Sandworm Team - najbardziej destrukcyjna grupa APT w historii cyberbezpieczeństwa
Sandworm Team (APT44, G0034) - kompletna analiza rosyjskiej grupy GRU Unit 74455 odpowiedzialnej za BlackEnergy, Industroyer, NotPetya i Olympic Destroyer. Oś czasu kampanii 2014-2025, mapowanie MITRE ATT&CK ICS, akt oskarżenia DOJ.
Moskwa, budynek przy placu Chitrowski 22. Niepozorna siedziba jednostki wojskowej numer 74455 Głównego Zarządu Wywiadowczego Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej - w skrócie GRU. Na zewnątrz nic nie odróżnia tego budynku od dziesiątek innych instytucji państwowych. Wewnątrz pracuje zespół, który w ciągu dekady przeprowadził więcej destrukcyjnych cyberataków na infrastrukturę krytyczną niż jakakolwiek inna znana grupa na świecie. Wyłączyli prąd w Kijowie - dwukrotnie. Uwolnili najbardziej niszczycielski malware w historii. Sabotowali zimowe igrzyska olimpijskie. A potem, gdy Rosja rozpoczęła pełnoskalową inwazję na Ukrainę, przeszli do cybernetycznego wsparcia operacji wojskowych na skalę, jakiej nie widzieliśmy nigdy wcześniej.
To jest Sandworm Team. Grupa, której historia jest jednocześnie kroniką rozwoju cyberbroni wymierzonej w systemy przemysłowe.
Tożsamość - od pseudonimu do aktu oskarżenia
Nazwa “Sandworm” pojawiła się po raz pierwszy w 2014 roku, gdy badacze z firmy iSIGHT Partners (później przejętej przez FireEye, a następnie Mandiant) odkryli kampanię spear-phishingową wykorzystującą lukę zero-day CVE-2014-4114 w Windows. W złośliwych plikach znaleźli odniesienia do powieści “Diuna” Franka Herberta - stąd nazwa nawiązująca do pustynnych czerwi.
Przez lata grupa funkcjonowała pod wieloma oznaczeniami:
| Nazwa | Nadana przez |
|---|---|
| Sandworm Team | iSIGHT Partners / MITRE ATT&CK (G0034) |
| ELECTRUM | Dragos |
| Telebots | ESET |
| IRON VIKING | Secureworks |
| Voodoo Bear | CrowdStrike |
| IRIDIUM / Seashell Blizzard | Microsoft |
| FROZENBARENTS | Google TAG |
| APT44 | Mandiant (od 2024) |
W kwietniu 2024 roku Mandiant podjął bezprecedensowy krok - formalnie “awansował” Sandworm do kategorii APT, nadając mu oznaczenie APT44. Uzasadnienie: żadna inna grupa nie łączy w sobie tak szerokiego spektrum operacji - od sabotażu systemów przemysłowych, przez destrukcyjne wipery, po operacje informacyjne prowadzone za pośrednictwem fałszywych person w mediach społecznościowych.
TIP
Kluczowy fakt 19 października 2020 roku Departament Sprawiedliwości USA postawił zarzuty sześciu oficerom GRU z Jednostki 74455: Jurij Andriyenko, Siergiej Dietistow, Pawieł Frolów, Anatolij Kowalew, Artiem Ocziczenko i Piotr Pliskin. Zarzuty obejmowały spisek w celu popełnienia oszustwa komputerowego, oszustwa telekomunikacyjnego oraz kradzieży tożsamości - w związku z atakami BlackEnergy, NotPetya, Olympic Destroyer i operacjami przeciwko Francji i Gruzji. Był to pierwszy w historii akt oskarżenia z nazwiskami i zdjęciami funkcjonariuszy odpowiedzialnych za cyberataki na infrastrukturę krytyczną.
Oś czasu kampanii (2014-2025)
Historia Sandworm to historia eskalacji - od rozpoznania, przez sabotaż energetyczny, po globalne operacje destrukcyjne.
