In prima linea nella guerra cibernetica globale: panoramica dei principali gruppi APT sostenuti dalla Russia che prendono di mira l’Ucraina e regole Sigma per difendersi proattivamente dalle loro TTP

Il Servizio statale di comunicazioni speciali e protezione delle informazioni dell’Ucraina (SSSCIP) ha recentemente emesso un rapporto analitico che copre l’aggressione informatica della Russia contro l’Ucraina nel 2022. Il rapporto fornisce informazioni sui principali collettivi di hacker che sono stati sotto i riflettori dall’inizio della guerra su larga scala in Ucraina, analizza le TTP degli avversari per eseguire intrusioni e copre le principali tendenze e vettori di attacco che illustrano la loro attività malevola per aiutare sia le organizzazioni ucraine che quelle globali a difendersi proattivamente dagli attacchi informatici russi di qualsiasi portata.

Il 24 febbraio 2022, poco più di un anno fa, la federazione russa ha iniziato un’invasione offensiva dell’Ucraina via terra, aria e mare. La guerra è esplosa anche nel cyberspazio. Di conseguenza, stiamo assistendo alla prima vera guerra cibernetica nella storia umana, con la Russia che agisce come un controparto offensivo e l’Ucraina che difende se stessa e i suoi alleati sulla prima linea cibernetica. Chiamare tali attacchi una guerra cibernetica non sembra più una metafora.

Tuttavia, mentre l’offensiva terrestre da parte delle truppe e dei missili russi è stata inaspettata, la guerra cibernetica contro l’Ucraina va avanti da quasi un decennio, a partire da una serie di attacchi distruttivi condotti dal gruppo affiliato alla Russia Sandworm APT utilizzando il famigerato malware BlackEnergy nel 2015-2016 e il noto malware NotPetya nel 2017 che ha colpito il settore finanziario ucraino. Quello che possiamo vedere oggi sul fronte cibernetico russo è il risultato della loro strategia trentennale. SSSCIP riferisce che il governo di Mosca ha cresciuto una vasta rete di affiliati offensivi addestrati che possono eseguire comandi militari, sono equipaggiati con exploit zero-day e hanno una vasta esperienza nel lanciare campagne autonome a basso costo, mentre le operazioni di difesa cibernetica rimangono piuttosto costose.

Secondo il rapporto SSSCIP e basato sulle stime di CERT-UA sugli incidenti investigati, gli attori delle minacce affiliati alla Russia hanno condotto 2.194 attacchi informatici distruttivi contro l’Ucraina, di cui il 52% (1.148) sono stati tra i più critici e di alto livello, i quali sono stati investigati e mitigati con successo dallo sforzo collettivo di CERT-UA e dei loro partner. Esperti di sicurezza del Google’s Threat Research Group osservano un aumento del 250% degli attacchi contro asset ucraini durante il 2022 (rispetto al 2021). Il targeting, che è coinciso e da allora è rimasto persistente dopo l’invasione militare dell’Ucraina nel febbraio 2022, si è concentrato pesantemente sul governo e le entità militari ucraine, insieme alle infrastrutture critiche, ai servizi pubblici e ai settori mediatici. Mandiant ha detto di aver osservato “più attacchi cibernetici distruttivi in Ucraina nei primi quattro mesi del 2022 che nei precedenti otto anni, con un picco di attacchi intorno all’inizio dell’invasione.” Con l’escalation delle operazioni offensive cibernetiche della Russia, i difensori cibernetici si sono resi conto che nessuna organizzazione individuale può resistere da sola alla valanga di attacchi distruttivi sostenuti dalla Russia, il che sottolinea la necessità di una collaborazione globale per la sicurezza informatica per contrastare un’aggressione cibernetica di tale portata.

