Tim koji Microsoft naziva BadPilot djeluje kao Sandwormova “početna operacija pristupa”, a tijekom prošle godine usmjerili su svoj pogled na SAD, UK, Kanadu i Australiju.
TIijekom posljednjeg desetljeća, najagresivnija kibernetička ratna jedinica Kremlja, poznata kao Sandworm, usredotočila je svoje hakerske kampanje na cyber mučenje Ukrajine. Sada Microsoft upozorava da je jedan od timova unutar ozloglašene hakerske skupine promijenio svoje ciljeve, neselektivno radeći na probijanju mreža širom svijeta a u posljednjih godinu dana, čini se, pokazuje poseban interes za mreže u zapadnim zemljama engleskog govornog područja.
Prije par dana Microsoftov tim za obavještavanje o prijetnjama je objavio novo istraživanje o grupi unutar Sandworm-a koju analitičari nazivaju BadPilot. Microsoft opisuje tim kao tim usmjeren na probijanje i osiguravanje položaja u mrežama žrtava prije nego što taj pristup prepusti drugim hakerima unutar Sandwormove veće organizacije, koju su sigurnosni istraživači godinama identificirali kao jedinicu ruske vojne obavještajne agencije GRU. Nakon početnih napada BadPilota, drugi hakeri Sandworma koristili su njihove upade za kretanje unutar mreža žrtve i krađu informacija ili pokretanje kibernetičkih napada, kaže Microsoft.
Microsoft opisuje BadPilot kao tim koji neselektivno pokušava pristupiti što više mreža, kako bi se nakon sortiranja uspješnih napada usredotočili na određene žrtve. pokretanje velike količine pokušaja upada, bacanje široke mreže i zatim sortiranje rezultata kako bi se usredotočili na određene žrtve. Grupa se 2022. godine gotovo u potpunosti usmjerila na Ukrajinu, zatim je 2023. proširila svoje napade na mreže diljem svijeta, a zatim su se 2024. ponovno prebacili na napade u SAD-u, UK-u, Kanadi i Australiji.
Kako tvrdi Sherrod DeGrippo, Microsoftova direktorica obavještavanjnih aktivnosti o prijetnjama. “Navedeni hakeri biraju ono na što ima smisla usredotočiti se i fokusiraju se na zapadne zemlje.”
Microsoft nije imenovao nijednu konkretnu žrtvu upada BadPilota, ali je općenito izjavio da su mete hakerske skupine uključivale “energiju, naftu i plin, telekomunikacije, logistiku, proizvodnju oružja” i “međunarodne vlade”. U najmanje tri navrata, kažu iz Microsoft-a, operacije ovog tima su dovele do kibernetičkih napada koje je izveo Sandworm protiv ukrajinskih ciljeva.
Što se novijeg fokusa na zapadne mreže tiče, DeGrippo nagovještava da su interesi grupe vjerojatno bili više povezani s politikom.
Još jedno, zasebno izvješće tvrtke za kibernetičku sigurnost EclecticIQ ukazalo je na potpuno različitu hakersku kampanju koju također povezuju sa Sandwormom. Od kraja 2023. EclecticIQ je otkrio da je hakerska skupina koristila piratstski Windows zaražen zlonamjernim softverom, distribuiran putem Bittorrenta za probijanje ukrajinskih državnih mreža. U tim slučajevima hakeri su instalirali alat za daljinski pristup pod nazivom Dark Crystal RAT za izvođenje kibernetičke špijunaže.
Microsoft do sada nije pronašao nikakve dokaze da je, u BadPilot-ovom ciljanju na zapadne mreže, Sandworm pokazao bilo kakvu namjeru da izvede bilo što osim špijunaže. “Čini se da je ovo rani početak operacija u smislu početnog prikupljanja informacija i pristupa resursima, te pokušaja da se dobije koliko toliko dugotrajan pristup”, kaže DeGrippo iz Microsofta.
