Mandiant konkluderer i sin rapport med at Sandworm står bak et sett med aktører – som Xaknet, Cyber Army of Russia Reborn og Solntsepek – som har vært knyttet til en rekke nylige angrep på kritisk infrastruktur, inkludert et vannverk i Texas. Aktørene påtar seg ansvar for angrepene og overdriver ofte deres virkning, samtidig som de forsøker å påpeke avstand mellom hendelsene og Russlands mest beryktede hackere.
Sandworm er mistenkt for å ha kontrollert arbeidet til en pro-russisk hacktivistgruppe som kaller seg CyberArmyofRussia_Reborn (CARR) som har rettet seg mot amerikanske vannverk, ifølge Mandiant. Den 18. januar la hacktivistgruppen ut en sprutende video til Telegram som målrettet vanntanker i Muleshoe, Texas, som ser ut til å bruke menneske-maskin-grensesnittet (HMI) for å slå på pumpene, noe som fikk tankvannstanden til å renne over. Muleshoes tjenestemenn bekreftet overløpet i februar, mens de uttalte til media at det ikke forårsaket noen tjenesteforstyrrelser.
Det er uklart om Sandworm, en russisk militær etterretningsenhet, leder arbeidet til CARR eller om gruppen informerer sine kontakter innen russisk etterretning etter at den har utført en operasjon, advarer Mandiant. CARRs eksakte medlemskap er ukjent og kan omfatte personer som ikke er medlemmer av russisk etterretning.
Mandiant har observert koblinger mellom Sandworm og CARR, inkludert en YouTube-kanal opprettet av hacktivistgruppen knyttet til infrastruktur som igjen er knyttet til Sandworm.
“Disse interaksjonsmønstrene stemmer overens med TAGs vurdering om at CyberArmyofRussia_Reborn er opprettet og kontrollert av APT44,” hevder Mandiant.
Russlands angrep med aktører kontrollert av Sandworm representerer en betydelig eskalering av Kremls angrep på amerikansk kritisk infrastruktur. Russiske løsepengegjenger har tidligere operert ustraffet og har angrepet amerikansk kritisk infrastruktur i årevis, og forårsaket store forstyrrelser som Colonial Pipeline-hacket, men nasjonalstatsgrupper som Sandworm har til dags dato ikke utført forstyrrende angrep på amerikansk jord.
Mandiant antok tidligere at CyberArmyofRussia_Reborn var knyttet til den russiske hackergruppen APT28, også kjent som Fancy Bear. Mandiant sa at etter å ha analysert dataene på nytt, var den i stand til å tilskrive den mistenkte aktiviteten til Sandworm.
CyberArmyofRussia_Reborn slutter seg til en liten, men voksende gruppe hacktivistiske personas knyttet til nasjonstilknyttede hackere som retter seg mot amerikansk kritisk infrastruktur. CyberAv3ngers, en gruppe drevet av den iranske regjeringen Islamic Revolutionary Guard Corps, traff i fjor vannanlegg i Aliquippa, Pennsylvania, og andre som brukte utstyr laget av det israelske firmaet Unitronics.
Andre angrep på kritisk infrastruktur utført av personer under Sandworms kontroll inkluderer en hendelse i mars der gruppen som kaller seg Solntsepek krevde æren for et angrep på flere ukrainske telekommunikasjonsleverandører. Ukrainske tjenestemenn sa til CyberScoop den gang at angrepet sannsynligvis ble utført av Sandworm.
Onsdagens funn er en del av en omfattende analyse der Mandiant oppgraderte Sandworm som en fullverdig avansert vedvarende trusselgruppe. Gruppen den nå omtaler som APT 44 regnes for å være blant de mest dyktige, farlige statsstøttede hackergruppene.
“APT44 er en unik dynamisk trusselaktør som er aktivt engasjert i hele spekteret av cyberspionasje, angrep og påvirkningsoperasjoner,” skrev Mandiant-forskere i rapporten.
“APT44 er den mest frekke trusselaktøren som finnes, midt i en av de mest intense kampanjene for cyberaktivitet vi noen gang har sett, i full støtte for Russlands krig mot territoriell aggresjon,” Dan Black, en hovedforfatter av rapporten og lederen av cyberspionasjeanalyse for Mandiant, sa i en uttalelse. “Det er ingen annen trusselaktør i dag som er mer verdig vår kollektive oppmerksomhet, og trusselen APT44 utgjør er i rask utvikling.”
APT44 antas å operere som enhet 74455. Det er en del av hovedsenteret for spesialteknologi, innenfor hoveddirektoratet for generalstaben til de væpnede styrker i den russiske føderasjonen, som er kjent som hovedetterretningsdirektoratet, eller GRU, ifølge Mandiant.
Gruppen retter seg først og fremst mot myndigheter, forsvar, transport, energi, media og sivilsamfunnsorganisasjoner i Russlands nære utland, sa forskerne. Den har gjentatte ganger rettet seg mot vestlige valgsystemer og institusjoner, inkludert i NATOs medlemsland. Ved tre separate anledninger har gruppen lykkes med å bruke et nettangrep for å forstyrre strømdistribusjonen i Ukraina.
Sandworms operasjoner rettet mot amerikanske vannanlegg kommer mens Det hvite hus har slått alarm om at vannsektoren trenger å forbedre sitt cybersikkerhetsforsvar. Med mange av nasjonens vannverk satt fast for ressurser, har cybersikkerhetsinvesteringer falt på vei.
Det hvite hus har forsøkt å få på plass strengere cybersikkerhetsregler for sektoren, men har ikke klart å finne en effektiv mekanisme for å gjøre det. Environmental Protection Agency utstedte et direktiv i fjor for vannforsyninger for å styrke forsvaret sitt, men trakk tilbake denne regelen etter at flere stater og bransjegrupper saksøkte.
Kilde Cybescoop