Cybersecurity-onderzoekers hebben een nieuwe golf van aanvallen geïdentificeerd die gericht zijn op Oekraïense organisaties die verband lijken te houden met het door Rusland gesteunde hackcollectief dat bekend staat als Sandworm. Volgens bevindingen van Symantec en VMware Carbon Black infiltreerden de aanvallers zowel een grote zakelijke dienstverlener als een lokale overheidsinstantie, waarbij ze dagen of zelfs maanden toegang hielden terwijl ze gevoelige gegevens verzamelden.
De onderzoekers onthulden dat bij de eerste aanval een zakelijke dienstverlener betrokken was waar de bedreigingsactoren meer dan twee maanden onopgemerkt bleven. Ze worden verondersteld toegang te hebben gekregen door misbruik te maken van kwetsbaarheden op openbare servers en webshells te installeren om permanente toegang tot stand te brengen. Eenmaal binnen vertrouwden ze sterk op ingebouwde beheertools, een methode waarmee aanvallers zich door netwerken kunnen bewegen zonder duidelijke sporen van malware achter te laten.
Een van de ontdekte webshells, bekend als LocalOlive, is in verband gebracht met eerdere operaties die aan Sandworm worden toegeschreven. Hoewel de onderzoekers de directe betrokkenheid van de groep nog niet hebben bevestigd, suggereert de overlap in tactieken en toolsets sterk een verband. Zandworm, ook bekend als APT44, wordt algemeen beschouwd als een van de gevaarlijkste Russische cybereenheden en is in verband gebracht met enkele van de meest ontwrichtende operaties in de recente geschiedenis van Oekraïne.
Bij het tweede incident hebben de aanvallers ongeveer een week lang een lokale overheidsinstantie gecompromitteerd. Hoewel de inbraak korter was, waren de gebruikte technieken bijna identiek, wat suggereert dat dezelfde actor of een gelieerde groep verantwoordelijk was. De campagne was gericht op het exfiltreren van bestanden en het verzamelen van systeemgegevens die latere operaties zouden kunnen ondersteunen. Er werden geen tekenen van gegevensversleuteling of destructieve malware gevonden, wat aangeeft dat spionage in plaats van sabotage het primaire motief was.
De timing en precisie van deze aanvallen zijn opmerkelijk omdat ze plaatsvinden te midden van aanhoudende geopolitieke spanningen en toegenomen cyberactiviteit in Oost-Europa. Oekraïne blijft een van de meest geviseerde landen ter wereld, met veel van zijn publieke en private instellingen die te maken hebben met voortdurende digitale aanvallen. Sandworm, dat opereert onder de Russische militaire inlichtingendienst GRU, is in het verleden verantwoordelijk geweest voor verschillende grote aanvallen, waaronder verstoringen van het elektriciteitsnet, satellietinterferentie en grootschalige incidenten met het wissen van gegevens.
In tegenstelling tot die eerdere aanvallen, laten de recente campagnes een meer discrete en geduldige aanpak zien. In plaats van malware in te zetten die de bedrijfsvoering onmiddellijk verstoort, gebruikten de aanvallers methoden die waren ontworpen om gedurende langere perioden onzichtbaar te blijven. Deze aanpak, bekend als leven van het land, omvat het gebruik van legitieme systeemtools om kwaadaardige activiteiten uit te voeren. Door op te gaan in normaal beheerdersgedrag, kunnen de aanvallers zich door systemen verplaatsen, bevoegdheden escaleren en gegevens exfiltreren zonder standaard beveiligingswaarschuwingen te activeren.
Deze evolutie in strategie benadrukt een verschuiving in de operationele prioriteiten van Sandworm. Waar eerdere campagnes probeerden onmiddellijke en zichtbare schade aan te richten, suggereren de huidige operaties een focus op het verzamelen van inlichtingen en toegang op lange termijn. Door inloggegevens en interne documenten te verzamelen, kunnen de aanvallers zich voorbereiden op toekomstige operaties of de informatie misbruiken voor verdere strategische doeleinden.
