Prosegue l’inchiesta di Matrice Digitale sul mondo della guerra cibernetica organizzata dai russi. Dopo aver esaminato il duo più temuto composto da Fancy Bear e Cozy Bear, oggi entriamo nel merito del Sandworm Team.

Noto anche come Unit 74455,  Telebots, Voodoo Bear e Iron Viking, il gruppo si sospetta essere collegato ad un’unità cybermilitare russa del GRU: l’organizzazione responsabile dell’intelligence militare russa.

Si ritiene che il team sia responsabile dell’attacco informatico alla rete elettrica ucraina del dicembre 2015, degli attacchi informatici del 2017 all’Ucraina utilizzando il malware Petya, vari sforzi di interferenza nelle elezioni presidenziali francesi del 2017, e l’attacco informatico alla cerimonia di apertura delle Olimpiadi invernali del 2018. L’allora procuratore degli Stati Uniti per il distretto occidentale della Pennsylvania Scott Brady ha descritto la campagna informatica del gruppo come “rappresentante degli attacchi informatici più distruttivi e costosi della storia“.

Windows e le sue backdoors

Il primo attacco messo in piedi da SandWorm è associato al 2014, quando fu scoperta una nuova vulnerabilità critica nel sistema operativo Windows, sfruttata in un numero limitato di attacchi contro obiettivi negli Stati Uniti e in Europa. La vulnerabilità, legata all’esecuzione di codice remoto di Microsoft Windows OLE Package Manager (CVE-2014-4114) consentiva agli aggressori di incorporare file OLE (Object Linking and Embedding) da posizioni esterne. La vulnerabilità è stata sfruttata per scaricare e installare malware sul computer del bersaglio. La vulnerabilità sembra essere stata utilizzata per fornire backdoor ed avrebbe interessato tutte le versioni di Windows da Vista Service Pack 2 fino a Windows 8.1, colpendo anche i Windows Server versioni 2008 e 2012.

Ucraina al buio

L’attacco che li ha resi famosi è stato quello ai danni della rete elettrica ucraina nel 2015 colpevole di aver generato interruzioni di corrente. In quell’occasione, il team di Sandworm ha dimostrato pianificazione, coordinamento e capacità di utilizzazione dei malware. Un’altra capacità riconosciuta, per quanto temuta, è stata quella di ottenere un accesso remoto diretto a dispatcher di sistemi ciechi, causando cambiamenti di stato indesiderati all’infrastruttura di distribuzione dell’elettricità e tentando di ritardare il ripristino, grazie alla cancellazione dei server SCADA che monitorano le infrastrutture fisiche, dopo averne causato l’interruzione. Questo attacco consisteva in almeno tre componenti: il malware, un denial of service ai sistemi telefonici e la prova mancante della causa correlata all’attacco. Le prove e le analisi attuali indicano che il componente mancante era l’interazione diretta dell’avversario e non nello specifico il lavoro del malware. L’attacco informatico è stato possibile perchè composto da più elementi che includevano l’offuscamento ai dispatcher del sistema unitamente ai tentativi di negare le chiamate dei clienti che avrebbero segnalato l’interruzione dell’alimentazione grazie ad attacchi coordinati contro più società elettriche di distribuzione regionali.

Chi controlla il controllore?

Nel 2017 L’ANSSI, Agenzia di Intelligence francese, è stata informata di una campagna di intrusione mirata al software di monitoraggio Centreon distribuito dalla società francese CENTERON che ha portato alla violazione di diverse entità francesi. La prima vittima sembra essere stata compromessa dalla fine del 2017 e la campagna è durata fino al 2020. Questa campagna ha interessato principalmente i fornitori di tecnologia IT, in particolare i fornitori di hosting web. Sui sistemi compromessi, l’ANSSI ha scoperto la presenza di una backdoor sotto forma di webshell rilasciata su diversi server Centreon esposti a Internet, che è stata identificata come la P.A.S. webshell, versione numero 3.1.4. e presentava diverse somiglianze con le precedenti campagne attribuite al ‘pacchetto’ di intrusioni utilizzato proprio da Sandworm.

Le mail compromesse per tre anni

Nel 2019, si è sospettato che abbiano sfruttato più di una vulnerabilità nel codice di Exim , sistema di Mail Transfer Agent (MTA) open source per OS Unix-like, usato da più del 50 per cento dei mail server presenti in Rete. Non è dato sapere per quanto tempo siano state utilizzate, ma è cosa nota che il bug più pericoloso era conosciuto dal 2016 e poteva essere sfruttato per eseguire codice malevolo da remoto derivante da un problema riguardante la funzionalità di “chunking” di Exim, utilizzata per spezzettare le mail di grandi dimensioni per consentire uno smistamento più agevole.

