Через третій рік повномасштабного вторгнення Росії Sandworm (він же FROZENBARENTS) залишається серйозною загрозою для України. Операції групи на підтримку військових цілей Москви довели тактичну й оперативну адаптивність і на сьогоднішній день, здається, краще інтегровані з діяльністю звичайних сил Росії, ніж на будь-якому іншому попередньому етапі конфлікту. На сьогоднішній день жодна інша підтримувана російським урядом кібергрупа не відігравала більшої ролі у формуванні та підтримці військової кампанії Росії.
Проте загроза, яку становить Sandworm, далеко не обмежується Україною. Mandiant продовжує спостерігати за глобальними операціями групи в ключових політичних, військових та економічних гарячих точках Росії. Крім того, завдяки рекордній кількості людей, які взяли участь у національних виборах у 2024 році, історія спроб Sandworm втручатися в демократичні процеси ще більше підвищує серйозність загрози, яку група може становити в найближчій перспективі.
Враховуючи активний і дифузний характер загрози, яку представляє Sandworm у всьому світі, Mandiant вирішив перетворити групу в групу під назвою Advanced Persistent Threat: APT44. У рамках цього процесу ми випускаємо звіт «APT44: Unearthing Sandworm», який містить додаткову інформацію про нові операції групи, ретроспективну інформацію та контекст про те, як група пристосовується до підтримки військових цілей Москви.
Ключові висновки
Спонсорований російською військовою розвідкою, APT44 є динамічним і оперативно зрілим актором загрози, який активно бере участь у повному спектрі шпигунства, нападів і операцій впливу. У той час як більшість підтримуваних державою груп загроз, як правило, спеціалізуються на певних місіях, таких як збір розвідданих, диверсії в мережах або проведення інформаційних операцій, APT44 вирізняється тим, як вона відточила кожну з цих можливостей і намагалася з часом об’єднати їх у єдиний посібник. . Кожен із цих відповідних компонентів і зусилля APT44 поєднати їх для спільного ефекту є основою керівної російської концепції «інформаційного протистояння» для кібервійни.
Рисунок 1: Спектр операцій APT44
APT44 агресивно дотримується багатосторонніх зусиль, щоб допомогти російським військовим отримати перевагу під час війни, і несе відповідальність за майже всі деструктивні та руйнівні операції проти України за останнє десятиліття. Протягом усієї російської війни APT44 вів інтенсивну кампанію кібердиверсій в Україні. Завдяки використанню підривних кіберінструментів, таких як зловмисне програмне забезпечення, призначене для порушення роботи систем, APT44 намагався вплинути на широкий спектр критичних секторів інфраструктури. Часом ці операції узгоджувалися зі звичайною військовою діяльністю, як-от кінетичні удари чи інші форми диверсій, у спробі досягти спільних військових цілей.
Однак у міру того, як війна тривала, відносна увага APT44 перейшла від підриву до збору розвідданих. Цілі та методи групи суттєво змінилися на другому році війни, причому все більше уваги приділялося шпигунській діяльності, спрямованій на надання переваги на полі бою звичайним силам Росії. Наприклад, одна довгострокова кампанія APT44 допомогла російським сухопутним силам передової частини вилучити зв’язок із захоплених мобільних пристроїв, щоб збирати й обробляти відповідні цільові дані. Підхід APT44 до підтримки військової кампанії Росії значно змінився за останні два роки.
Рисунок 2: Підривна діяльність APT44 під час війни
Ми з високою впевненістю оцінюємо, що APT44 розглядається Кремлем як гнучкий інструмент влади, здатний обслуговувати широкі національні інтереси та амбіції Росії, включаючи зусилля з підриву демократичних процесів у всьому світі.
Незважаючи на те, що група є підрозділом російської армії, диверсійна діяльність групи не обмежується військовими цілями, а також охоплює ширші національні інтереси Росії, такі як стимулювання політичних сигнальних зусиль Кремля, реагування на кризи або запланована реакція без ескалації на передбачувану зневагу до Москви. статус у світі.
Решта статті була заблокована. Щоб продовжити читання, увійдіть.