谷歌旗下云安全公司Mandiant本周三發(fā)布調(diào)查報告，揭開了俄羅斯頂級黑客組織“沙蟲”（Sandworm）的神秘面紗，并將其正式命名（升級）為APT44。

“沙蟲”是俄羅斯最知名的黑客組織之一，因開發(fā)和部署B(yǎng)lackEnergy和Industroyer等破壞力極強的工控系統(tǒng)惡意軟件而名聲大噪，被看作是最危險的關(guān)鍵基礎(chǔ)設(shè)施攻擊者。其主要行動包括間諜活動、破壞關(guān)鍵基礎(chǔ)設(shè)施及傳播虛假信息。

被正式命名為APT44

俄烏戰(zhàn)爭爆發(fā)以來，“沙蟲”成為俄羅斯網(wǎng)絡(luò)戰(zhàn)的主力軍之一，對烏克蘭的國家電網(wǎng)、電信網(wǎng)絡(luò)和新聞媒體等關(guān)鍵基礎(chǔ)設(shè)施實施沉重打擊，主要攻擊方式是使用數(shù)據(jù)擦除程序結(jié)合其他攻擊策略，其攻擊行動通常與俄羅斯軍事行動同步進(jìn)行。

此前，安全業(yè)界普遍認(rèn)為“沙蟲”與APT28(FancyBear)是同一組織，隸屬于GRU軍事情報局的信息作戰(zhàn)部隊(VIO)，但Mandiant公司認(rèn)為沙蟲是隸屬于VIO的另外一個組織（俄羅斯武裝部隊總參謀部主要特種技術(shù)中心GTsST74455部隊），并決定將“沙蟲”正式命名為APT44（下圖）：

Mandiant的新報告揭示，APT44一直使用多個黑客活動者(hacktivist)在線身份，主要有三個（下圖）：“俄羅斯網(wǎng)絡(luò)軍團(tuán)重組”(CARR)、“XAKNET”和“Solntsepek”。其中CARR因聲稱能攻擊和操縱美國和歐盟的關(guān)鍵基礎(chǔ)設(shè)施運營技術(shù)(OT)資產(chǎn)備受關(guān)注。

攻擊美國和歐盟國家的水利設(shè)施

今年1月份，CARR在Youtube發(fā)布視頻，證明他們能夠操縱波蘭和美國的水務(wù)設(shè)施的人機界面(HMI)。3月份，CARR又發(fā)布了一個視頻，聲稱通過操縱水位導(dǎo)致法國一座水力發(fā)電站停工。

雖然CARR的說法無法得到證實，但公開信息表明，黑客可能確實給上述基礎(chǔ)設(shè)施造成了一些破壞。

報告指出，CARR在Telegram頻道上聲稱針對美國發(fā)動攻擊大約兩周后，當(dāng)?shù)匾晃还賳T公開確認(rèn)了一個“系統(tǒng)故障”，導(dǎo)致其中一個黑客聲稱為攻擊目標(biāo)的設(shè)施水箱溢出。據(jù)報道，此事件是美國多地水基礎(chǔ)設(shè)施系統(tǒng)遭遇的一系列網(wǎng)絡(luò)攻擊事件的一部分，這些攻擊的切入點都是“用于遠(yuǎn)程訪問水處理系統(tǒng)的供應(yīng)商軟件”。

除CARR主動披露的攻擊外，Mandiant的報告還首次將APT44與一系列攻擊和行動聯(lián)系起來。

例如，自2023年4月以來，APT44就一直為提供俄羅斯軍隊提供前線部署的基礎(chǔ)設(shè)施，用來竊取戰(zhàn)場上繳獲的移動設(shè)備中加密的Signal和Telegram消息。

APT44還實施了一次使用擦除程序的供應(yīng)鏈攻擊。Mandiant表示：“最近的一個案例顯示，沙蟲通過入侵一家軟件開發(fā)商，控制了東歐和中亞的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)，然后向受害者組織部署了擦除程序惡意軟件?！?/p>

從網(wǎng)絡(luò)戰(zhàn)轉(zhuǎn)向輿論戰(zhàn)

值得注意的是，2024年APT44正在將更多注意力從網(wǎng)絡(luò)戰(zhàn)轉(zhuǎn)向輿論戰(zhàn)，其主要目標(biāo)是影響全球政治大選結(jié)果、情報收集和媒體輿論控制，改變外界對俄羅斯黑客組織和GRU網(wǎng)絡(luò)能力的看法。例如近期針對荷蘭調(diào)查性新聞組織Bellingcat和其他類似實體的攻擊首次被歸咎于APT44。

Mandiant的報告詳細(xì)介紹了APT44武器庫中種類繁多的惡意軟件、網(wǎng)絡(luò)釣魚活動以及漏洞利用（APT44用這些工具來實現(xiàn)目標(biāo)網(wǎng)絡(luò)內(nèi)的初始訪問和持續(xù)操作），并列舉了2024年該組織的最新趨勢和重點活動：

• APT44繼續(xù)以北約國家的選舉系統(tǒng)為目標(biāo)，利用涉及泄露敏感信息和部署惡意軟件的網(wǎng)絡(luò)行動來影響選舉結(jié)果。
• APT44更加注重情報收集，以支持俄羅斯的軍事優(yōu)勢，包括從戰(zhàn)場上捕獲的移動設(shè)備中提取數(shù)據(jù)。
• APT44針對全球郵件服務(wù)器進(jìn)行廣泛的憑據(jù)盜竊，旨在保持對高價值網(wǎng)絡(luò)的訪問以進(jìn)行進(jìn)一步的惡意活動。
• APT44開始攻擊調(diào)查俄羅斯政府活動的記者和新聞組織Bellingcat。
• 今年年初以來，APT44對北約國家的關(guān)鍵基礎(chǔ)設(shè)施開展了一系列網(wǎng)絡(luò)攻擊行動，部署破壞性惡意軟件，以表達(dá)政治不滿或報復(fù)。
• APT44的活動仍然集中在烏克蘭，持續(xù)開展破壞和收集情報的行動，支持俄羅斯在該地區(qū)的軍事和政治目標(biāo)。

Mandiant警告說，根據(jù)APT44的活動模式，該組織很有可能試圖干擾包括美國在內(nèi)的各國即將舉行的全國選舉和其他重大政治事件。