SOC Prime è in guardia sulla prima linea della guerra cibernetica globale, aiutando l’Ucraina e i suoi alleati a difendersi dall’aggressione russa. Collaborando con CERT-UA e SSSCIP, ricerchiamo, sviluppiamo e testiamo le regole Sigma sul campo di battaglia reale consegnando più di 400 nuovi contenuti di rilevamento al mese per aiutare a contrastare gli attacchi distruttivi della Russia.

La piattaforma di SOC Prime per la difesa cibernetica collettiva cura più di 10.000 regole Sigma basate sul comportamento allineate con il framework MITRE ATT&CK v12 e facilmente condivisibili tra oltre 27+ soluzioni SIEM, EDR e XDR. SOC Prime condivide pubblicamente tutti i metadati associati a oltre 260.000 algoritmi di rilevamento poiché la condivisione delle informazioni consente a chiunque di beneficiare e contribuire alle regole Sigma mentre descrivono il comportamento degli avversari che può essere utilizzato in qualsiasi attacco informatico. Lo scambio tempestivo di informazioni, inclusi TTP e modelli di comportamento degli avversari, consente ai difensori cibernetici di ottenere un vantaggio strategico nella guerra cibernetica in corso.

Qui puoi trovare un elenco di algoritmi di rilevamento curati per difendersi proattivamente dalle attività malevole dei gruppi APT supportati dalla nazione russa menzionati nell’ indagine SSSCIP come attori delle minacce che implementano attacchi cibernetici distruttivi contro molteplici settori industriali in Ucraina nel corso del 2022.

Tutte le regole Sigma sono allineate con il framework MITRE ATT&CK v12 e sono compatibili con le tecnologie leader del settore SIEM, EDR e XDR. I difensori cibernetici possono immediatamente immergersi nel contesto delle minacce cibernetiche rilevanti per i link pertinenti ATT&CK e CTI, le mitigazioni, e i metadati operativi per accelerare le loro indagini sulle minacce.

Rilevamento dell’attività dell’avversario Gamaredon APT (UAC-0010)

Secondo il rapporto SSSCIP che analizza l’attività dei collettivi di hacker sponsorizzati da stati durante tutto il 2022, Gamaredon APT può essere considerato il gruppo più attivo e persistente basato sugli incidenti registrati nella seconda metà del 2022. Nel corso di questo periodo, gli attori delle minacce hanno principalmente mirato le loro operazioni offensive al settore militare, della sicurezza e della difesa ucraino, oltre che alle istituzioni governative.

Questo gruppo affiliato alla Russia e supportato dalla nazione è monitorato sotto una varietà di nomi, tra cui Armageddon APT aka UAC-0010, Trident Ursa, Shuckworm, e Primitive Bear. Secondo il Servizio di Sicurezza dell’Ucraina, l’attività del gruppo è attribuita al Servizio di Sicurezza Federale della Russia mirato a operazioni di intelligence e di sovversione contro l’Ucraina e gli alleati della NATO sul fronte cibernetico. Segui il link sottostante per raggiungere l’intero set di regole Sigma per rilevare l’attività malevola correlata:

Regole Sigma per rilevare le TTPS utilizzate negli attacchi cibernetici collegati a UAC-0010

Rilevamento delle Campagne Malevole di Sandworm APT (UAC-0082)

Un altro collettivo di hacker che è stato sotto i riflettori durante tutto il 2022 è la famigerata Unità 74455 affiliata al GRU conosciuta come Sandworm APT, che è anche monitorata come UAC-0082 da CERT-UA. Durante il periodo osservato, il gruppo si è principalmente concentrato sulle organizzazioni ucraine nei settori della logistica e del trasporto, dei media e dell’energia.