| Data | Kampania | Skutek |
|---|---|---|
| 2014 (wrzesień) | Kampania spear-phishing z CVE-2014-4114 | Cele: NATO, rząd Ukrainy, sektor energetyczny w Europie Zachodniej. Pierwsze publiczne przypisanie grupy. |
| 2015 (23 grudnia) | Atak na ukraińską sieć energetyczną (BlackEnergy / KillDisk) | Pierwszy udokumentowany cyberatak powodujący blackout. 230 000 odbiorców bez prądu przez kilka godzin w obwodach iwanofrankowskim, kijowskim i czerkaskim. Operatorzy przejęli sesje VNC i ręcznie otworzyli wyłączniki. |
| 2016 (17 grudnia) | Industroyer/CrashOverride - atak na stację Ukrenergo “Pivnichna” | Pierwsza w pełni zautomatyzowana cyberbroń ICS. Jedna piąta Kijowa bez prądu. Malware komunikował się natywnymi protokołami ICS (IEC 104, IEC 61850, OPC DA). |
| 2017 (27 czerwca) | NotPetya - atak supply chain przez M.E.Doc | Najbardziej niszczycielski cyberatak w historii. Ponad 10 miliardów USD strat globalnie. Maersk, Merck, Saint-Gobain, TNT Express, Mondelez - wszyscy sparaliżowani. Wiper zamaskowany jako ransomware. |
| 2017 (kwiecień-maj) | Kampania przeciw wyborom prezydenckim we Francji | Spear-phishing i wycieki danych wymierzone w sztab Emmanuela Macrona (operacja “MacronLeaks”). |
| 2018 (9 lutego) | Olympic Destroyer - atak na zimowe IO w Pjongczangu | Sabotaż ceremonii otwarcia. Systemy Wi-Fi, bramki biletowe i oficjalna strona igrzysk wyłączone. Malware celowo sfałszował ślady kryminalistyczne, aby wyglądać na atak Lazarus Group. |
| 2018 (kwiecień) | Atak na Organizację ds. Zakazu Broni Chemicznej (OPCW) | Próba włamania do sieci Wi-Fi siedziby OPCW w Hadze - w trakcie śledztwa ws. otrucia Skripala. Holenderski wywiad (MIVD) zatrzymał operację w trakcie realizacji. |
| 2018-2019 | Kampanie przeciwko Gruzji | Defacement ponad 15 000 gruzińskich stron internetowych, ataki na media i sądy. |
| 2022 (luty-marzec) | Fala wiperów towarzysząca rosyjskiej inwazji na Ukrainę | WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper - seria destrukcyjnych ataków na ukraińskie instytucje rządowe i komercyjne w pierwszych dniach wojny. |
| 2022 (8 kwietnia) | Industroyer2 - próba ataku na ukraińską sieć energetyczną | ESET i CERT-UA wykryły i zneutralizowały atak zanim spowodował blackout. Malware skompilowany 23 marca, zaplanowany na 8 kwietnia. Towarzyszyły mu wipery CaddyWiper, ORCSHRED, SOLOSHRED i AWFULSHRED. |
| 2023 (sierpień) | Infamous Chisel - malware na Androida | Sojusz Five Eyes przypisał Sandworm narzędzie szpiegowskie wymierzone w tablety i telefony ukraińskich żołnierzy. |
| 2024 (styczeń-marzec) | Kampanie przeciwko dziennikarzom śledczym | Ataki na Bellingcat i inne redakcje prowadzące śledztwa dotyczące działalności GRU. |
| 2024-2025 | ZEROLOT / Sting - wipery przeciw sektorowi energetycznemu | Nowe narzędzia destrukcyjne wdrażane przez Active Directory Group Policy przeciwko ukraińskim firmom energetycznym i logistycznym. |
| 2025 (grudzień) | Atak na polską infrastrukturę energetyczną | ESET zidentyfikował serię ataków na polskie elektrociepłownie i systemy OZE (29-30 grudnia 2025). Pierwszy potwierdzony atak Sandworm na infrastrukturę krytyczną państwa NATO. |
TIP
Dlaczego Ukraina? Ukraina od 2014 roku stanowi dla Sandworm coś na kształt poligonu testowego - środowisko, w którym grupa doskonali nowe narzędzia i techniki przed ich potencjalnym zastosowaniem na szerszą skalę. Każda kolejna kampania była bardziej wyrafinowana od poprzedniej: od ręcznego sterowania w 2015, przez zautomatyzowane protokoły ICS w 2016, po masowy supply chain w 2017. To nie przypadek - to systematyczny rozwój zdolności ofensywnych.
