L’APT russo Sandworm e la “guerra dell’informazione”

Sandworm (noto anche come APT44 ed EnergeticBear) viene descritto come uno dei gruppi più versatili e incisivi del panorama state-sponsored russo. Attivo almeno dal 2009 e legato a doppio filo alla Direzione Principale dello Stato Maggiore Generale delle Forze Armate della Federazione Russa (GRU), Sandworm rappresenta un esempio paradigmatico di come si realizzi la “guerra dell’informazione”, elemento sul quale si basa il pensiero strategico russo post-Guerra Fredda.

A questo gruppo sono state associate operazioni di spionaggio, offensive con finalità distruttive ed InfoOps a livello globale. A partire dal 2015, il suo nome è stato collegato ad attacchi come quelli contro le centrali elettriche ucraine con i wiper Industroyer e Industroyer2 e la campagna globale basata sul malware NotPetya. Nell’ambito del conflitto in Ucraina, ha effettuato operazioni di disturbo contro target civili e militari e offensive mirate alla raccolta di informazioni militari. Gli analisti ritengono che Sandworm si avvalga della collaborazione di un vasto ecosistema composto da contractor del settore tecnologico e market criminali russi. In particolare, il leak “The Vulkan Files”, del marzo 2023, ha indicato correlazioni con NTC Vulkan, società di cybersicurezza moscovita che avrebbe realizzato un sofisticato framework di attacco contro sistemi dell’operational technology.

Diversi ricercatori hanno constatato che la strategia di Sandworm si basa anche su attività mirate a generare effetti psicologici di secondo ordine per aumentare l’effetto delle campagne di spionaggio e sabotaggio. L’APT avrebbe promosso operazioni di “hack and leak” o “attack and leak”, in cui vengono divulgati documenti sensibili o altre informazioni derivate da campagne informatiche. Nel periodo precedente alla guerra in Ucraina, le rivendicazioni sono state affidate a realtà hacktiviste come Anonymous Poland e Guccifer 2.0.

Dopo l’avvio del conflitto, nell’ampio ecosistema di canali ed account Telegram filorussi sono emersi collettivi come People Cyber Army e Solntsepek. Il rapporto fra Sandworm e questi due team, sebbene non palese, sembra essere molto stretto.

Solntsepek, fino al 2023, sembra aver condotto autonomamente azioni di hack&leak contro il settore militare ucraino, in linea con gli interessi del GRU. Successivamente, ha effettuato un rebranding, definendosi un “gruppo hacker”, e sembra sia diventato uno dei principali veicoli delle rivendicazioni di Sandworm.

Per quanto riguarda People Cyber Army, il suo canale YouTube è stato creato da un’infrastruttura associata all’APT e quello Telegram ha rilasciato informazioni che Sandworm aveva esfiltrato poco tempo prima. Più di recente, il collettivo è risultato fra quelli più attivi nelle rivendicazioni di offensive DDoS contro l’Ucraina e i Paesi suoi alleati.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.