A metà aprile 2022, CERT-UA, in collaborazione con Microsoft e ESET, ha emesso un allarme riguardante il secondo attacco di blackout elettrico nella storia umana attribuito a UAC-0082. In questo attacco, gli hacker russi hanno sfruttato Industroyer2, una nuova versione della famigerata famiglia di malware Industroyer, insieme a un malware cancellatore di dati soprannominato CaddyWiper. Quest’ultimo è entrato nell’arena delle minacce con forza dopo gli attacchi cibernetici che distribuivano HermeticWiper and malware WhisperGate , illustrando la tendenza del wiping nel paesaggio delle minacce ucraine per la seconda metà del 2022. Qui sotto puoi trovare l’elenco completo delle regole Sigma per rilevare l’attività malevola di UAC-0082 aka Sandworm Group.

Regole Sigma per rilevare l’attività dell’avversario del gruppo UAC-0082

Rilevamento dell’attività malevola del gruppo UAC-0056

Gli attori delle minacce identificati come UAC-0056 hanno anche attivamente mirato le organizzazioni ucraine sin dall’invasione a tutto campo della Russia in Ucraina, concentrando principalmente le loro campagne malevole sui settori governativo e bancario. Questo collettivo di hacker era dietro massicce campagne di phishing nella primavera del 2022, sfruttando Cobalt Strike Beacon, GrimPlant e il malware GraphSteel. Per difendere proattivamente l’infrastruttura della tua organizzazione dalle intrusioni collegate al gruppo UAC-0056, la piattaforma Detection as Code di SOC Prime cura un set dedicato di regole Sigma disponibili tramite un link qui sotto:

Regole Sigma per rilevare le TTPs relative all’attività malevola degli hacker UAC-0056

Rilevamento dell’attività dell’avversario attribuita al gruppo UAC-0020

Vermin, anche monitorato come UAC-0020, è un altro collettivo di hacker che ha causato scompiglio nell’arena delle minacce cibernetiche ucraine dal 2022, collegato alle operazioni offensive sostenute dalla Russia. In modo simile al gruppo Sandworm APT, gli attori malevoli di Vermin prendevano di mira i settori militari, della sicurezza e della difesa durante il 2022.

I ricercatori di sicurezza informatica attribuiscono questo gruppo alla cosiddetta Repubblica Popolare di Luhansk (LPR), uno stato auto-proclamato non riconosciuto nella regione del Donbas dell’Ucraina orientale. Secondo l’indagine, Vermin è un gruppo supportato dallo stato che agisce come unità operativa della guerra cibernetica russa sulla prima linea della guerra cibernetica globale. I difensori cibernetici possono raggiungere istantaneamente l’intera raccolta di regole Sigma per rilevare tempestivamente le minacce attuali ed emergenti attribuite ai cyber criminali russi collegati a UAC-0020 seguendo il link sottostante:

Regole Sigma per rilevare operazioni malevole collegate agli attori UAC-0020

Rilevamento di attacchi cibernetici contro l’Ucraina collegati agli attori UAC-0142

Un altro gruppo di hacker che prende di mira i settori militari, della sicurezza e della difesa è monitorato come UAC-0142, che ha principalmente sfruttato il vettore di attacco phishing negli attacchi cibernetici durante il 2022. Alla fine del 2022, gli attori malevoli miravano a hackerare il sistema di consapevolezza situazionale basato su stato conosciuto come DELTA, che viene utilizzato per facilitare il coordinamento delle forze militari sul campo di battaglia. Per identificare tempestivamente le intrusioni malevoli collegate agli attori delle minacce UAC-0142, la piattaforma SOC Prime offre una collezione completa di regole Sigma disponibili tramite un link sottostante:

Regole Sigma per difendersi proattivamente dagli attacchi cibernetici del gruppo UAC-0142

Gli esperti di sicurezza possono trarre vantaggio dalla collezione completa di regole Sigma contro gli APT supportati dalla nazione russa insieme a 50 algoritmi di rilevamento unici a loro disposizione. Approfitta dell’ abbonamento Sigma2SaveLives charity con il 100% dei ricavi donati per fornire aiuti mirati al popolo ucraino e restare sempre un passo avanti rispetto agli attori delle minacce affiliati alla Russia.