谷歌旗下云安全公司Mandiant本周三發(fā)布調(diào)查報(bào)告，揭開(kāi)了俄羅斯頂級(jí)黑客組織“沙蟲(chóng)”（Sandworm）的神秘面紗，并將其正式命名（升級(jí)）為APT44。

“沙蟲(chóng)”是俄羅斯最知名的黑客組織之一，因開(kāi)發(fā)和部署B(yǎng)lackEnergy和Industroyer等破壞力極強(qiáng)的工控系統(tǒng)惡意軟件而名聲大噪，被看作是最危險(xiǎn)的關(guān)鍵基礎(chǔ)設(shè)施攻擊者。其主要行動(dòng)包括間諜活動(dòng)、破壞關(guān)鍵基礎(chǔ)設(shè)施及傳播虛假信息。

被正式命名為APT44

俄烏戰(zhàn)爭(zhēng)爆發(fā)以來(lái)，“沙蟲(chóng)”成為俄羅斯網(wǎng)絡(luò)戰(zhàn)的主力軍之一，對(duì)烏克蘭的國(guó)家電網(wǎng)、電信網(wǎng)絡(luò)和新聞媒體等關(guān)鍵基礎(chǔ)設(shè)施實(shí)施沉重打擊，主要攻擊方式是使用數(shù)據(jù)擦除程序結(jié)合其他攻擊策略，其攻擊行動(dòng)通常與俄羅斯軍事行動(dòng)同步進(jìn)行。

此前，安全業(yè)界普遍認(rèn)為“沙蟲(chóng)”與APT28(FancyBear)是同一組織，隸屬于GRU軍事情報(bào)局的信息作戰(zhàn)部隊(duì)(VIO)，但Mandiant公司認(rèn)為沙蟲(chóng)是隸屬于VIO的另外一個(gè)組織（俄羅斯武裝部隊(duì)總參謀部主要特種技術(shù)中心GTsST74455部隊(duì)），并決定將“沙蟲(chóng)”正式命名為APT44（下圖）：

Mandiant的新報(bào)告揭示，APT44一直使用多個(gè)黑客活動(dòng)者(hacktivist)在線身份，主要有三個(gè)（下圖）：“俄羅斯網(wǎng)絡(luò)軍團(tuán)重組”(CARR)、“XAKNET”和“Solntsepek”。其中CARR因聲稱(chēng)能攻擊和操縱美國(guó)和歐盟的關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)技術(shù)(OT)資產(chǎn)備受關(guān)注。

攻擊美國(guó)和歐盟國(guó)家的水利設(shè)施

今年1月份，CARR在Youtube發(fā)布視頻，證明他們能夠操縱波蘭和美國(guó)的水務(wù)設(shè)施的人機(jī)界面(HMI)。3月份，CARR又發(fā)布了一個(gè)視頻，聲稱(chēng)通過(guò)操縱水位導(dǎo)致法國(guó)一座水力發(fā)電站停工。

雖然CARR的說(shuō)法無(wú)法得到證實(shí)，但公開(kāi)信息表明，黑客可能確實(shí)給上述基礎(chǔ)設(shè)施造成了一些破壞。

報(bào)告指出，CARR在Telegram頻道上聲稱(chēng)針對(duì)美國(guó)發(fā)動(dòng)攻擊大約兩周后，當(dāng)?shù)匾晃还賳T公開(kāi)確認(rèn)了一個(gè)“系統(tǒng)故障”，導(dǎo)致其中一個(gè)黑客聲稱(chēng)為攻擊目標(biāo)的設(shè)施水箱溢出。據(jù)報(bào)道，此事件是美國(guó)多地水基礎(chǔ)設(shè)施系統(tǒng)遭遇的一系列網(wǎng)絡(luò)攻擊事件的一部分，這些攻擊的切入點(diǎn)都是“用于遠(yuǎn)程訪問(wèn)水處理系統(tǒng)的供應(yīng)商軟件”。

除CARR主動(dòng)披露的攻擊外，Mandiant的報(bào)告還首次將APT44與一系列攻擊和行動(dòng)聯(lián)系起來(lái)。

例如，自2023年4月以來(lái)，APT44就一直為提供俄羅斯軍隊(duì)提供前線部署的基礎(chǔ)設(shè)施，用來(lái)竊取戰(zhàn)場(chǎng)上繳獲的移動(dòng)設(shè)備中加密的Signal和Telegram消息。

APT44還實(shí)施了一次使用擦除程序的供應(yīng)鏈攻擊。Mandiant表示：“最近的一個(gè)案例顯示，沙蟲(chóng)通過(guò)入侵一家軟件開(kāi)發(fā)商，控制了東歐和中亞的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)，然后向受害者組織部署了擦除程序惡意軟件?！?/p>

從網(wǎng)絡(luò)戰(zhàn)轉(zhuǎn)向輿論戰(zhàn)

值得注意的是，2024年APT44正在將更多注意力從網(wǎng)絡(luò)戰(zhàn)轉(zhuǎn)向輿論戰(zhàn)，其主要目標(biāo)是影響全球政治大選結(jié)果、情報(bào)收集和媒體輿論控制，改變外界對(duì)俄羅斯黑客組織和GRU網(wǎng)絡(luò)能力的看法。例如近期針對(duì)荷蘭調(diào)查性新聞組織Bellingcat和其他類(lèi)似實(shí)體的攻擊首次被歸咎于APT44。

Mandiant的報(bào)告詳細(xì)介紹了APT44武器庫(kù)中種類(lèi)繁多的惡意軟件、網(wǎng)絡(luò)釣魚(yú)活動(dòng)以及漏洞利用（APT44用這些工具來(lái)實(shí)現(xiàn)目標(biāo)網(wǎng)絡(luò)內(nèi)的初始訪問(wèn)和持續(xù)操作），并列舉了2024年該組織的最新趨勢(shì)和重點(diǎn)活動(dòng)：

• APT44繼續(xù)以北約國(guó)家的選舉系統(tǒng)為目標(biāo)，利用涉及泄露敏感信息和部署惡意軟件的網(wǎng)絡(luò)行動(dòng)來(lái)影響選舉結(jié)果。
• APT44更加注重情報(bào)收集，以支持俄羅斯的軍事優(yōu)勢(shì)，包括從戰(zhàn)場(chǎng)上捕獲的移動(dòng)設(shè)備中提取數(shù)據(jù)。
• APT44針對(duì)全球郵件服務(wù)器進(jìn)行廣泛的憑據(jù)盜竊，旨在保持對(duì)高價(jià)值網(wǎng)絡(luò)的訪問(wèn)以進(jìn)行進(jìn)一步的惡意活動(dòng)。
• APT44開(kāi)始攻擊調(diào)查俄羅斯政府活動(dòng)的記者和新聞組織Bellingcat。
• 今年年初以來(lái)，APT44對(duì)北約國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施開(kāi)展了一系列網(wǎng)絡(luò)攻擊行動(dòng)，部署破壞性惡意軟件，以表達(dá)政治不滿或報(bào)復(fù)。
• APT44的活動(dòng)仍然集中在烏克蘭，持續(xù)開(kāi)展破壞和收集情報(bào)的行動(dòng)，支持俄羅斯在該地區(qū)的軍事和政治目標(biāo)。

Mandiant警告說(shuō)，根據(jù)APT44的活動(dòng)模式，該組織很有可能試圖干擾包括美國(guó)在內(nèi)的各國(guó)即將舉行的全國(guó)選舉和其他重大政治事件。