# Sandworm ## Visão Geral **Sandworm** é o grupo de sabotagem cibernética mais destrutivo da história, atribuído à **Unidade 74455 do GRU** (Diretoria Principal de Inteligência das Forças Armadas Russas). Rastreado como **Voodoo Bear**, **IRIDIUM**, **Seashell Blizzard** (Microsoft), **TeleBots** e **APT44** (Mandiant), o grupo é o único ator de ameaça com experiência confirmada em ataques bem-sucedidos a sistemas de controle industrial (ICS/SCADA), tendo derrubado redes elétricas em operação. É considerado a **ameaça cibernética mais destrutiva do mundo**. ## Attack Flow - Capacidade Destrutiva ```mermaid graph TB A["🔍 Reconhecimento<br/>Mapeamento de ICS/SCADA"] --> B["🎯 Acesso Inicial<br/>Spearphishing / VPN Exploits"] B --> C["⚙️ Execução<br/>BlackEnergy / Scripts"] C --> D["🔒 Persistência<br/>Implantes em Firmware OT"] D --> E["🔍 Descoberta<br/>Mapeamento de rede elétrica"] E --> F["💥 Impacto<br/>Industroyer/NotPetya Deploy"] F --> G1["⚡ Sabotagem Física<br/>Apagão Ucraniano"] F --> G2["🌍 Wiper Global<br/>NotPetya - US$10bi danos"] classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef exec fill:#e67e22,color:#fff,stroke:#d35400 classDef persist fill:#8e44ad,color:#fff,stroke:#6c3483 classDef impact fill:#c0392b,color:#fff,stroke:#7b241c classDef physical fill:#cb4335,color:#fff,stroke:#922b21 classDef global fill:#922b21,color:#fff,stroke:#7b241c class A recon class B,C access class D persist class E recon class F impact class G1 physical class G2 global ``` > [!danger] Grupo Mais Destrutivo da História > O Sandworm é o único ator de ameaça com **ataques bem-sucedidos confirmados a sistemas de energia elétrica**, tendo derrubado a rede de Kiev em 2016 e tentado novamente em 2022. O NotPetya causou mais de **US$ 10 bilhões** em danos globais - o ataque cibernético mais caro da história. > [!warning] Operações Ativas no Conflito Ucraniano > Desde fevereiro de 2022, o Sandworm coordena ataques cibernéticos com operações militares russas na Ucrânia, visando infraestrutura crítica de energia, telecomúnicações e governo. As operações são parte integral da estratégia de guerra híbrida do Kremlin. ## NotPetya: O Ataque Mais Caro da História Em junho de 2017, o Sandworm lançou o **[[s0368-notpetya]]**, um wiper disfarçado de ransomware que se propagou globalmente a partir de um update malicioso do software de contabilidade ucraniano MeDoc. O ataque causou mais de **US$ 10 bilhões** em danos em empresas de mais de 65 países, incluindo Maersk, Merck, FedEx e Mondelez - tornando-o o ataque cibernético mais caro da história. Embora direcionado à Ucrânia, o [[s0368-notpetya]] escapou para redes globais, demonstrando o risco de "colateral damage" em operações de sabotagem em larga escala. ## Industroyer: Derrubar a Rede Elétrica Em dezembro de 2016, o Sandworm derrubou a rede elétrica de Kiev através do [[s0604-industroyer]] (também chamado de CRASHOVERRIDE), o primeiro malware desenvolvido específicamente para atacar protocolos de sistemas de controle industrial. O ataque deixou partes da capital ucraniana sem energia por aproximadamente uma hora. Em 2022, o grupo tentou repetir o feito com o **Industroyer2**, desta vez contra subestações elétricas de alta tensão - o ataque foi interceptado pelo CERT-UA e pela empresa de segurança ESET antes de ser totalmente executado. ## Arsenal e Capacidades Destrutivas O arsenal do Sandworm combina malware destrutivo de alto impacto com capacidades de espionagem de longo prazo. O [[s0089-blackenergy]] foi usado como plataforma de reconhecimento antes