Mandiant揭开俄罗斯顶级黑客组织沙虫神秘面纱

谷歌旗下云安全公司Mandiant本周三发布调查报告，揭开了俄罗斯顶级黑客组织“沙虫”（Sandworm）的神秘面纱，并将其正式命名（升级）为APT44。

“沙虫”是俄罗斯最知名的黑客组织之一，因开发和部署BlackEnergy和Industroyer等破坏力极强的工控系统恶意软件而名声大噪，被看作是最危险的关键基础设施攻击者。其主要行动包括间谍活动、破坏关键基础设施及传播虚假信息。

俄乌战争爆发以来，“沙虫”成为俄罗斯网络战的主力军之一，对乌克兰的国家电网、电信网络和新闻媒体等关键基础设施实施沉重打击，主要攻击方式是使用数据擦除程序结合其他攻击策略，其攻击行动通常与俄罗斯军事行动同步进行。

此前，安全业界普遍认为“沙虫”与APT28(FancyBear)是同一组织，隶属于GRU军事情报局的信息作战部队(VIO)，但Mandiant公司认为沙虫是隶属于VIO的另外一个组织（俄罗斯武装部队总参谋部主要特种技术中心GTsST74455部队），并决定将“沙虫”正式命名为APT44（下图）：

Mandiant的新报告揭示，APT44一直使用多个黑客活动者(hacktivist)在线身份，主要有三个（下图）：“俄罗斯网络军团重组”(CARR)、“XAKNET”和“Solntsepek”。其中CARR因声称能攻击和操纵美国和欧盟的关键基础设施运营技术(OT)资产备受关注。

今年1月份，CARR在Youtube发布视频，证明他们能够操纵波兰和美国的水务设施的人机界面(HMI)。3月份，CARR又发布了一个视频，声称通过操纵水位导致法国一座水力发电站停工。

虽然CARR的说法无法得到证实，但公开信息表明，黑客可能确实给上述基础设施造成了一些破坏。

报告指出，CARR在Telegram频道上声称针对美国发动攻击大约两周后，当地一位官员公开确认了一个“系统故障”，导致其中一个黑客声称为攻击目标的设施水箱溢出。据报道，此事件是美国多地水基础设施系统遭遇的一系列网络攻击事件的一部分，这些攻击的切入点都是“用于远程访问水处理系统的供应商软件”。

除CARR主动披露的攻击外，Mandiant的报告还首次将APT44与一系列攻击和行动联系起来。

例如，自2023年4月以来，APT44就一直为提供俄罗斯军队提供前线部署的基础设施，用来窃取战场上缴获的移动设备中加密的Signal和Telegram消息。

APT44还实施了一次使用擦除程序的供应链攻击。Mandiant表示：“最近的一个案例显示，沙虫通过入侵一家软件开发商，控制了东欧和中亚的关键基础设施网络，然后向受害者组织部署了擦除程序恶意软件。”

值得注意的是，2024年APT44正在将更多注意力从网络战转向舆论战，其主要目标是影响全球政治大选结果、情报收集和媒体舆论控制，改变外界对俄罗斯黑客组织和GRU网络能力的看法。例如近期针对荷兰调查性新闻组织Bellingcat和其他类似实体的攻击首次被归咎于APT44。

Mandiant的报告详细介绍了APT44武器库中种类繁多的恶意软件、网络钓鱼活动以及漏洞利用（APT44用这些工具来实现目标网络内的初始访问和持续操作），并列举了2024年该组织的最新趋势和重点活动：

• APT44继续以北约国家的选举系统为目标，利用涉及泄露敏感信息和部署恶意软件的网络行动来影响选举结果。

• APT44更加注重情报收集，以支持俄罗斯的军事优势，包括从战场上捕获的移动设备中提取数据。

• APT44针对全球邮件服务器进行广泛的凭据盗窃，旨在保持对高价值网络的访问以进行进一步的恶意活动。

• APT44开始攻击调查俄罗斯政府活动的记者和新闻组织Bellingcat。

• 今年年初以来，APT44对北约国家的关键基础设施开展了一系列网络攻击行动，部署破坏性恶意软件，以表达政治不满或报复。

• APT44的活动仍然集中在乌克兰，持续开展破坏和收集情报的行动，支持俄罗斯在该地区的军事和政治目标。

Mandiant警告说，根据APT44的活动模式，该组织很有可能试图干扰包括美国在内的各国即将举行的全国选举和其他重大政治事件。

参考链接：

https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdf