικές επιθέσεις που εκτελούν.
Πηγή: bleepingcomputer
