Secondo gli esperti di Google’s Mandiant, l’operazione di hacking dell’intelligence militare russa, conosciuta come Sandworm, sarebbe probabilmente legata agli attacchi a impianti idrici negli Stati Uniti, in Polonia e in una piccola centrale idrica in Francia.
Il persistente e potente sistema di hacking dell’intelligence militare russa, noto come Sandworm, sembra aver preso di mira impianti idrici negli Stati Uniti, in Polonia e in una piccola centrale idraulica in Francia, come riportano gli esperti della Mandiant di Google. Sandworm è stato associato a una serie di recenti attacchi alla critica infrastruttura, tra cui un sistema idrico in Texas. A tale operazione di cyber attacco si è attribuita un insieme di identità online, tra cui Xaknet, Cyber Army of Russia Reborn e Solntsepek.
Secondo quanto osservato da Mandiant, Sandworm controlla il lavoro di un gruppo hacktivista filo-russo che si autodenomina CyberArmyofRussia_Reborn (CARR), il quale ha preso di mira gli impianti idrici statunitensi. Ad esempio, il 18 gennaio, il gruppo hacktivista ha diffuso un video su Telegram che mostrava le acque di Muleshoe, Texas, in procinto di traboccare a causa dell’attivazione delle pompe tramite l’interfaccia uomo-macchina (HMI). Tuttavia, non è ancora chiaro se Sandworm stia dirigendo le attività di CARR, o se la relazione tra i due si limita a uno scambio di informazioni post-operazione. Inoltre, la composizione esatta di CARR resta ignota e potrebbe includere individui non affiliati all’intelligence russa.
L’attacco della Russia tramite una personalità controllata da Sandworm rappresenta un’escalation significativa degli attacchi del Cremlino alle infrastrutture critiche degli Stati Uniti. Le gang di ransomware russe hanno agito impunemente e hanno attaccato le infrastrutture critiche statunitensi per anni, causando importanti interruzioni come l’hack del Colonial Pipeline. Tuttavia, gruppi di stato come Sandworm, fino ad oggi, non hanno condotto attacchi distruttivi sul suolo degli Stati Uniti.
Mandiant aveva precedentemente ritenuto che il CyberArmyofRussia_Reborn fosse collegato al gruppo di hacking russo APT28, noto anche come Fancy Bear. Dopo una nuova analisi dei dati, Mandiant è riuscita ad attribuire con “alta sicurezza” l’attività sospetta a Sandworm. Il CyberArmyofRussia_Reborn si unisce a un piccolo ma crescente gruppo di personaggi hacktivisti collegati a hacker nazionali che prendono di mira l’infrastruttura critica degli Stati Uniti.
Le scoperte di mercoledì fanno parte di un’analisi completa in cui Mandiant ha aggiornato Sandworm come un gruppo di minacce persistenti avanzate completamente sviluppate. Il gruppo ora definito APT 44 è considerato tra i gruppi di hacking sostenuti dallo stato più capaci e pericolosi.
APT44 è ritenuto operare come Unit 74455. Fa parte del Main Centre for Special Technologies, all’interno del Main Directorate of the General Staff of the Armed Forces of the Russian Federation, comunemente noto come il Main Intelligence Directorate, o GRU, secondo Mandiant. Il gruppo prende di mira principalmente i settori governativo, difensivo, dei trasporti, dell’energia, dei media e delle organizzazioni della società civile sulla linea periferica della Russia, così come è noto agli studiosi. Ha ripetutamente preso di mira i sistemi elettorali e le istituzioni occidentali, tra cui i paesi membri della NATO.
Oggetti degli attacchi dell’operato di Sandworm alle strutture idriche degli Stati Uniti allarmano la Casa Bianca, sottolineando che il settore idrico ha bisogno di potenziare le sue difese di sicurezza informatica. Molte delle utility idriche della nazione sono sottodotate sul fronte delle risorse, con le investimenti per la cybersicurezza che passano sempre più in secondo piano.
La Casa Bianca ha cercato di mettere in atto normative sulla cybersicurezza più restrittive per il settore idrico, ma non è riuscita a trovare un meccanismo efficace per farlo. L’Environmental Protection Agency ha emanato una direttiva lo scorso anno affinché gli impianti idrici aumentassero le loro difese, ma ha ritirato tale regolamentazione dopo che diversi stati e gruppi commerciali del settore hanno fatto causa.