Mandiant ha hecho público un informe en el que gradúa a Sandworm Group (alias FROZENBARENTS) como la Amenaza Persistente AvanzadaAPT44, y asegura que es responsable de casi todas las operaciones disruptivas y destructivas contra Ucrania durante la última década.
Según los investigadores de Mandiant, «ningún otro grupo cibernético respaldado por el Gobierno ruso ha desempeñado un papel más central en la configuración y el apoyo a la campaña militar de Rusia que APT44”.
Entre las claves que revela este nuevo estudio:
- Desde que comenzó la guerra en Ucrania, en 2022, las tácticas técnicas y las prioridades operativas de APT44 han cambiado para apuntar cada vez más a dispositivos de borde durante la guerra, y apoyar las operaciones militares cinéticas de Rusia con ataques cibernéticos.
- APT44 ha lanzado ataques dirigidos a objetivos militares en Ucrania. Por ejemplo, en octubre de 2022, APT44 interrumpió los sistemas de TI y OT en una entidad de distribución de energía en medio de la campaña de invierno de Rusia de ataques militares y de drones contra la red energética de Ucrania.
- Entre el 17 y el 18 de enero de 2024, el canal de Telegram de CyberArmyofRussia_Reborn publicó vídeos en los que se atribuía la manipulación de interfaces hombre-máquina (HMI) que controlaban activos OT en empresas de suministro de agua polacas y estadounidenses.
- Aproximadamente dos semanas después, un funcionario local estadounidense confirmó públicamente un «mal funcionamiento del sistema» que provocó el desbordamiento de un depósito en una de las instalaciones supuestamente afectadas.
- El 2 de marzo de este año, el grupo publicó otro vídeo en el que afirmaba haber interrumpido la generación de electricidad en una instalación hidroeléctrica francesa manipulando los niveles de agua.
- Aunque los investigadores de Mandiant no pueden verificar de forma independiente la actividad de intrusión de esta empresa de suministro de agua, o sus vínculos con APT44 en este momento, APT44 es conocida por ejecutar este tipo de ciberataques y estos patrones coinciden con la evaluación de Mandiant y Google TAG de que CyberArmyofRussia_Reborn ha sido creada y está controlada por APT44.
- APT44 suele conseguir el acceso inicial a través de la explotación de infraestructuras periféricas, tácticas que han aumentado desde el inicio de la guerra en Ucrania. Además, desde febrero de 2024, el grupo sigue utilizando instaladores de software troyanizados distribuidos a través de torrents en foros en ucraniano y ruso como medio para lograr un acceso inicial a posibles objetivos.