谷歌旗下云安全公司Mandiant本周三發布調查報告，揭開了俄羅斯頂級黑客組織“沙蟲”（Sandworm）的神秘面紗，并將其正式命名（升級）為APT44。

“沙蟲”是俄羅斯最知名的黑客組織之一，因開發和部署BlackEnergy和Industroyer等破壞力極強的工控系統惡意軟件而名聲大噪，被看作是最危險的關鍵基礎設施攻擊者。其主要行動包括間諜活動、破壞關鍵基礎設施及傳播虛假信息。

被正式命名為APT44

俄烏戰爭爆發以來，“沙蟲”成為俄羅斯網絡戰的主力軍之一，對烏克蘭的國家電網、電信網絡和新聞媒體等關鍵基礎設施實施沉重打擊，主要攻擊方式是使用數據擦除程序結合其他攻擊策略，其攻擊行動通常與俄羅斯軍事行動同步進行。

此前，安全業界普遍認為“沙蟲”與APT28(FancyBear)是同一組織，隸屬于GRU軍事情報局的信息作戰部隊(VIO)，但Mandiant公司認為沙蟲是隸屬于VIO的另外一個組織（俄羅斯武裝部隊總參謀部主要特種技術中心GTsST74455部隊），并決定將“沙蟲”正式命名為APT44（下圖）：

Mandiant的新報告揭示，APT44一直使用多個黑客活動者(hacktivist)在線身份，主要有三個（下圖）：“俄羅斯網絡軍團重組”(CARR)、“XAKNET”和“Solntsepek”。其中CARR因聲稱能攻擊和操縱美國和歐盟的關鍵基礎設施運營技術(OT)資產備受關注。

攻擊美國和歐盟國家的水利設施

今年1月份，CARR在Youtube發布視頻，證明他們能夠操縱波蘭和美國的水務設施的人機界面(HMI)。3月份，CARR又發布了一個視頻，聲稱通過操縱水位導致法國一座水力發電站停工。

雖然CARR的說法無法得到證實，但公開信息表明，黑客可能確實給上述基礎設施造成了一些破壞。

報告指出，CARR在Telegram頻道上聲稱針對美國發動攻擊大約兩周后，當地一位官員公開確認了一個“系統故障”，導致其中一個黑客聲稱為攻擊目標的設施水箱溢出。據報道，此事件是美國多地水基礎設施系統遭遇的一系列網絡攻擊事件的一部分，這些攻擊的切入點都是“用于遠程訪問水處理系統的供應商軟件”。

除CARR主動披露的攻擊外，Mandiant的報告還首次將APT44與一系列攻擊和行動聯系起來。

例如，自2023年4月以來，APT44就一直為提供俄羅斯軍隊提供前線部署的基礎設施，用來竊取戰場上繳獲的移動設備中加密的Signal和Telegram消息。

APT44還實施了一次使用擦除程序的供應鏈攻擊。Mandiant表示：“最近的一個案例顯示，沙蟲通過入侵一家軟件開發商，控制了東歐和中亞的關鍵基礎設施網絡，然后向受害者組織部署了擦除程序惡意軟件。”

從網絡戰轉向輿論戰

值得注意的是，2024年APT44正在將更多注意力從網絡戰轉向輿論戰，其主要目標是影響全球政治大選結果、情報收集和媒體輿論控制，改變外界對俄羅斯黑客組織和GRU網絡能力的看法。例如近期針對荷蘭調查性新聞組織Bellingcat和其他類似實體的攻擊首次被歸咎于APT44。

Mandiant的報告詳細介紹了APT44武器庫中種類繁多的惡意軟件、網絡釣魚活動以及漏洞利用（APT44用這些工具來實現目標網絡內的初始訪問和持續操作），并列舉了2024年該組織的最新趨勢和重點活動：

• APT44繼續以北約國家的選舉系統為目標，利用涉及泄露敏感信息和部署惡意軟件的網絡行動來影響選舉結果。
• APT44更加注重情報收集，以支持俄羅斯的軍事優勢，包括從戰場上捕獲的移動設備中提取數據。
• APT44針對全球郵件服務器進行廣泛的憑據盜竊，旨在保持對高價值網絡的訪問以進行進一步的惡意活動。
• APT44開始攻擊調查俄羅斯政府活動的記者和新聞組織Bellingcat。
• 今年年初以來，APT44對北約國家的關鍵基礎設施開展了一系列網絡攻擊行動，部署破壞性惡意軟件，以表達政治不滿或報復。
• APT44的活動仍然集中在烏克蘭，持續開展破壞和收集情報的行動，支持俄羅斯在該地區的軍事和政治目標。

Mandiant警告說，根據APT44的活動模式，該組織很有可能試圖干擾包括美國在內的各國即將舉行的全國選舉和其他重大政治事件。