MITRE ATT&CK ICS - mapowanie technik (G0034)
Sandworm Team jest katalogowany w bazie MITRE ATT&CK jako G0034. Grupa operuje zarówno w domenie Enterprise, jak i ICS - co czyni ją jednym z niewielu aktorów posiadających udokumentowane zdolności w obu obszarach. Poniżej kluczowe techniki ICS przypisane tej grupie, pogrupowane według taktyk (na podstawie analizy kampanii BlackEnergy, Industroyer, Industroyer2 oraz powiązanego malware):
Więcej o frameworku: MITRE ATT&CK - kompletny przewodnik
Initial Access - uzyskanie dostępu
| Technika | ID | Kontekst Sandworm |
|---|---|---|
| Spearphishing Attachment | T0865 | Kampanie BlackEnergy (2014-2015) - dokumenty Word z makrami dostarczane pracownikom sektora energetycznego |
| Internet Accessible Device | T0883 | Skanowanie i wykorzystywanie publicznie dostępnych urządzeń ICS |
| Remote Services | T0886 | Przejęcie sesji VNC/RDP do systemów HMI (atak 2015) |
| Supply Chain Compromise | T0862 | NotPetya - trojanizacja aktualizacji M.E.Doc jako wektor wejścia do sieci OT |
Execution - wykonanie
| Technika | ID | Kontekst Sandworm |
|---|---|---|
| Command-Line Interface | T0807 | Zdalne wykonywanie poleceń na stacjach OT |
| Scripting | T0853 | Skrypty PowerShell i Python w łańcuchu ataku |
| Change Operating Mode | T0858 | Industroyer - zmiana trybu pracy urządzeń stacji elektroenergetycznej |
Persistence - utrzymanie dostępu
| Technika | ID | Kontekst Sandworm |
|---|---|---|
| Valid Accounts | T0859 | Wykorzystanie skradzionych poświadczeń do długotrwałego dostępu do sieci OT |
| Modify Controller Tasking | T0821 | Industroyer2 - scheduled task uruchamiający malware w zaplanowanym momencie |
Evasion - unikanie wykrycia
| Technika | ID | Kontekst Sandworm |
|---|---|---|
| Masquerading | T0849 | Backdoor Industroyer zamaskowany jako legalna usługa Windows |
| Rootkit | T0851 | Ukrywanie komponentów malware w systemach OT |
| Indicator Removal on Host | T0872 | Usuwanie logów i śladów po wykonaniu ataku |
Discovery - rozpoznanie
| Technika | ID | Kontekst Sandworm |
|---|---|---|
| Remote System Discovery | T0846 | Skanowanie sieci OT w celu identyfikacji RTU, IED, serwerów OPC |
| Remote System Information Discovery | T0888 | Zbieranie informacji o konfiguracji urządzeń ICS |
| Network Connection Enumeration | T0840 | Mapowanie połączeń między systemami SCADA a urządzeniami polowymi |
Lateral Movement - ruch lateralny
| Technika | ID | Kontekst Sandworm |
|---|---|---|
| Default Credentials | T0812 | Wykorzystanie domyślnych poświadczeń urządzeń ICS |
| Lateral Tool Transfer | T0867 | Przenoszenie narzędzi między systemami IT i OT |
| Remote Services | T0886 | Wykorzystanie RDP/VNC do przechodzenia między segmentami |
Collection - zbieranie danych
| Technika | ID | Kontekst Sandworm |
|---|---|---|
| Automated Collection | T0802 | Industroyer - automatyczne zbieranie konfiguracji urządzeń ICS |
| Point & Tag Identification | T0861 | Identyfikacja tagów OPC DA i punktów danych w stacji |
Command and Control - komunikacja z C2
| Technika | ID | Kontekst Sandworm |
|---|---|---|
| Standard Application Layer Protocol | T0869 | Industroyer - komunikacja C2 przez sieć Tor |
| Commonly Used Port | T0885 | Wykorzystanie standardowych portów (80, 443) do ukrycia ruchu C2 |
Inhibit Response Function - blokowanie reakcji
| Technika | ID | Kontekst Sandworm |
|---|---|---|
| Block Command Message | T0803 | Industroyer - blokowanie legalnych poleceń operatorów SCADA |
| Block Reporting Message | T0804 | Blokowanie raportów z urządzeń polowych do centrum sterowania |
| Denial of Service | T0814 | Atak DoS na przekaźniki ochronne SIPROTEC |
| Data Destruction | T0809 | Wipery (KillDisk, CaddyWiper, ZEROLOT) niszczące dane w systemach OT |
| Device Restart/Shutdown | T0816 | Wymuszanie restartu urządzeń ICS |
Impact - skutki
| Technika | ID | Kontekst Sandworm |
|---|---|---|
| Manipulation of Control | T0831 | Zmiana stanów wyłączników mocy w stacji elektroenergetycznej |
| Unauthorized Command Message | T0855 | Wysyłanie poleceń ICS bez autoryzacji operatora |
| Loss of Availability | T0826 | Utrata zasilania w wyniku cyberataku (2015, 2016) |
| Loss of Control | T0827 | Utrata kontroli nad stacją elektroenergetyczną |
| Loss of View | T0829 | Utrata widoczności stanu urządzeń w systemie SCADA |
| Theft of Operational Information | T0882 | Kradzież danych o konfiguracji i topologii sieci OT |
TIP
29 technik ICS Sandworm Team jest jedną z zaledwie kilku grup APT, dla których MITRE ATT&CK dokumentuje techniki w domenie ICS. Łączna liczba przypisanych technik (Enterprise + ICS) przekracza 100, co czyni Sandworm najszerzej zmapowaną grupą w całej bazie ATT&CK. Dla porównania - Lazarus Group (G0032) ma przypisanych kilkanaście technik ICS, a większość grup APT nie posiada ich wcale.
