谷歌的 Mandiant 为俄罗斯军方支持的黑客组织 Sandworm 提供了一个新的身份——APT44——将该网络间谍组织区分为一个不断发展的强大威胁,不仅影响乌克兰,而且影响整个地缘政治格局。
谷歌旗下的网络安全公司表示:“鉴于 Sandworm 在全球范围内构成的威胁的活跃性和分散性,Mandiant 决定将该组织升级为高级持续威胁:APT44。”
Mandiant 的威胁情报小组周三发布了一份长达 40 页的报告,标题为“APT44:发掘沙虫”。
该报告可以说是该组织历史、运作方式的档案,详细介绍了其针对乌克兰的无情网络活动、其武器库中发现的数十种恶意软件变种,以及对克里姆林宫资助的组织下一步的预期。
自 2009 年以来,Mandiant 一直在野外观察,Mandiant 称 APT44 是“一个独特的动态威胁参与者,积极参与全方位的网络间谍活动、攻击和影响行动。”
Mandiant 表示,它观察到俄罗斯集体创造新网络攻击概念和方法的能力“进一步进步”,包括“工业和运营技术 (OT) 特定的离地攻击能力的新变体”。
在报告中,Mandiant 提供了 23 页的部分,详细介绍了该组织自 2018 年以来观察到的 APT44 使用的所有恶意软件。
Mandint 表示,该部分分为三个部分:APT44 独有的自定义恶意软件、公开或商业可用但由 APT44 修改和定制的恶意软件,以及 APT44 使用的公开或商业可用恶意软件。
Sandworm,也称为 FROZENBARENTS 或 Seashell Blizzard,还与另一个俄罗斯军方支持的网络破坏组织 APT28 存在关联,该组织多年来已被识别,并且 ESET 研究小组也对其进行了广泛的分析。
Mandiant 的报告将两者明确区分开来。
- APT28 – 第 85 主要特别服务中心 (GTsSS) 26165 单元
- APT44 – 特殊技术主要中心 (GTsST) 的 74455 单元(Sandworm)
APT28成立于2004年,又名FancyBear,最出名的是渗透美国民主党全国委员会和希拉里·克林顿竞选团队,试图干扰2016年美国总统大选,以及侵入美国和世界反政府组织。同年兴奋剂机构。
今年 2 月,APT28 仍然势头强劲,被发现释放了一个巨大的俄罗斯僵尸网络,利用鱼叉式网络钓鱼活动、暴力密码攻击和窃取路由器登录凭据来攻击美国和其他政府。
Sandworm团队或单位 74455 自 2009 年以来一直以乌克兰和世界其他地区的敏感基础设施为目标。该单位由 GRU 赞助,以使用 DDoS 和擦除器攻击而闻名,自俄罗斯入侵。
“沙虫是一种顶级掠食者,能够进行严肃的行动,但它们也并非绝对可靠。越来越明显的是,乌克兰的袭击受到缓和的原因之一是因为那里的防御者非常具有攻击性,并且非常擅长对抗俄罗斯行为者,”曼迪安特说首席分析师 John Hultquist 于 2022 年 4 月谈到了该黑客组织,该组织在俄罗斯入侵几周后就攻击了乌克兰的电力供应。
Sandworm 还对 2017 年乌克兰臭名昭著的 NotPetya 攻击负责。加密恶意软件摧毁了该国的 IT 基础设施,干扰了切尔诺贝利核电站的监控系统,并扰乱了几家主要银行、机场、乌克兰铁路和其他关键组织。
最近,Sandworm 组织的一个知名组织 Solntsepyok 声称对 12 月份乌克兰最大的移动和互联网提供商Kyivstar 遭受的攻击负责,该事件导致该国一半人口在近一周内无法使用服务。
Mandiant 在周三的报告中毫不留情地透露,“APT44 创建的‘黑客行动主义者’角色最近针对并破坏了美国和波兰的水务设施以及法国的一座水坝。”
Mandiant 警告说,APT44 的野外“破坏性和破坏性能力可能降低了其他国家和非国家行为者复制和开发自己的网络攻击程序的准入门槛。”
因此,Mandiant 预计 APT44 将继续成为“全球最广泛、最严重的网络威胁”之一。
曼迪安特解释说,俄罗斯国家资助的组织的隐秘性已证明其“有耐心、足智多谋,并且能够在受害者环境中长时间保持不被发现”。
曼迪安特说:“历史活动的模式,例如影响选举或报复国际体育机构的努力,表明民族主义冲动可能会无限地推动该组织未来的运作。”
发表评论
您还未登录,请先登录。
登录