Выступавшие на конференции CyberwarCon этого года рассказали о новой эре кибервойн, когда субъекты национального государства обращаются к множеству новых стратегий, инструментов и тактик передовых постоянных угроз (APT) для нападения на противников и шпионажа над внутренними диссидентами и соперниками. Самым ярким примером этой новой эры цифровой войны между государствами является российская военная разведывательная группа под названием Sandworm, таинственная хакерская инициатива, о которой до недавнего времени было мало что известно. Тем не менее, группа запустила некоторые из самых разрушительных кибератак в истории.
Проводной журналист Энди Гринберг только что выпустил громкую книгу о группе, которая, как он сказал на конференции, является отчетом о первом полномасштабном взорван кибервойной во главе с этими русскими злоумышленниками. Он начал мероприятие глубоким погружением в Sandworm, предоставив обзор по большей части человеческих переживаний злонамеренных усилий группы.
Sandworm впервые появился в начале 2014 года с атаки на украинскую электрическую сеть, которая «была что-то вроде настоящей кибервойны в процессе », — сказал Гринберг. Операторы энергосистемы в Украине беспомощно наблюдали, как на их экранах появлялись «фантомные атаки мыши», в то время как Sandworm блокировал их из своих систем, отключал резервное питание для их диспетчерских, а затем отключал электричество для четверти миллиона украинских гражданских лиц, первое в истории отключение электроэнергии, вызванное хакерами.
В конце 2016 года Sandworm снова ударил по украинской сетке. «Это был типичный пример разрушительного нападения государства-противника на противника в разгар кинетической войны», — сказал Гринберг. Если бы не ошибка конфигурации вредоносного ПО Sandworm, атака была бы гораздо более разрушительной. Гринберг отметил, что он мог сжечь линии или взорвать трансформаторы, как недавно обнаружил Джо Словик из Драгоса в своем исследовании инцидента. был «такой разрушительный акт в энергосистеме, которого мы никогда раньше не видели, но мы всегда боялись». Еще больше о том, «что произойдет на Украине, мы предположим, что произойдет и с остальными из нас, потому что Россия используя его в качестве тестовой лаборатории для кибервойны. Эта кибервойна рано или поздно выльется на Запад », — сказал Гринберг. «Когда вы делаете подобные прогнозы, вы на самом деле не хотите, чтобы они сбывались».
Состязательные атаки Sandworm вылились на Запад в ходе следующей крупной атаки, вредоносной программы NotPetya, которая охватила континенты в Июнь 2017 года наносит неисчислимый урон в Европе и США, но в основном на Украине. NotPetya, снял «300 украинских компаний и 22 банка, четыре больницы, о которых я знаю, несколько аэропортов, почти все правительственные учреждения. Это была своего рода ковровая бомбардировка украинского интернета, но она сразу же распространилась на весь остальной мир, выполняя [my] предсказание гораздо быстрее, чем я бы этого хотел », — сказал Гринберг.
Огромные финансовые затраты NotPetya до сих пор неизвестны, но для компаний, которые поставили цену за атаку, цифры ошеломляют. Судоходный гигант Maersk, который месяцами изо всех сил пытался встать на ноги после того, как все его компьютерные экраны стали «черными, черными, черными, черными, черными», как сказал один из сотрудников Maersk, оценил цену атаки на 300 миллионов долларов. Фармацевтическая компания Merck пострадала от еще более серьезных последствий, предполагаемая стоимость атаки составила 870 миллионов долларов. Эти и другие известные финансовые потери, которые на сегодняшний день оцениваются в 10 миллиардов долларов, следует рассматривать как минимальный уровень, минимальный показатель воздействия последствий NotPetya, сказал Гринберг со ссылкой на бывшего советника Департамента внутренней безопасности США Тома Боссерта
. ]
Sandworm нацелен на политические кампании, глобальные события
Исследователи безопасности Google Нил Мехта и Билли Леонард предложили новое и дополнительное понимание деятельности Sandworm на конференции. Они начали копаться в Песчаном Черве во время французских выборов 2017 года, когда группа начала нацеливаться на президентскую кампанию Эммануила Макрона. 14 апреля на месте происшествия появился еще один взломщик главного разведывательного подразделения России, ГРУ, который также нацелен на кампанию Макрона. «Это похоже на то, что команду B вызвали, чтобы взять мяч и пойти домой, и они вызвали команду A», — сказал Леонард. «Инфраструктура, счета, все, что с этим связано. Две совершенно разные операции ».
Затем, осенью и в начале зимы 2017 года, Sandworm сосредоточился на Южной Корее и ряде организаций, связанных с зимними Олимпийскими играми, которые проходили в Пхенчхане. По словам Мехты и Леонарда, в этот момент Sandworm начал нацеливаться на телефоны Android, чтобы распространять вредоносное ПО через ряд зараженных приложений.
Их тактика заключалась в том, чтобы захватить ряд законных приложений, которые были популярны в Южной Корее, например приложение расписания автобусов. Они сделали это, загрузив законное приложение, сделав бэкдор, а затем повторно загрузив его туда, где должна быть законная версия приложения.
Хотя цель этих попыток заражения Android неясна — Мехта и Леонард сказал, что никакие устройства не были заражены вредоносным ПО — последняя активность Sandworm в Южной Корее была в середине марта 2017 года, что странно, учитывая, что Олимпиада завершилась в феврале того же года.
Российские компании также target
Sandworm принял другой оборот, однако весной 2018 года, когда исследователи Google увидели то же вредоносное ПО, которое использовалось для внутреннего таргетирования компаний, находящихся внутри России, в том числе компаний, занимающихся коммерческой недвижимостью, финансовых учреждений и автомобильной промышленности. промышленность. «Вы видите, что эта группа собирается туда, нацеливаясь на Олимпиаду, пытаясь наносить разрушительные удары по Олимпиаде, [then]нацеленные на местные компании в России», — сказал Леонард. «Это довольно большой сдвиг».
Затем, осенью 2018 года, Sandworm начал ориентироваться на разработчиков программного обеспечения и разработчиков мобильных приложений, а также других разработчиков, в основном базирующихся в Украине. По словам Мехты и Леонарда, им удалось скомпрометировать разработчика приложений.
Все страны, не только Украина, чрезвычайно уязвимы для атак Sandworm. Перефразируя бывшего директора АНБ и ЦРУ Майкла Хейдена, который однажды сказал: «В интернете мы все поляки», говоря о легком вторжении Германии в страну во Второй мировой войне, Гринберг сказал, что Хейден проехал несколько сотен миль. «В Интернете мы все Украина».
Эта история «Новая эра кибервойн: российский Песчаный червь показывает« мы все Украина »в Интернете» была первоначально опубликована
CSO .
