Mandiant fait passer Sandworm au niveau APT44 en raison de l’augmentation de la menace

Mandiant a officiellement promu le groupe APT russe Sandworm au rang d’APT44, en raison du risque important qu’il représente pour les organisations gouvernementales et les infrastructures critiques du monde entier.

APT44 est défini par les équipes de Mandiant (filiale cybersécurité de Google) comme un groupe de menace soutenu par la Fédération de Russie et attribué par plusieurs gouvernements à l’unité 74455, le centre principal des technologies spéciales (GTsST) au sein de la direction principale du renseignement militaire russe (GRU). Mandiant suit les opérations d’APT44 depuis plus de dix ans. Des images accessibles au public de l’insigne d’anniversaire de l’unité situent la formation du groupe en 2009.

Dans un billet de blog publié mercredi, le fournisseur de renseignements sur les menaces a révélé qu’il avait reclassé le groupe de menaces persistantes avancées, communément appelé Sandworm, en APT44 en raison de son rôle crucial dans la guerre actuelle entre la Russie et l’Ukraine et de sa grande capacité d’adaptation. Mandiant a souligné la dangerosité d’APT44 par rapport à d’autres groupes de menaces, en raison de sa capacité à mener des activités d’espionnage, à déployer des attaques et à mener des opérations d’influence avec le soutien du GRU. Le groupe APT a lancé de nombreuses campagnes réussies depuis que Mandiant a découvert Sandworm il y a 10 ans.

En 2020, six membres de Sandworm ont été inculpés pour des attaques très perturbatrices qui ont déployé le logiciel malveillant NotPetya contre des organisations ukrainiennes en 2017. Sandworm était également responsable de l’attaque par ransomware WannaCry, toujours en 2017 ; ces deux événements ont mis en évidence le risque de propagation des attaques à des entités extérieures à la cible.

« À ce jour, aucun autre groupe de cyberattaquants soutenu par le gouvernement russe n’a joué un rôle aussi central dans l’élaboration et le soutien de la campagne militaire russe », écrit Mandiant dans son rapport.

Plus récemment, ce que Mandiant suit désormais sous le nom d’APT44 est fortement impliqué dans la guerre entre la Russie et l’Ukraine, qui a débuté en 2022. Mandiant a observé qu’APT44 avait lancé une campagne de perturbation lors de la première invasion de l’Ukraine par la Russie, campagne qui se poursuit encore aujourd’hui.

Au cours de certaines de ces attaques, APT44 a déployé des logiciels malveillants de type « wiper », qui peuvent entraîner une perte permanente de données. Mandiant a observé une attaque en 2022 au cours de laquelle les opérateurs d’APT44 ont ciblé le réseau énergétique ukrainien et provoqué des coupures de courant.

Si Mandiant a souligné la « formidable menace » que représente APT44 pour l’Ukraine, l’éditeur a également mis en garde les autres adversaires de la Russie.

« En raison de l’utilisation agressive des capacités d’attaque de réseau dans des contextes politiques et militaires, APT44 représente une menace persistante et très grave pour les gouvernements et les opérateurs d’infrastructures critiques dans le monde entier, là où les intérêts nationaux russes se croisent », peut-on lire dans le rapport.

Malgré la guerre en cours en Ukraine, APT44 a également ciblé avec succès d’autres pays. Mandiant a observé APT44 mener des opérations d’espionnage en Amérique du Nord, en Europe, au Moyen-Orient, en Asie centrale et en Amérique latine.

Outre les entités gouvernementales, Mandiant a constaté qu’APT44 cible principalement des organisations de défense, de transport, d’énergie, de médias et de la société civile, situées à proximité de la Russie. APT44 cible aussi fréquemment des organisations gouvernementales et d’autres opérateurs d’infrastructures critiques en Pologne et au Kazakhstan, ainsi qu’en Russie.

En ce qui concerne les cibles américaines, il semble que les activités récentes d’APT44 aient visé des victimes dans le secteur des services d’eau. Mandiant suit les activités du GRU par le biais de la plateforme de messagerie Telegram. En janvier, les chercheurs ont découvert une vidéo postée sur Telegram par un utilisateur qui se fait appeler CyberArmyofRussia_Reborn, probablement associée au GRU.

Dans la vidéo, CyberArmyofRussia_Reborn s’attribue le mérite de la manipulation des interfaces homme-machine (IHM) et du contrôle des actifs de technologie opérationnelle (OT) dans les services d’eau polonais et américains. Le même mois, la CISA a publié un guide de réponse aux incidents pour les services de distribution d’eau et de traitement des eaux usées aux États-Unis et a exhorté les opérateurs à renforcer leurs protocoles de sécurité.

« Mandiant n’est pas en mesure de vérifier de manière indépendante l’activité d’intrusion susmentionnée ou son lien avec APT44. Cependant, nous notons que les responsables des services publics américains concernés ont publiquement reconnu les incidents survenus dans les entités présentées comme victimes dans la vidéo CyberArmyofRussia_Reborn », peut-on lire dans le rapport.

Mandiant s’est référé à un article publié par My Plainview en février (source en anglais). Cet article faisait état d’une réunion municipale au cours de laquelle les responsables de Muleshoe, au Texas, avaient discuté d’une attaque contre les systèmes d’infrastructure de l’eau qui s’était produite le 18 janvier.