Mandiant vincula al grupo de hackers ruso Sandworm con una violación de la infraestructura hídrica

Mandiant publicó hoy un informe que vincula a Sandworm, un actor de amenazas respaldado por el estado ruso, con una serie de ataques cibernéticos recientes contra empresas de agua.

La unidad de Google LLC también cambió el nombre en clave que utiliza para rastrear al grupo de hackers. Mandiant se referirá a Sandstorm como APT44 en el futuro, siendo APT una abreviatura de amenaza persistente avanzada. Ese es un término comúnmente usado para describir a los grupos de piratería respaldados por el estado.

Mandiant cree que APT44 es una rama de la agencia de inteligencia militar rusa GRU. «APT44 ha llevado a cabo agresivamente un esfuerzo multifacético para ayudar al ejército ruso a obtener una ventaja en tiempos de guerra y es responsable de casi todas las operaciones disruptivas y destructivas contra Ucrania durante la última década», detallaron los investigadores de Mandiant en una publicación de blog que acompaña al informe de hoy. .

Uno de los focos del nuevo informe es un grupo de hackers conocido como Cyber ​​​​Army of Russia Reborn, o CARR. Los investigadores de Mandiant determinaron que el grupo está afiliado a APT44. De acuerdo a cableadoActualmente no está claro si CARR es simplemente una cobertura para APT44 o si funciona por separado.

En enero, CARR publicó videos que, según afirma, muestran que violó la infraestructura hídrica de dos ciudades de Texas. Los clips muestran a un hacker manipulando una interfaz de control de software conectada a un conjunto de sistemas de servicios públicos de agua. Los funcionarios de Muleshoe, una de las ciudades de Texas afectadas por la infracción, confirmaron más tarde que un ciberataque provocó la ruptura de un tanque de agua.

CARR también apuntó a la infraestructura de servicios públicos en Europa. En un incidente, los piratas informáticos parecen haber irrumpido en una instalación polaca de tratamiento de aguas residuales. CARR también afirmó haber interrumpido la generación de energía en una presa hidroeléctrica en Francia, pero los funcionarios locales aclararon más tarde que la instalación afectada era un pequeño molino de agua. La infracción no perjudicó el funcionamiento del molino.

El informe Mandiant de hoy también vincula a APT44 con una serie de campañas de piratería relacionadas con la invasión rusa de Ucrania.

Según la unidad de Google, APT44 desarrolló un software espía llamado Infamous Chisel para las tropas rusas. El malware está diseñado para infectar teléfonos Android que el ejército ucraniano utiliza para actividades de mando y control. En otra operación, APT44 creó un sitio web para extraer datos de teléfonos inteligentes capturados.

Mandiant también vinculó al grupo de piratas informáticos con un reciente ataque a la cadena de suministro de software. Según la unidad de Google, la operación vio a APT44 comprometer múltiples redes de infraestructura crítica en Europa del Este y Asia Central. Posteriormente, el grupo de piratas informáticos instaló malware de limpieza o borrado de datos en uno de los sistemas de la organización objetivo.

«A medida que continúa la guerra de Rusia, anticipamos que Ucrania seguirá siendo el foco principal de las operaciones del APT44», escribieron los investigadores de Mandiant. «Sin embargo, como indica la historia, la voluntad del grupo de llevar a cabo operaciones cibernéticas para promover los objetivos estratégicos más amplios del Kremlin a nivel mundial está firmemente arraigada en su mandato».

Foto de : Unsplash