Beveiligingsexperts waarschuwen dat de implicaties van deze bevindingen verder gaan dan de directe slachtoffers. Het gebruik van heimelijke, hardnekkige technieken betekent dat organisaties zich misschien pas lang na het begin van de inbraak realiseren dat ze zijn gecompromitteerd. Omdat aanvallers misbruik maken van tools die al in een systeem aanwezig zijn, slaagt traditionele antivirussoftware er vaak niet in om ze te detecteren. Om deze reden raden analisten aan om de netwerkactiviteit constant te monitoren en op gedrag gebaseerde detectiemethoden te gebruiken die ongebruikelijke patronen kunnen identificeren.
De Oekraïense cyberbeveiligingsautoriteiten hebben geen officiële verklaring afgelegd over de incidenten, maar het rapport onderstreept het aanhoudende risico voor zowel openbare instellingen als particuliere bedrijven die in het land actief zijn. De keuze van de aanvallers voor doelwitten, zakelijke dienstverleners en lokale overheidskantoren, suggereert een bredere interesse in het verkrijgen van toegang tot administratieve systemen die later grotere gecoördineerde operaties zouden kunnen ondersteunen.
De aanwezigheid van de LocalOlive-webshell en de consistentie van de tactieken die bij beide aanvallen worden gebruikt, hebben ertoe geleid dat onderzoekers geloven dat deze inbraken deel uitmaken van een continue campagne in plaats van geïsoleerde gebeurtenissen. De lange geschiedenis van zandwormen in Oekraïne voegt gewicht toe aan deze theorie. De groep is in verband gebracht met de aanvallen op het elektriciteitsnet in 2015 en 2016 waardoor honderdduizenden Oekraïners zonder elektriciteit kwamen te zitten, evenals de NotPetya-uitbraak in 2017 die miljarden dollars aan wereldwijde schade veroorzaakte.
Het verschil zit hem nu in hoe stil de aanvallers werken. Door spraakmakende aanvallen die de aandacht trekken te vermijden, vergroten ze hun kansen om toegang te houden tot waardevolle netwerken. Deze heimelijke aanpak stelt hen in staat om mogelijke toekomstige operaties te observeren, te verzamelen en zich voor te bereiden zonder onmiddellijke vergelding of blootstelling.
Onderzoekers zijn van mening dat deze campagnes een tweeledig doel kunnen dienen. Ze bieden inlichtingen die de militaire en strategische planning van Rusland kunnen informeren, terwijl ze ook een basis leggen voor mogelijke ontwrichtende aanvallen als de geopolitieke omstandigheden escaleren. De vermenging van spionage en cyberoorlogvoering is niet nieuw, maar de evoluerende methoden van Sandworm laten zien dat het zijn mogelijkheden bij elke operatie blijft verfijnen.
Verdediging tegen dit soort bedreigingen vereist niet alleen sterke technische maatregelen, maar ook constante waakzaamheid en samenwerking tussen organisaties. Experts dringen er bij Oekraïense instellingen en hun partners op aan om de toegangscontroles te herzien, ervoor te zorgen dat de software up-to-date is en proactieve detectiesystemen in te voeren die de subtiele tekenen van ongeoorloofde activiteiten kunnen herkennen. De mogelijkheid om abnormaal systeemgedrag te identificeren, in plaats van alleen bekende malwarehandtekeningen, is nu een van de belangrijkste verdedigingen tegen geavanceerde aanhoudende bedreigingen.
Het rapport concludeert dat deze incidenten een nieuw hoofdstuk vertegenwoordigen in het aanhoudende cyberconflict rond Oekraïne. Ze herinneren ons er ook aan dat cyberoorlogvoering niet altijd gepaard gaat met openlijke aanvallen of dramatische verstoringen. Soms neemt het de vorm aan van stille infiltratie en trage gegevensverzameling, ontworpen om strategisch voordeel op de lange termijn te bieden in plaats van onmiddellijke impact.
De evoluerende aard van de activiteit van Sandworm toont aan dat de groep actief, adaptief en diep verankerd blijft in de bredere context van door de staat gesponsorde cyberoperaties. Voor Oekraïne en zijn bondgenoten betekent dit dat de verdediging tegen toekomstige aanvallen een voortdurende verbetering van de detectiemogelijkheden en een niet-aflatende focus op cyberbeveiliging vereist.