Microsoft ha recentemente scoperto un sottogruppo del noto gruppo di hacker russi sponsorizzato dallo stato, Sandworm, coinvolto in un'operazione globale di accesso iniziale chiamata BadPilot. Questo sottogruppo, secondo il team di Microsoft Threat Intelligence, ha compiuto compromessi a livello globale su infrastrutture esposte a Internet per garantire a Seashell Blizzard, un altro nome per Sandworm, un accesso persistente a obiettivi di alto valore e supportare operazioni di rete personalizzate.

Gli obiettivi di questo sottogruppo sono distribuiti in Nord America, diversi paesi europei e altre nazioni come Angola, Argentina, Australia, Cina, Egitto, India, Kazakistan, Myanmar, Nigeria, Pakistan, Turchia e Uzbekistan. Questo segnala un'espansione significativa del raggio d'azione delle vittime del gruppo di hacker negli ultimi tre anni, precedentemente concentrato principalmente in Europa orientale.

Sandworm e la sua storia

Sandworm è conosciuto sotto vari nomi tra cui APT44, Blue Echidna e Telebots. Attivo dal 2013, il gruppo è affiliato con l'Unità 74455 dello Stato Maggiore delle Forze Armate della Federazione Russa (GRU). Mandiant, di proprietà di Google, descrive Sandworm come un attore di minaccia "altamente adattabile" e "maturo operativamente" coinvolto in operazioni di spionaggio, attacco e influenza. Il gruppo ha una lunga storia di attacchi distruttivi contro l'Ucraina.

Le campagne di Sandworm post-conflitto russo-ucraino hanno utilizzato vari strumenti come i data wiper (KillDisk), pseudo-ransomware (Prestige) e backdoor (Kapeka), oltre a malware disponibili in commercio come DarkCrystal RAT per mantenere l'accesso remoto ai dispositivi infetti. Inoltre, il gruppo si affida a compagnie russe e mercati criminali per sostenere le sue capacità offensive, riflettendo una crescente tendenza verso la criminalità informatica che facilita l'hacking sponsorizzato dallo stato.

Attività recenti del sottogruppo

Microsoft ha identificato che il sottogruppo di Sandworm è operativo almeno dalla fine del 2021, sfruttando varie vulnerabilità note per ottenere accesso iniziale e condurre azioni post-sfruttamento come il raccolto di credenziali e l'esecuzione di comandi. Le operazioni osservate indicano che questa campagna ha permesso a Seashell Blizzard di ottenere accesso a obiettivi globali in settori sensibili tra cui energia, telecomunicazioni e governi internazionali.

Il sottogruppo ha sfruttato otto vulnerabilità di sicurezza conosciute, tra cui Microsoft Exchange Server, Zimbra Collaboration e Fortinet FortiClient EMS. Dopo aver guadagnato un punto d'appoggio, il gruppo stabilisce la persistenza attraverso metodi come la distribuzione di software di accesso remoto legittimo e la modifica delle pagine di accesso di Outlook Web Access.

La continua evoluzione delle tattiche di Sandworm offre alla Russia opportunità espansive per operazioni di nicchia, dimostrando l'importanza di una difesa informatica robusta e aggiornata per proteggere le infrastrutture critiche globali.