Narzędzia w arsenale Sandworm
Zrozumienie Sandworm wymaga spojrzenia na ewolucję ich narzędzi - od gotowych komponentów po dedykowane cyberbronie ICS:
| Narzędzie | Rok | Typ | Cel |
|---|---|---|---|
| BlackEnergy | 2014-2015 | Backdoor / toolkit | Początkowo crimeware, przebudowany do ataków na sektor energetyczny. Moduły KillDisk, skanery sieci. |
| KillDisk | 2015-2016 | Wiper | Niszczenie danych na dyskach po ataku na sieć energetyczną, utrudnianie recovery. |
| Industroyer/CrashOverride | 2016 | Cyberbroń ICS | Pierwszy zautomatyzowany malware ICS - cztery moduły protokołów przemysłowych. Szczegóły: Industroyer |
| NotPetya | 2017 | Wiper (fałszywe ransomware) | Masowa destrukcja przez supply chain. EternalBlue + Mimikatz. Szczegóły: NotPetya |
| Olympic Destroyer | 2018 | Wiper + false flag | Sabotaż igrzysk z celowo sfałszowanymi wskaźnikami atrybucji. |
| VPNFilter | 2018 | Botnet IoT | Ponad 500 000 zainfekowanych routerów w 54 krajach. Zdolność do ataków MITM i destrukcji firmware. |
| Exaramel | 2018-2019 | Backdoor | Następca BlackEnergy, wersje Linux i Windows. |
| Industroyer2 | 2022 | Cyberbroń ICS | Uproszczona, jednomodułowa wersja Industroyer (tylko IEC 104). Wykryta przed uruchomieniem. |
| CaddyWiper | 2022 | Wiper | Jeden z serii wiperów towarzyszących inwazji na Ukrainę. |
| Infamous Chisel | 2023 | Malware mobilny (Android) | Szpiegostwo na urządzeniach ukraińskich żołnierzy. |
| ZEROLOT | 2024-2025 | Wiper | Dystrybucja przez Active Directory GPO, ataki na sektor energetyczny. |
Metody operacyjne - co wyróżnia Sandworm
Analiza dekady operacji Sandworm ujawnia kilka cech charakterystycznych, które odróżniają tę grupę od innych aktorów państwowych:
Dualność IT/OT. Sandworm jest jedną z niewielu grup, które konsekwentnie przechodzą z sieci korporacyjnych IT do sieci sterowania przemysłowego OT. To wymaga kompetencji, których nie mają nawet zaawansowane grupy APT - znajomości protokołów ICS, architektury stacji energetycznych i logiki sterowników PLC.
Fałszywe flagi. Olympic Destroyer celowo umieszczał w kodzie artefakty wskazujące na Lazarus Group (Korea Północna) i APT3 (Chiny). To pierwszy udokumentowany przypadek celowego fałszowania atrybucji na poziomie technicznym - i przestroga dla wszystkich, którzy opierają analizę wyłącznie na wskaźnikach technicznych.
Eskalacja destrukcyjności. Od BlackEnergy (narzędzie do rozpoznania z modułem destrukcyjnym) przez Industroyer (zautomatyzowana cyberbroń) po NotPetya (masowa destrukcja wymykająca się spod kontroli) - każda kolejna kampania była bardziej niszczycielska.
