Se je hekerska skupina Sandworm lotila vohunstva?
Jurij Kristan
22. feb 2021 ob 21:05:46
Prejšnji teden je francoska državna agencija za kibernetsko varnost razkrila, da je dobro organizirana napadalna ekipa v približno tri leta dolgi kampanji vdrla v več francoskih podjetij. Čeprav stoodstotnega potrdila še ni, pa veliko podrobnosti kaže na delovanje ruske skupine Sandworm, kar je zanimivo, ker slednjo povezujemo z uničevalnimi napadi na omrežja, ne z vohunskimi podvigi, kot je bila kampanja v Franciji.
V začetku prejšnjega tedna so iz francoske državne agencije za informacijsko varnost ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) sporočili, da so prišli na sled nepridipravom, ki so med letoma 2017 in 2020 vdrli v več francoskih informacijskih podjetij; zvečine je šlo za ponudnike spletnega prostora, cilj pa naj bi bilo vohunjenje. Vdore je povezovala vstopna točka skozi luknje v nadzornem programju za omrežja Centreon, istoimenskega francoskega podjetja. V Centreonu so sredi tedna v izjavi za javnost poudarili, da niso bile napadene njihove dejanske stranke, temveč tisti, ki so uporabljali odprtokodno inačico programja, ki že dlje časa ni bila posodobljena. Obenem so razložili, da naj bi bilo žrtev "okoli 15" in da je šlo za klasično zlorabo ranljivosti, ne napad skozi dobavno verigo kot v razvpiti aferi SolarWinds.
Francoska agencija se je tudi opogumila in za krivca označila rusko kriminalno hekersko združbo Sandworm (tudi Voodoo Bear), povezano z rusko obveščevalno službo. Na to jo napeljuje dejstvo, da je bila za stranska vrata med drugim uporabljena Sandwormova zlobna koda Exaramel, ki se je tudi povezovala na komunikacijske strežnike, ki so jih svojčas uporabljali Rusi. Seveda pa ni nemogoče, da bi skušali zlikovci preiskovalce zmesti, saj je praksa sposojanja virusov med različnimi ruskimi državnimi hekerskimi skupinami precej razširjena. Če je šlo res za Sandworm, je to zanimiva novost, ker smo to skupino doslej povezovali z uničevalnimi napadalnimi akcijami, kot je bila ohromitev ukrajinskega elektroomrežja leta 2016, pa izdelava uničevalnega črva NotPetya. Je pa ameriška agencija NSA lani že opozorila, da Sandworm izvaja kampanjo napadanja poštnih strežnikov.
Francozi so sicer kar pogoste tarče ruskih državnih hekerjev; pred leti so tako na noge spravili omrežje televizijske mreže TV5, lotili so se tudi francoskega predsednika Emmanuela Macrona.