Τα τελευταία χρόνια, η διαβόητη ρωσική κυβερνοομάδα Sandworm έχει επικεντρωθεί σε επιθέσεις κατά της Ουκρανίας, με αποκορύφωμα την εντατικοποίηση των δραστηριοτήτων της μετά την εισβολή της Ρωσίας το 2022. Ωστόσο, πρόσφατες έρευνες της Microsoft αποκαλύπτουν ότι μια υποομάδα του Sandworm, γνωστή ως BadPilot, έχει επεκτείνει το πεδίο δράσης της, στοχεύοντας πλέον και αγγλόφωνες δυτικές χώρες, όπως οι Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο, ο Καναδάς και η Αυστραλία.
Ποιοι είναι οι BadPilot και πώς δρουν;
Η Microsoft χαρακτηρίζει την ομάδα BadPilot ως “επιχείρηση αρχικής πρόσβασης”, δηλαδή μια μονάδα που ειδικεύεται στη διείσδυση σε δίκτυα-στόχους, δημιουργώντας ένα πρώτο σημείο πρόσβασης που στη συνέχεια μπορεί να χρησιμοποιηθεί από άλλους χάκερ του Sandworm για περαιτέρω επιθέσεις.
Η τακτική που ακολουθούν είναι η μαζική αποστολή απόπειρων εισβολής, ελέγχοντας ποιες από αυτές έχουν επιτυχία και έπειτα εστιάζοντας στους πιο ενδιαφέροντες στόχους. Αρχικά, το 2022, επικεντρώθηκαν αποκλειστικά στην Ουκρανία, το 2023 διεύρυναν τη δραστηριότητά τους σε διεθνές επίπεδο, ενώ το 2024 η στόχευσή τους περιλαμβάνει πλέον κυρίως τις προαναφερθείσες αγγλόφωνες χώρες.
“Βλέπουμε μια στρατηγική όπου σαρώνουν για πιθανά αδύναμα σημεία και επιλέγουν μεθοδικά τα πιο κρίσιμα θύματα”, αναφέρει η Sherrod DeGrippo, διευθύντρια στρατηγικής πληροφοριών απειλών στη Microsoft.
Στόχοι και μέθοδοι επίθεσης
Η Microsoft δεν αποκάλυψε συγκεκριμένους οργανισμούς που έχουν πέσει θύματα του BadPilot, αλλά επισημαίνει ότι οι τομείς που πλήττονται περιλαμβάνουν την ενέργεια, το πετρέλαιο και το φυσικό αέριο, τις τηλεπικοινωνίες, τη ναυτιλία, την κατασκευή όπλων και κυβερνητικούς φορείς. Σε τρεις τουλάχιστον περιπτώσεις, οι επιθέσεις οδήγησαν σε καταστροφικά κυβερνοχτυπήματα εναντίον ουκρανικών υποδομών.
Οι χάκερ του BadPilot εκμεταλλεύονται γνωστά αλλά ανεπαρκώς προστατευμένα τρωτά σημεία σε διαδικτυακές εφαρμογές, όπως το Microsoft Exchange, το Outlook, το OpenFire, το JetBrains και το Zimbra. Ειδικά για τα δυτικά δίκτυα, η Microsoft έχει εντοπίσει ότι χρησιμοποιούν ευπάθειες στο λογισμικό απομακρυσμένης πρόσβασης ConnectWise ScreenConnect και το Fortinet FortiClient EMS.
Μετά την εισβολή στο σύστημα ενός στόχου, εγκαθιστούν λογισμικό που τους παρέχει επίμονη πρόσβαση, αξιοποιώντας νόμιμα εργαλεία όπως το Atera Agent και το Splashtop Remote Services. Επιπλέον, σε κάποιες περιπτώσεις, χρησιμοποιούν το δίκτυο ανωνυμίας Tor για να καλύπτουν τα ίχνη τους, μετατρέποντας τους υπολογιστές των θυμάτων σε κόμβους επικοινωνίας.
Στόχος η παρέμβαση στις εκλογές
Σύμφωνα με τη Microsoft, η πρόσφατη στροφή της BadPilot προς τα δυτικά δίκτυα συνδέεται πιθανότατα με πολιτικά κίνητρα, όπως οι παγκόσμιες εκλογικές διαδικασίες. “Οι πολιτικές εξελίξεις είναι ένας παράγοντας που μπορεί να εξηγεί τη μεταβολή στη στρατηγική τους”, αναφέρει η DeGrippo.
Το Sandworm, γνωστό και με το όνομα Seashell Blizzard, έχει ιστορικό επιθέσεων που ξεπερνούν την απλή κυβερνοκατασκοπεία. Στο παρελθόν, η ομάδα έχει ευθύνη για τρεις διακοπές ρεύματος στην Ουκρανία – οι μοναδικές που έχουν προκληθεί από χάκερ στην ιστορία – καθώς και για την εξάπλωση του κακόβουλου λογισμικού NotPetya, που προκάλεσε οικονομικές ζημιές ύψους 10 δισεκατομμυρίων δολαρίων παγκοσμίως.
Παρόλο που μέχρι στιγμής η Microsoft δεν έχει εντοπίσει στοιχεία που να υποδηλώνουν ότι οι BadPilot σκοπεύουν να προχωρήσουν σε επιθέσεις πέρα από την κατασκοπεία, η σύνδεσή τους με το Sandworm προκαλεί ανησυχία. “Η ιστορία τους δείχνει ότι είναι ικανοί για πολύ πιο επιθετικές ενέργειες, γεγονός που τους καθιστά σοβαρή απειλή”, καταλήγει η DeGrippo.