Operacje informacyjne. Raport Mandiant z 2024 roku ujawnił, że Sandworm stoi za fałszywymi personami online - w tym “Cyber Army of Russia Reborn”, “XakNet” i “Solntsepek” - które publicznie przyznawały się do ataków na infrastrukturę krytyczną. To rozmywanie granicy między operacjami cybernetycznymi a informacyjnymi.
Globalne ambicje, ukraiński poligon. Choć większość destrukcyjnych operacji wymierzono w Ukrainę, NotPetya udowodniła, że Sandworm może (i chce) uderzyć globalnie. Atak na polską infrastrukturę energetyczną pod koniec 2025 roku potwierdza, że ambicje grupy wykraczają daleko poza Ukrainę.
Implikacje dla bezpieczeństwa OT
Sandworm Team nie jest abstrakcyjnym zagrożeniem z raportów analitycznych. To grupa, która dwukrotnie wyłączyła prąd w stolicy europejskiego państwa, spowodowała straty przekraczające 10 miliardów dolarów jednym atakiem i w 2025 roku po raz pierwszy uderzyła w infrastrukturę energetyczną kraju NATO.
Dla organizacji operujących systemami przemysłowymi - zwłaszcza w sektorze energetycznym - wnioski są następujące:
Segmentacja IT/OT to nie opcja, a konieczność. Każda kampania Sandworm zaczynała się od sieci IT i przechodziła do OT. Właściwa segmentacja z DMZ przemysłową i jednokierunkowym przepływem danych to podstawowa bariera.
Monitoring protokołów ICS. Industroyer wykorzystywał natywne protokoły przemysłowe - polecenia były technicznie prawidłowe. Jedynym sposobem wykrycia jest pasywny monitoring ruchu ICS z detekcją anomalii behawioralnych.
Planowanie odpowiedzi na incydenty OT. Operatorzy Ukrenergo przywrócili zasilanie w 2016 roku dzięki przejściu na tryb ręczny. Organizacje powinny regularnie ćwiczyć scenariusze, w których systemy SCADA są niedostępne.
Zarządzanie poświadczeniami i GPO. Najnowsze kampanie (ZEROLOT) wykorzystują Active Directory Group Policy do masowego wdrażania wiperów. Ochrona kont z uprawnieniami Domain Admin i monitoring zmian w GPO to krytyczne elementy obrony.
Weryfikacja łańcucha dostaw. NotPetya weszła do sieci przez zaufaną aktualizację oprogramowania. Każdy komponent software’owy w środowisku OT powinien podlegać weryfikacji integralności.
Podsumowanie
Sandworm Team to nie tylko najgroźniejsza grupa APT w domenie ICS - to aktor, który wielokrotnie udowodnił, że cyberatak może mieć realne, fizyczne konsekwencje. Od wyłączenia prądu w Kijowie po sparaliżowanie globalnych korporacji, od sabotażu igrzysk olimpijskich po ataki na infrastrukturę energetyczną NATO - historia Sandworm jest historią ciągłej eskalacji.
Dekada aktywności tej grupy pokazuje jedno z absolutną jasnością: bezpieczeństwo systemów przemysłowych nie jest problemem technicznym, który można rozwiązać jednym audytem czy jednym produktem. To ciągły proces, wymagający zrozumienia zagrożeń, segmentacji sieci, monitoringu anomalii i - przede wszystkim - gotowości na scenariusze, które jeszcze niedawno wydawały się niemożliwe.
Źródła
- Sandworm Team, Group G0034 - MITRE ATT&CK
- Sandworm (hacker group) - Wikipedia
- APT44: Unearthing Sandworm - Mandiant / Google Cloud Blog
- Industroyer2: Industroyer reloaded - ESET WeLiveSecurity
- Sandworm Disrupts Power in Ukraine Using a Novel Attack Against Operational Technology - Google Cloud Blog
- GRU Hackers’ Destructive Malware and International Cyber Attacks - FBI
- US Indicts Sandworm, Russia’s Most Destructive Cyberwar Unit - Security Magazine
- Sandworm: A tale of disruption told anew - ESET WeLiveSecurity
- Mapping MITRE ATT&CK to SandWorm APT’s Global Campaign - ReliaQuest
- Inside Sandworm: Decade of Cyber Sabotage - Picus Security
- Understanding Sandworm: A State-Sponsored Threat Group - ISACA
- ZEROLOT Analysis: Inside Sandworm’s Destructive New Wiper - Immersive Labs
- Wiper Attack on Polish Power Grid Linked to Russia’s Sandworm - Infosecurity Magazine