Mandiant, jednostka wywiadowcza i badawcza Google Cloud dotycząca zagrożeń, formalnie przypisała dziś kampanie cyberszpiegowskie i bojowe prowadzone przez rosyjskiego aktora powszechnie znanego jako Sandworm, przypisując swoje ataki nowej, niezależnej grupie zaawansowanych trwałych zagrożeń (APT), która będzie odtąd śledzony jako APT44.
APT44, którego włamania rozpoczęły się od nielegalnej aneksji Krymu przez Rosję w 2014 r., działa od ponad dziesięciu lat i brał udział w wielu głośnych cyberatakach na państwo rosyjskie, w tym atakach typu hack-and-leak na wybory w USA w 2016 r., incydent w NotPetyaoraz ataki na Zimowe Igrzyska Olimpijskie 2018 w Korei Południowej.
Od końca 2021 r. jego prace skupiały się w dużej mierze na Ukrainie, gdzie pomogły w przygotowaniu podwalin pod atak Moskwy na Kijów w lutym 2022 r. za pomocą kampanii cyberataków wdrażanie destrukcyjnego złośliwego oprogramowania wycierającego. Od tego czasu jednostka prowadzi wielokrotne ataki na cele na Ukrainie.
APT44 prowadzony jest przez Jednostkę 74455 w Głównym Centrum Technologii Specjalnych (GTsST) w Zarządzie Głównym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GU), lepiej znanym jako Główny Zarząd Wywiadu (GRU), założonym przez Josepha Stalin w czasach sowieckich, choć nie należy go mylić z KGB.
„APT44 to najbardziej bezczelny ugrupowanie zagrażające, biorące udział w jednej z najbardziej intensywnych kampanii cyberaktywności, jakie kiedykolwiek widzieliśmy, w pełni wspierając rosyjską wojnę polegającą na agresji terytorialnej” – powiedział Dan Black, menedżer ds. cyberbezpieczeństwa analizy szpiegowskiej w Mandiant i jeden z głównych autorów nowego raportu Mandiant na temat APT44. „Nie ma dziś innego ugrupowania zagrażającego, które byłoby bardziej godne naszej zbiorowej uwagi, a zagrożenie, jakie stwarza APT44, szybko ewoluuje.
„W trakcie wojny zaobserwowaliśmy, że stanowisko APT44 odeszło od zakłócania porządku jako głównego celu w kierunku szpiegostwa mającego na celu zapewnienie rosyjskim siłom konwencjonalnym przewagi na polu bitwy” – powiedział. „Nie oznacza to, że sabotaż jest wykluczony, ale APT44 wydaje się znacznie bardziej wyrachowany, jeśli chodzi o cele, do których dąży, i możliwości, które zdecyduje się wykorzystać. Jest to wysoce adaptacyjny i innowacyjny przeciwnik, który wyraźnie wyciąga wnioski na temat tego, w jaki sposób operacje cybernetyczne mogą najlepiej wesprzeć długą wojnę, i odpowiednio dostosowuje swoje metody”.
Mandiant powiedział, że operacje APT44 wspierające cele Moskwy okazały się „możliwe do dostosowania taktycznie i operacyjnie” oraz że operacja była wyjątkowo dobrze zintegrowana z działaniami rosyjskiej armii. Dodał, że żaden inny rosyjski rząd APT nie odegrał bardziej centralnej roli w kształtowaniu wojny konwencjonalnej na Ukrainie.
Dlaczego teraz?
Eksperci ds. cyberbezpieczeństwa są zazwyczaj jednomyślni co do tego, że atrybucja to złożona sprawa, która wymaga intensywnych badań i oceny dowodów. Dzieje się tak nawet wtedy, gdy działania określonej grupy są dobrze znane w społeczności zajmującej się bezpieczeństwem i szeroko udokumentowane we wpisach na blogach, artykułach naukowych i mediach.
