Forscher haben einen Cyberangriff auf eine Wasseranlage in Texas mit Sandworm in Verbindung gebracht, einer führenden mit dem russischen Militär verbündeten Bedrohungsgruppe, die für ein Jahrzehnt „störender und destruktiver“ Kampagnen gegen die Ukraine verantwortlich ist.
In einer von Mandiant veröffentlichten detaillierten Analyse der Aktivitäten der Gruppe sagte das Cybersicherheitsunternehmen, dass keine andere Cyber-Gang „eine zentralere Rolle bei der Gestaltung und Unterstützung der russischen Militärkampagne“ gegen die Ukraine gespielt habe als Sandworm.
Zu den zahlreichen und anhaltenden Cyberangriffen reichte alles von Angriffen auf das ukrainische Energienetz in den Wintern 2015 und 2016 bis hin zu Angriffen auf Android-Handys ukrainischer Militärangehöriger im letzten Jahr.
„Die vom Sandwurm ausgehende Bedrohung beschränkt sich jedoch bei weitem nicht nur auf die Ukraine“, sagten die Mandiant-Forscher.
„Mandiant sieht weiterhin Operationen der Gruppe mit globaler Reichweite an wichtigen politischen, militärischen und wirtschaftlichen Brennpunkten Russlands.“
Ein in dem Bericht angeführtes Beispiel war ein Angriff auf die Betriebstechnik einer Wasseranlage in Muleshoe, Texas, im Januar dieses Jahres.
Ein Telegram-Konto namens CyberArmyofRussia_Reborn hat ein Video gepostet Es soll gezeigt werden, wie Hacker Einstellungen an der Mensch-Maschine-Schnittstelle (HMI) der Einrichtung manipulieren. Lokale Beamte bestätigten später, dass der Cyberangriff zum Überlaufen eines Tanks geführt habe, die Wasserversorgung jedoch nicht unterbrochen worden sei.
Mandiant sagte, dass CyberArmyofRussia_Reborn zwar den Hack oder seine Verbindung zu Sandworm nicht unabhängig verifizieren könne, CyberArmyofRussia_Reborn aber eine von mehreren „Frontpersonen“ oder „hacktivistischen Identitäten“ sei, die mit der Bedrohungsgruppe in Verbindung stehen.
Die Personas wurden als Teil einer Strategie zur Erzeugung „psychologischer Effekte zweiter Ordnung“ zusammengestellt, die unter anderem darauf abzielte, die Angriffe der Bedrohungsgruppe „durch übertriebene Wirkungsbehauptungen wirksamer erscheinen zu lassen“.
Geht man davon aus, dass Sandworm für den Muleshoe-Angriff verantwortlich ist, würde das bedeuten, dass sich russische Agenten kürzlich mit Banden aus China und dem Iran zusammengetan haben, um US-Wasseranlagen anzugreifen.
Wachsende Bedenken auf Regierungsebene hinsichtlich der Risiken, die nationalstaatliche Akteure für die kritische Infrastruktur des Landes darstellen, haben die Environmental Protection Agency (EPA) dazu veranlasst, eine Task Force zu bilden, die sich mit strengeren Sicherheitsmaßnahmen in der gesamten Branche befassen soll.
Sandworm erlangt den APT-Status
Sandworm ist eine Schlüsseleinheit innerhalb der russischen Hauptdirektion des Generalstabs der Streitkräfte (GRU) und „aktiv in das gesamte Spektrum von Spionage-, Angriffs- und Einflussoperationen involviert“, sagten die Forscher von Mandiant in ihrer Analyse.
Aufgrund der „aktiven und diffusen“ Natur der von ihr ausgehenden Bedrohung beschlossen die Forscher, die Gruppe auf den Status „Fortgeschrittene dauerhafte Bedrohung“ zu „stufen“ und sie von nun an als APT44 zu verfolgen.
Das APT-Präfix wird häufig von Forschern verwendet, um eine Reihe raffinierter, heimlicher Bedrohungsgruppen zu verfolgen.
„APT44 wird mit ziemlicher Sicherheit weiterhin eine der umfassendsten und schwerwiegendsten Cyber-Bedrohungen weltweit darstellen“, sagten die Forscher.
„Da der Krieg gegen Russland weitergeht, gehen wir davon aus, dass die Ukraine weiterhin im Mittelpunkt der APT44-Operationen stehen wird. Die Geschichte zeigt jedoch, dass die Bereitschaft der Gruppe, Cyberoperationen zur Förderung der umfassenderen strategischen Ziele des Kremls weltweit durchzuführen, in ihrem Mandat verankert ist. Wir gehen daher davon aus, dass die sich ändernde politische Dynamik im Westen, bevorstehende Wahlen und aufkommende Probleme im nahen Ausland Russlands auch in absehbarer Zukunft weiterhin die Geschäftstätigkeit von APT44 prägen werden.“
