Mandiant ha concedido un APT a Sandworm, considerado el principal grupo cibercriminal a sueldo de Moscú.
Siempre puedes llamarlo Sandworm, FROZENBARENTS o Seashell Blizzard. Pero ahora también puedes llamarlo APT44.
El grupo cibercriminal dependiente de la inteligencia militar rusa debe este número “honorario” a Mandiant, quien se lo asignó en el contexto de la guerra en Ucrania. Más precisamente porque desde el inicio del conflicto sus actividades “nunca han estado tan bien integradas” con las de las fuerzas armadas.
Hasta la fecha, ningún grupo cibercriminal a sueldo de Moscú ha desempeñado un papel más central en el apoyo a la campaña militar, añade Mandiant. Sin embargo, APT44 también sirve a los intereses políticos del Kremlin. Y, por tanto, representa una amenaza aún mayor a corto plazo, más allá de Ucrania. En particular, tiene un historial de intentos de interferir en las elecciones… incluso en Francia, para las elecciones presidenciales de 2017. También se le atribuyen las perturbaciones durante la ceremonia de apertura de los Juegos Olímpicos de Pyeongchang en 2018. Además de atacar, al menos desde entonces. 2019, múltiples servidores de correo (Exchange, Exim, Zimbra) en todo el mundo.
Desde el descifrado hasta los ataques cibercinéticos, APT44 apoya al ejército
A medida que avanzaba la guerra en Ucrania, los objetivos y métodos de APT44 han evolucionado. Durante el primer año, dominaron las operaciones disruptivas e incluso destructivas, con malware como CaddyWiper, Industroyer, PartyTicket y SoloShred. Algunas fueron coordinadas con agresiones físicas, como a la red de distribución eléctrica (octubre de 2022).
Dieron paso a operaciones de espionaje. Sincronizado, de nuevo, con determinadas acciones sobre el terreno. Por ejemplo, desde al menos abril de 2023, asistencia para descifrar las comunicaciones de Signal y Telegram en dispositivos móviles recuperadas por los militares.
El acceso inicial a las redes específicas suele realizarse a través de enrutadores y VPN. APT44 también utiliza, entre otras cosas, instaladores infectados con un troyano y distribuidos en foros de habla rusa o ucraniana. Con el tiempo, aprovecha cada vez más utilidades “disponibles en el mercado”. Incluyendo código abierto , como los webshells Neo-reGeorg y Weevely . Cuando se necesita malware específico , el grupo «empieza poco a poco», implementando herramientas escalables cuya posible exposición no comprometería sus capacidades generales. En el mismo espíritu, en lo que respecta a la infraestructura, APT44 tiende a depender de recursos «bajo demanda». Esto dificulta el establecimiento de vínculos con operaciones anteriores.
APT44 no esperó a que este conflicto creara “identidades hacktivistas” en Telegram. Sus principales canales de comunicación se denominan CyberArmyofRussia_Reborn, Xaknet Team y Solnetsepek. Fue en este último donde se filtraron los datos personales de los soldados ucranianos.
Consultar además:
Una anatomía de Industroyer, este malware dirigido a las redes eléctricas
Con restricciones de acceso a los servicios de Internet desde el estallido del conflicto, la demanda de VPN se dispara en Rusia
¿Quién se beneficia del éxodo de talentos informáticos rusos?
En Ucrania, los criptoactivos apoyan el esfuerzo bélico. NetMedia, Francia.CB. Traducido al español
Ilustración principal © Duc Dao – Shutterstock