Jeśli istnieją choćby niewielkie wątpliwości co do dostępnych dowodów, jednoznaczne przypisywanie jakiejkolwiek kampanii cybernetycznej znanej osobie lub grupie, nawet jeśli ma dobre intencje, może być niezwykle nieprzydatne, a nawet niemądre. Może to spowodować problemy dla obrońców, którzy mogą przez pomyłkę podążać za niewłaściwą rzeczą i pociągać za sobą inne, niezamierzone konsekwencje. Może nawet zdenerwować cyberprzestępców, którzy notorycznie mają obsesję na punkcie własnego siebie i są małoskórzy, i spowodować, że zaatakują ich w nieprzewidziany sposób.
W związku z tym do chwili obecnej nie było możliwe wydanie pewnych oświadczeń na temat dokładnej natury Sandworma z wielu powodów – wśród nich mowa o nakładaniu się działań operacyjnych APT44 i innych grup, takich jak APT28 (czyli Fantazyjny Niedźwiedź) – który rzeczywiście „znajduje się po drugiej stronie korytarza” pod auspicjami Jednostki 26165 GTsST (według Mandianta obie jednostki prawdopodobnie współpracowały przy wielu głośnych kampaniach).
Mandiant stwierdził jednak, że nadając mu formalną i pewną nazwę, obrońcom na całym świecie łatwiej będzie zidentyfikować i śledzić jego działalność, a także w odpowiedni sposób dzielić się informacjami wywiadowczymi w nadziei, że uda mu się pokrzyżować cele grupy.
Dlaczego powinni to zrobić? Ponieważ, powiedział Mandiant, zagrożenie stwarzane przez APT44 nie ogranicza się do Ukrainy. Działania APT44 obserwowano na całym świecie, a biorąc pod uwagę historię tej grupy ingerowania w procesy demokratyczne, jej potencjał zagrożenia w 2024 r. jest bardzo wysoki, biorąc pod uwagę liczbę odbywających się wyborów które prawdopodobnie będą celem rosyjskiej ingerencji.
Rzeczywiście Mandiant opisuje APT44 jako trwałe zagrożenie o dużej wadze zarówno dla rządów, jak i operatorów krytycznej infrastruktury krajowej w państwach, w których Rosja uważa, że ma to interes narodowy, w tym w Wielkiej Brytanii. APT44, ze swoimi zaawansowanymi możliwościami, wysoką tolerancją ryzyka i mandatem do wspierania celów polityki zagranicznej Kremla, naraża takie organizacje na ryzyko wpadnięcia w jego szpony z niewielkim lub żadnym uprzedzeniem.
Co więcej, Mandiant stwierdził, że APT44 stwarza znaczne ryzyko rozprzestrzeniania nowych taktyk, technik i procedur cyberataków, obniżając barierę wejścia zarówno dla wspieranych przez państwo, jak i motywowanych finansowo cyberprzestępców, którzy mogliby opracować własne kampanie.
Patrząc w przyszłość, badacze stwierdzili, że APT44 „prawie na pewno” będzie w dalszym ciągu stanowić jedno z najpowszechniejszych i najwyższych zagrożeń cybernetycznych na świecie w dającej się przewidzieć przyszłości. Historia jego zaangażowania w niektóre z najbardziej znanych cyberataków ostatniej dekady sugeruje, że „nie ma ograniczeń dla impulsów nacjonalistycznych” zasilających jego operacje.
I to, że jest uwiązany na Ukrainie, nie oznacza, że nie zwróci się ku Wielkiej Brytanii i USA, jeśli jego płatnicy uznają, że jest to uzasadnione. Nadchodzące pojedynki pomiędzy Rishi Sunak i Keir Starmer I Joe Bidena i Donalda Trumpa może zwrócić jego uwagę.
„Zagrożenie ze strony APT44 nie kończy się na granicach Ukrainy” – powiedział Black. „Pomimo trwającej wojny, nadal obserwujemy działania APT44 na całym świecie. Byliśmy świadkami eksperymentu grupowego polegającego na używaniu oprogramowania ransomware przeciwko sieciom transportowym i logistycznym w Europie.
„A w obliczu szeregu kluczowych wyborów na horyzoncie, z których część ukształtuje trajektorię przyszłej zachodniej pomocy wojskowej dla Ukrainy, historia prób ingerencji APT44 w procesy demokratyczne oznacza, że czujność wokół tej grupy jest sprawą najwyższej wagi” – powiedział.