俄罗斯沙虫黑客冒充黑客活动分子针对美国、波兰、法国供水设施

与俄罗斯军事情报部门有关联的 Sandworm 黑客组织（APT44）一直在冒充黑客活动组织的多个在线角色背后隐藏攻击和行动。

据 Mandiant 称，威胁行为者与至少三个 Telegram 频道有联系，这些频道被用来通过制造有利于俄罗斯的叙事来扩大该组织的活动。

Sandworm - 又名 BlackEnergy、Seashell Blizzard、Voodoo Bear，至少自 2009 年以来一直活跃，多个政府将其行动归咎于俄罗斯武装部队总参谋部主要特种技术中心 (GTsST) 74455 部队俄罗斯联邦（GU）的总情报局（GRU）。

层次结构 （Mandiant）

该组织具有高度适应性，依赖于常见的初始访问方法（例如网络钓鱼和凭据收集）以及利用已知漏洞和供应链攻击。

Mandiant 以APT44编号追踪该组织，并指出该组织“已成为俄罗斯卓越的网络破坏单位”。自两年多前俄罗斯入侵乌克兰以来，Sandworm 开始利用在线角色进行数据泄露和破坏性操作。

Mandiant在今天的一份报告（http://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm）中表示，Sandworm 依赖于三个主要的黑客行动品牌 Telegram 频道，分别为 XakNet Team、CyberArmyofRussia_Reborn 和 Solntsepek，所有频道均并行且相互独立地运行。

由 APT44 (Mandiant)运营的 Telegram 人员

目前尚不清楚攻击者对这些身份有多少控制权，谷歌的威胁分析小组发现，在 CyberArmyofRussia_Reborn 的案例中，运营关系最为密切。

Google TAG 发现，这个看似黑客活动组织的 YouTube 频道是根据 Sandworm/APT44 的基础设施创建的。

此外，“Mandiant 观察到已知的 APT44 基础设施用于从受害者那里窃取数据，这些数据随后在 CyberArmyofRussia_Reborn Telegram 频道中泄露，并且 Telegram 的出口与该人物发布的声明时间非常接近。”

有一次，APT44 方面的一个错误导致 CyberArmyofRussia_Reborn 在他们的频道上声称 APT44 尚未实施一次攻击。

尽管 Mandiant 认为大部分攻击和泄密活动是 GRU 所为，且涉及的 Telegram 角色主要集中在乌克兰实体，CyberArmyofRussia_Reborn 声称对美国和波兰的水务设施以及法国的水力发电设施发动了攻击。

在这两种情况下，“黑客活动主义者”都发布了显示对运营技术资产的控制的视频和屏幕截图。

Mandiant 指出，虽然无法核实这些入侵，但美国受影响公用事业公司的官员证实CyberArmyofRussia_Reborn 所声称的遭到破坏的组织中发生的事件和故障。

Solntsepek 频道曾泄露过乌克兰军方和安全人员的个人身份信息，随后于 2023 年更名为“hacker group”，当时该频道开始将 APT44 的破坏性网络攻击归功于自己。

Mandiant在报告（https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm）中解释道：“除了粗略地尝试最大化其作战影响之外，我们评估 APT44 的这些后续信息行动很可能是为了服务于多个战时目标。”

“这些目标包括用有利于俄罗斯的叙事来引导舆论，让国内外观众产生普遍支持战争的看法，并通过夸大的影响力使 GRU 的网络能力显得更加强大” - Mandiant

俄乌战争使 Sandworm 组织因发起多方面攻击而臭名昭著，这些攻击旨在对乌克兰的关键基础设施和服务造成损害，包括国家网络、电信提供商、新闻媒体和电网。

在此期间，俄罗斯黑客使用了一系列擦除器恶意软件来擦除无法恢复的数据。

Sandworm 组织在乌克兰的活动 （Mandiant）

Sandworm 已经将焦点（即使只是暂时的）从乌克兰的破坏攻击转移到间谍和以影响力为中心的行动，以改变国内外对俄罗斯黑客活动分子力量和 GRU 网络能力的看法。

APT44今年的活动

Mandiant 的报告详细介绍了 APT44 使用丰富的恶意软件集、网络钓鱼活动以及漏洞利用来实现目标网络内的初始访问和持续操作，并提供了几个具体的案例研究：

• APT44继续以北约国家的选举系统为目标，利用涉及泄露敏感信息和部署恶意软件的网络行动来影响选举结果。

• 该组织更加注重情报收集，以支持俄罗斯的军事优势，包括从战场上捕获的移动设备中提取数据。

• APT44针对全球邮件服务器进行广泛的凭据盗窃，旨在保持对高价值网络的访问以进行进一步的恶意活动。

• 该组织的目标是记者和Bellingcat 等使用网络钓鱼信息调查俄罗斯政府活动的组织。

• 自今年年初以来，APT44 开展了网络行动，以表达政治不满或报复不满，针对北约国家的关键基础设施部署破坏性恶意软件。

• APT44的活动仍然集中在乌克兰，持续开展破坏和收集情报的行动，支持俄罗斯在该地区的军事和政治目标。

Mandiant 警告说，根据 APT44 的活动模式，该组织很有可能试图干扰包括美国在内的各国即将举行的全国选举和其他重大政治事件。

研究人员认为，只要战争继续，乌克兰就将继续成为该组织的主要焦点。同时，Sandworm 具有足够的多功能性，服务于俄罗斯的全球战略目标。

参考链接：

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-hacktivists-in-water-utility-breaches/