dos ataques à energia ucraniana. O grupo emprega técnicas de destruição de dados ([[t1485-data-destruction|T1485 - Data Destruction]]), limpeza de disco ([[t1561-disk-wipe|T1561 - Disk Wipe]]) e interrupção de serviços críticos ([[t1489-service-stop|T1489 - Service Stop]]) como elementos centrais de suas operações de sabotagem. A exploração de aplicações públicas ([[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]]) e o uso de interpreters de script ([[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]]) complementam o toolkit. ## Atuação no Conflito Ucraniano Desde a invasão de fevereiro de 2022, o Sandworm opera como o braço de sabotagem cibernética do esforço de guerra russo, coordenando ataques a infraestrutura crítica ucraniana - energia, telecomúnicações, sistemas de transporte e redes governamentais - com as operações militares convencionais. O grupo foi formalmente sancionado pelos **EUA**, **União Europeia** e **Reino Unido**. Seis membros identificados da Unidade 74455 foram indiciados pelo DOJ em 2020. A Mandiant classificou o grupo como **APT44** em 2024, reconhecendo sua importância estratégica única. ## Relevância para o Brasil e LATAM O Sandworm representa ameaça indireta crítica para infraestrutura brasileira. Embora historicamente focado em Ucrânia e Europa, seu arsenal ICS/SCADA pode inspirar cópias regionais ou ser adaptado contra sistemas de energia e telecomúnicações latino-americanos. As técnicas de wiper e sabotagem destrutiva têm escalabilidade global; o NotPetya atingiu empresas brasileiras. O Brasil deve considerar o Sandworm como referência em cenários de conflito cibernético de alto impacto e preparar defesas em infraestrutura crítica crítica. > [!warning] Ameaça Indireta à América Latina > Embora o foco do Sandworm sejá Ucrânia e Ocidente, suas capacidades destrutivas possuem potencial transnacional. Empresas brasileiras podem ser atingidas por disseminação acidental de wipers (como NotPetya) ou como colateral em conflitos geopolíticos. ## Linha do Tempo - Ataques Históricos ```mermaid timeline title Sandworm - Cronologia de Ataques Destrutivos 2015 : BlackEnergy - ataque à rede elétrica ucraniana : Primeira operação ICS confirmada do grupo 2016 : Industroyer - apagão de Kiev : Primeiro malware ICS nativo da história 2017 : NotPetya - wiper global via MeDoc : US$ 10 bilhões em danos em 65 países 2018 : Ataques às Olimpíadas de Inverno (Pyeongchang) : Operação sob falsa bandeira 2019 : Ataques à Georgia (país) : Comprometimento de provedores de hosting 2022 : Industroyer2 - nova tentativa de apagão : Interceptado pelo CERT-UA e ESET 2023 : Ataques a infraestrutura logística ucraniana : Coordenação com ofensivas militares russas 2024 : Reclassificado como APT44 pela Mandiant : Reconhecimento como ameaça estratégica única ``` > [!info] Atribuição - Unidade 74455 do GRU > O Sandworm é operado pela **Unidade 74455** do GRU (Diretoria Principal de Inteligência Militar Russa), também conhecida como GTsSS. Seis membros foram formalmente indiciados pelo DOJ dos EUA em 2020: Yuriy Andrienko, Sergei Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko e Petr Pliskin. ## Referências - MITRE ATT&CK: G0034 - Sandworm - DOJ Indictment - Unidade 74455 (2020) - CISA Advisory AA20-296A - Mandiant APT44 Report (2024) - [[g0010-turla|Turla]] - [[g0047-gamaredon|Gamaredon]] - [[g0007-apt28|APT28]] - [[notpetya-2017|NotPetya 2017]] - [[industroyer-apagao-ucraniano-2016|Industroyer - Apagão Ucraniano 2016]] - [[critical-infrastructure|critical-infrastructure]] - [[energy]]