El actor de amenazas respaldado por Rusia conocido como Sandworm se ha convertido en un aliado tan prominente del Kremlin en la guerra de Ucrania que Mandiant ha decidido graduar al grupo en un grupo de Amenaza Persistente Avanzada (APT), APT44. En un nuevo informe, la empresa de ciberseguridad propiedad de Google reveló que Sandworm ha sido responsable de casi todas las operaciones disruptivas y destructivas contra Ucrania durante la última década. Desde el estallido de la guerra en Ucrania, Sandworm ha operado como una organización coordinadora de un espectro de diferentes operaciones cibernéticas dirigidas a Ucrania y sus aliados, desde operaciones de influencia y los llamados ataques disruptivos liderados por hacktivistas hasta ataques destructivos. Mandiant también evaluó con gran confianza que las operaciones de Sandworm estaban estrechamente coordinadas con el Kremlin para ayudar al ejército ruso a obtener una ventaja en tiempos de guerra. Un grupo nebuloso con estrechos vínculos con el Kremlin Sandworm es un nebuloso grupo de amenazas cibernéticas respaldado por Rusia cuya actividad maliciosa se detectó por primera vez en 2014, pero podría datar de la década de 2000. Se cree que el grupo, que ha recibido varios nombres a lo largo de los años, como Voodoo Bear, Iridium, Seashell Blizzard, Iron Viking, Telebots y ahora APT44, está dirigido por la Unidad Militar 74455, una unidad de guerra cibernética del ejército ruso. servicio de inteligencia (GRU). Este grupo cibermalicioso altamente calificado es supuestamente responsable de ataques cibernéticos a gran escala, como el ataque a la red eléctrica de Ucrania en diciembre de 2015 y los ataques cibernéticos de 2017 a Ucrania utilizando el malware NotPetya. Cronología de las consiguientes operaciones de Sandworm antes de la guerra en Ucrania. Fuente: Mandiant, Google CloudA diferencia de la mayoría de los grupos cibermaliciosos patrocinados por el Estado, Sandworm no se especializa en una misión específica (por ejemplo, recopilación de inteligencia, sabotaje), sino que participa en todo el espectro de operaciones de espionaje, ataque e influencia. En su informe, Mandiant argumentó que el enfoque múltiple de Sandworm lo convierte en el aliado cibernético más central del Kremlin. «APT44 se distingue por cómo ha perfeccionado cada una de estas capacidades y ha tratado de integrarlas en un manual unificado a lo largo del tiempo», señala el informe. «Cada uno de estos componentes respectivos, y los esfuerzos de APT44 para combinarlos para lograr un efecto combinado, son fundamentales para el concepto rector de Rusia de ‘confrontación de información’ para la guerra cibernética». Fuente: Mandiant, Google CloudGuerra en Ucrania: el cambio de Sandworm hacia el ciberespionaje Las diversas capacidades cibernéticas de Sandworm han beneficiado significativamente al gobierno ruso desde el comienzo de la guerra en Ucrania. “A lo largo de la guerra de Rusia, APT44 ha llevado a cabo una campaña de sabotaje cibernético de alta intensidad en el interior Ucrania. Mediante el uso de herramientas cibernéticas disruptivas, como el malware de limpieza diseñado para alterar los sistemas, APT44 ha tratado de impactar una amplia gama de sectores de infraestructura críticos”, se lee en el informe. Mandiant también evaluó que algunas de las campañas cibernéticas de Sandworm dirigidas a Ucrania han sido coordinadas directamente con el Kremlin y alineadas con la actividad militar convencional. “Por ejemplo, en octubre de 2022, APT44 interrumpió los sistemas de TI y de tecnología operativa (OT) en una entidad de distribución de energía en medio de la campaña invernal de Rusia de ataques militares y con drones contra la red energética de Ucrania”, escribieron los investigadores de Mandiant. Con el tiempo, el enfoque de Sandworm en Ucrania ha pasado de la interrupción a la recopilación de inteligencia. El énfasis en la actividad de espionaje tiene como objetivo dar a las fuerzas convencionales de Rusia una ventaja en el campo de batalla. «Por ejemplo, una campaña APT44 de larga duración ha ayudado a las fuerzas terrestres rusas desplegadas en avanzada a exfiltrar comunicaciones de dispositivos móviles capturados para recopilar y procesar datos de objetivos relevantes», añadió Mandiant. Fuente: Mandiant, Google Cloud Se confirman los vínculos de Sandworm con un grupo ‘hacktivista’ Paralelamente a los ciberataques a víctimas ucranianas, Sandworm ha seguido atacando a víctimas en otros países. El informe Mandiant reveló que Sandworm tiene estrechos vínculos con CyberArmyofRussia_Reborn, un personaje ‘hacktivista’ que recientemente afirmó haber atacado a empresas de agua estadounidenses y polacas, así como a una presa francesa. Más tarde, un funcionario local estadounidense confirmó públicamente que se había producido un “mal funcionamiento del sistema”, lo que provocó que un tanque se desbordara en una de las instalaciones supuestamente víctimas. Finalmente, el informe de Mandiant reveló que Sandworm también estuvo detrás de una campaña dirigida a Bellingcat y otras entidades de periodismo de investigación entre diciembre de 2023 y enero de 2024. Mandiant advirtió que Sandworm probablemente seguirá siendo uno de los grupos de amenazas más destacados alineados con Rusia en el futuro.