过去两年，强大的“沙虫”黑客组织在支持俄罗斯在乌克兰的军事目标方面发挥了核心作用，同时也在对俄罗斯具有战略政治、经济和军事利益的其他地区加强了网络威胁行动。

这是 Google Cloud 的 Mandiant 安全小组对威胁行为者活动进行分析的结果。他们发现，自 44 年 2022 月俄罗斯入侵乌克兰以来，Sandworm（Mandiant 一直在追踪的名称为 APTXNUMX）对乌克兰几乎所有破坏性和破坏性网络攻击负有责任。

Mandiant 评估称，在此过程中，威胁行为者将自己确立为俄罗斯主要情报局 (GRU) 以及所有俄罗斯国家支持的网络组织中的主要网络攻击单位。这家安全供应商在本周的一份报告中指出，目前没有其他网络机构能像 Sandworm 那样与俄罗斯军事运营商完全整合，该报告详细介绍了该组织的工具、技术和实践。

“APT44 行动的范围是全球性的，反映了俄罗斯广泛的国家利益和野心，”Mandiant 警告说。 “即使战争仍在继续，我们也观察到该组织仍在北美、欧洲、中东、中亚和拉丁美洲开展渗透和间谍活动。”

Sandworm 扩大全球影响力的一个表现是，今年早些时候，一个名为 Cyber​​ArmyofRussia_Reborn 的黑客组织对美国和法国的三个水利和水力发电设施进行了一系列攻击，Mandiant 认为该组织是由 Sandworm 控制的。

这些攻击似乎更多地是对能力的展示，而不是其他任何东西，导致美国一处受攻击的供水设施出现系统故障。 2022 年 44 月，Mandiant 认为是 APTXNUMX 的一个组织针对波兰的物流提供商部署了勒索软件，这是针对北约国家部署破坏性能力的罕见案例。

全球使命

Sandworm 是一个活跃了十多年的威胁行为者。它因众多备受瞩目的攻击而闻名，例如 2022 年发生的那次攻击 拆除了乌克兰部分电网 就在俄罗斯导弹袭击之前；这 2017年NotPetya勒索软件爆发，以及在开幕式上的袭击 平昌奥运会 在韩国。该组织传统上以政府和关键基础设施组织为目标，包括国防、交通和能源部门的组织。美国政府和其他方面将此次行动归咎于俄罗斯格鲁乌内部的一个网络部门。 2020 年， 美国司法部起诉几名俄罗斯军官 因其涉嫌参与各种“沙虫”活动。

Mandiant 首席分析师 Dan Black 表示：“APT44 的目标范围极其广泛。” “为工业控制系统和其他关键基础设施组件开发软件或其他技术的组织应该将 APT44 作为其威胁模型的核心。”

Mandiant 高级实践团队的高级分析师 Gabby Roncone 将媒体组织纳入 APT44/Sandworm 的目标中，尤其是在选举期间。 Roncone 表示，“俄罗斯今年将举行许多重要的选举，APT44 可能会尝试成为其中的关键角色”。

Mandiant 本身一直将 APT44 作为俄罗斯军事情报部门的一个单位进行追踪。 “我们跟踪支持他们运营的复杂外部生态系统，包括国有研究实体和私营公司，”朗科内补充道。

曼迪安特说，在乌克兰境内，“沙虫”的攻击越来越集中于间谍活动，目的是收集信息，为俄罗斯军队的战场优势提供支持。在许多情况下，威胁行为者最喜欢的获取目标网络初始访问权限的策略是利用路由器、VPN 和其他技术。 边缘基础设施。自俄罗斯入侵乌克兰以来，威胁行为者越来越多地使用这种策略。尽管该组织积累了大量定制攻击工具，但它通常依赖合法工具和靠土生土长的技术来逃避检测。

难以捉摸的敌人

“APT44 擅长在探测雷达下飞行。对经常被滥用的开源工具和离地生活方法进行检测至关重要，”Black 说。

Roncone 还提倡组织映射和维护其网络环境，并尽可能对网络进行分段，因为 Sandworm 倾向于针对易受攻击的边缘基础设施进行初始进入和重新进入环境。 Roncone 指出：“组织还应该警惕 APT44 在获得网络访问权限后在间谍活动和破坏性目标之间摇摆不定。” “特别是对于在媒体和媒体组织工作的人员来说，针对记者个人的数字安全培训至关重要。”

Black 和 Roncone 认为 APT44/Sandworm 使用 Cyber​​ArmyofRussia_Reborn 等黑客前线是为了引起人们对其活动的关注并达到否认的目的。

Black 表示：“我们看到 APT44 多次使用 Cyber​​ArmyofRussia_Reborn Telegram 来发布其破坏活动的证据并引起人们对其破坏活动的关注。” “我们无法最终确定这是否是一种排他关系，但判断 APT44 有能力指导和影响该角色在 Telegram 上发布的内容。”

Black 表示，APT44 可能会使用 Cyber​​ArmyofRussia_Reborn 等角色来避免直接归因，以防他们越界或引发回应。 “但第二个[动机]是，他们制造了一种民众支持俄罗斯战争的虚假感觉——一种错误印象，即普通俄罗斯人正在自我聚集，加入针对乌克兰的网络战。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/ics-ot-security/-sandworm-group-is-russia-s-primary-cyber-attack-unit-in-ukraine