I nodi venuti al pettine

Come già anticipato, il 19 ottobre 2020 un gran giurì con sede negli Stati Uniti ha rilasciato un atto d’accusa verso sei presunti agenti dell’Unità 74455 di crimini informatici, accusandoli di cospirazione per condurre frodi e abusi informatici, cospirazione, frode telematica, danneggiamento di computer protetti e furto di identità aggravato.

Secondo l’accusa, a partire da fine 2015 e continuando almeno fino all’ottobre 2019, gli imputati e i loro co-cospiratori hanno implementato malware distruttivi e hanno intrapreso altre azioni distruttive, a beneficio strategico della Russia, attraverso l’accesso non autorizzato alla vittima computer (hacking). Come affermato, la cospirazione era responsabile delle seguenti intrusioni e attacchi informatici distruttivi o altrimenti destabilizzanti:

• Governo ucraino e infrastrutture critiche: attacchi malware distruttivi da dicembre 2015 a dicembre 2016 contro la rete elettrica dell’Ucraina, il Ministero delle finanze e il servizio del Tesoro di Stato, utilizzando malware noto come BlackEnergy, Industroyer e KillDisk;
• Elezioni francesi: campagne di spearphishing di aprile e maggio 2017 e relative azioni di hacking e leak contro “La République En Marche!” del presidente francese Macron, il partito politico En Marche!, politici francesi e governi locali francesi prima delle elezioni francesi del 2017;
• Attacchi malware distruttivi del 27 giugno 2017 che hanno infettato computer di tutto il mondo utilizzando malware noto come NotPetya, inclusi ospedali e altre strutture mediche nell’Heritage Valley Health System (Heritage Valley) nel distretto occidentale della Pennsylvania; una controllata di FedEx Corporation, TNT Express B.V.; e un grande produttore farmaceutico statunitense, che insieme ha subito perdite per quasi 1 miliardo di dollari a causa degli attacchi;
• Organizzatori, partner e partecipanti alle Olimpiadi invernali di PyeongChang: campagne di spearphishing e applicazioni mobili dannose da dicembre 2017 a febbraio 2018 rivolte a cittadini e funzionari sudcoreani, atleti olimpici, partner e visitatori e funzionari del Comitato Olimpico Internazionale (CIO);
• PyeongChang Winter Olympics IT Systems (Olympic Destroyer): da dicembre 2017 a febbraio 2018 intrusioni nei computer che supportano i Giochi olimpici invernali di PyeongChang 2018, culminati nel 9 febbraio 2018, attacco di malware distruttivo contro la cerimonia di apertura, utilizzando malware noto come Olympic Destroyer;
• Indagini sull’avvelenamento di Novichok: campagne di spearphishing dell’aprile 2018 mirate alle indagini dell’Organizzazione per la proibizione delle armi chimiche (OPCW) e del Defense Science and Technology Laboratory (DSTL) del Regno Unito sull’avvelenamento da agenti nervini di Sergei Skripal, sua figlia e diversi cittadini del Regno Unito ;
• Imprese ed enti governativi georgiani: una campagna di spearphishing del 2018 contro un’importante società di media, sforzi del 2019 per compromettere la rete del Parlamento e un’ampia campagna di deturpazione di siti Web nel 2019.
• Cinque dei sei sono stati accusati di aver sviluppato apertamente strumenti di violazione informatica, mentre uno di loro è stato accusato di aver partecipato ad attacchi di spearphishing contro le Olimpiadi invernali del 2018 e di condurre ricognizioni tecniche, oltreché tentare di violare il dominio ufficiale del Parlamento della Georgia.

Ci sono loro dietro NotPeyta?

Se tra le accuse del gran Giurì statunitense figura anche l’implementazione della variante più letale di Peyta, denominata NotPeyta, è chiaro che il sospetto dell’azione di infezione globale ricada proprio sul team di Sandworm. Un altro dettaglio da non trascurare è quello che l’origine dell’infezione è l’Ucraina, già sollecitata nel 2015 quando fu messa sotto attacco la rete elettrica dell’ex regione dell’Urss.  Il virus ha avuto modo di insinuarsi nelle reti informatiche aziendali del paese grazie ad una violazione del software di contabilità M.E.Doc, utilizzato dall’80% delle imprese della nazione, per poi estendersi al sito governativo della città di Bachmut, compromesso. Un altro aspetto da non sottovalutare è che NotPeyta presentava una differenza sostanziale dal suo genitore e che risiedeva nella irreparabilità alla cifratura messa in atto dal malware, ripristinabile nemmeno con una azione di recupero, per di più assente. Questa differenziazione è molto importante per definire le finalità di NotPeyta che risulta essere concepito per recare quanti più danni possibili.