Selama dekade terakhir, unit cyberwar paling agresif di Kremlin, yang dikenal sebagai Cacing pasirtelah memfokuskan kampanye peretasannya pada menyiksa Ukraina, terlebih lagi sejak invasi skala penuh Presiden Rusia Vladimir Putin terhadap tetangga Rusia. Sekarang Microsoft memperingatkan bahwa sebuah tim dalam kelompok peretasan terkenal itu telah mengubah penargetannya, bekerja tanpa pandang bulu untuk melanggar jaringan di seluruh dunia-dan, pada tahun lalu, tampaknya menunjukkan minat khusus dalam jaringan di negara-negara Barat yang berbahasa Inggris.
Pada hari Rabu, tim Ancaman Intelijen Microsoft menerbitkan penelitian baru ke dalam grup di dalam Sandworm bahwa analis perusahaan menyebut Badpilot. Microsoft describes the team as an “initial access operation” focused on breaching and gaining a foothold in victim networks before handing off that access to other hackers within Sandworm’s larger organization, which security researchers have for years identified as a unit of Russia’s GRU military intelligence agency . Setelah pelanggaran awal Badpilot, peretas cacing pasir lainnya telah menggunakan intrusi untuk bergerak dalam jaringan korban dan melakukan efek seperti mencuri informasi atau meluncurkan serangan cyber, kata Microsoft.
Microsoft menggambarkan badpilot sebagai memulai volume tinggi upaya intrusi, melemparkan jaring yang luas dan kemudian memilah -milah hasil untuk fokus pada korban tertentu. Selama tiga tahun terakhir, perusahaan mengatakan, geografi penargetan kelompok telah berevolusi: pada tahun 2022, ia menetapkan pandangannya hampir seluruhnya di Ukraina, kemudian memperluas peretasannya pada tahun 2023 ke jaringan di seluruh dunia, dan kemudian bergeser lagi pada tahun 2024 ke rumah di rumah pada korban di AS, Inggris, Kanada dan Australia.
“Kami melihat mereka menyemprotkan upaya mereka pada akses awal, melihat apa yang kembali, dan kemudian fokus pada target yang mereka sukai,” kata Sherrod DeGrippo, direktur strategi Ancaman Intelijen Microsoft. “Mereka memilih dan memilih apa yang masuk akal untuk fokus. Dan mereka fokus pada negara -negara Barat itu. ”
Microsoft tidak memberi nama korban spesifik dari intrusi Badpilot, tetapi secara luas menyatakan bahwa target kelompok peretas telah mencakup “energi, minyak dan gas, telekomunikasi, pengiriman, pembuatan senjata,” dan “pemerintah internasional.” Pada setidaknya tiga kesempatan, Microsoft mengatakan, operasinya telah menyebabkan serangan cyber yang menghancurkan data yang dilakukan oleh Sandworm terhadap target Ukraina.
Adapun fokus yang lebih baru pada jaringan Barat, Degrippo Microsoft mengisyaratkan bahwa kepentingan grup kemungkinan lebih terkait dengan politik. “Pemilihan global mungkin menjadi alasan untuk itu,” kata DeGrippo. “Itu perubahan lanskap politik, saya pikir, adalah motivator untuk mengubah taktik dan mengubah target.”
Over the more than three years that Microsoft has tracked BadPilot, the group has sought to gain access to victim networks using known but unpatched vulnerabilities in internet-facing software, exploiting hackable flaws in Microsoft Exchange and Outlook, as well as applications from OpenFire, JetBrains , dan Zimbra. Dalam penargetan jaringan Barat selama setahun terakhir khususnya, Microsoft memperingatkan bahwa badpilot telah secara khusus mengeksploitasi kerentanan dalam alat akses jarak jauh menghubungkan screenconnect dan Fortinet Forticlient EMS, aplikasi lain untuk mengelola perangkat lunak keamanan Fortinet secara terpusat di PCS.
Setelah mengeksploitasi kerentanan tersebut, Microsoft menemukan bahwa Badpilot biasanya menginstal perangkat lunak yang memberikannya akses yang terus -menerus ke mesin korban, seringkali dengan alat akses jarak jauh yang sah seperti Atera Agent atau layanan jarak jauh Splashtop. Dalam beberapa kasus, dalam twist yang lebih unik, ia juga mengatur komputer korban untuk dijalankan sebagai apa yang disebut layanan bawang di jaringan anonimitas TOR, pada dasarnya mengubahnya menjadi server yang berkomunikasi melalui koleksi mesin proxy TOR untuk menyembunyikan komunikasinya.
Laporan lain, terpisah Selasa dari perusahaan cybersecurity Eclecticiq menunjuk kampanye peretasan yang sama sekali berbeda Perusahaan itu juga terkait dengan cacing pasir. Sejak akhir 2023, Eclecticiq menemukan kelompok peretas telah menggunakan alat pembajakan Windows yang terinfeksi malware, didistribusikan melalui BitTorrent, untuk melanggar jaringan pemerintah Ukraina. Dalam kasus tersebut, Eclecticiq ditemukan, peretas telah memasang alat akses jarak jauh yang disebut Dark Crystal Rat untuk melakukan cyberespionage.
Tanda Sandworm apa pun, yang dimaksud Microsoft dengan nama kerang Blizzard, memunculkan alarm sebagian karena grup ini memiliki sejarah operasi peretasan yang jauh melampaui mata -mata belaka. Selama dekade terakhir, kelompok ini telah menyebabkan setidaknya tiga pemadaman menargetkan utilitas listrik Di Ukraina-masih satu-satunya pemadaman yang disebabkan oleh peretas dalam sejarah. Grup juga merilis malware notpetya penyebaran itu di seluruh dunia dan melakukan setidaknya $ 10 miliar dalam kerusakan, dan menggunakan malware wiper untuk Hancurkan jaringan yang tak terhitung jumlahnya Dalam serangan yang lebih bertarget di Ukraina baik sebelum dan sesudah invasi 2022.
Microsoft sejauh ini tidak menemukan bukti bahwa, dalam penargetan jaringan barat secara khusus, cacing pasir telah menunjukkan niat untuk melakukan apa pun selain spionase. “Ini tampaknya sangat awal dalam hal pengumpulan sumber daya awal, mencoba mendapatkan akses yang jauh lebih gigih ini,” kata Degrippo Microsoft. “Maka kita harus menunggu untuk melihat apa yang mereka lakukan dengannya.”
Tetapi dia mencatat bahwa badpilot tetap terikat pada kelompok yang lebih besar yang memiliki sejarah serangan siber yang sangat mengganggu. “Oleh karena itu,” kata DeGrippo, “tindakan potensial yang dapat mereka ambil selanjutnya adalah perhatian yang mendalam.”
