北京
一個被命名為Sandworm的俄羅斯國家支持黑客組織,正在將攻擊目標從企業IT網絡轉向控制實體基礎設施的運營技術系統。這一轉變標志著關鍵基礎設施面臨的網絡威脅進入新階段。
安全公司Nozomi Networks的研究人員分析了來自7個國家10家工業客戶的匿名遙測數據,時間跨度為2025年7月至2026年1月。分析確認了29起獨立的Sandworm攻擊事件,揭示出一個行動有條不紊、規模激進擴張、且在被發現后不會退縮的威脅行為體。
Sandworm也被稱為APT44、Seashell Blizzard和Voodoo Bear,被歸因于俄羅斯軍事情報機構GRU的74455單位。該組織有著長期且具有破壞性的活動記錄,曾對烏克蘭電網發動攻擊,并在2017年制造了NotPetya惡意軟件爆發事件。與以經濟利益為驅動的勒索軟件團伙不同,Sandworm的運作只有一個使命:制造破壞,必要時造成物理損害。
此次攻擊活動令人擔憂的原因在于,它并不依賴尖端漏洞利用技術。Sandworm利用的是早已公開且可修補的舊漏洞,包括EternalBlue、DoublePulsar和WannaCry等工具。該組織進入已被其他攻擊者控制的環境,利用這些立足點向工業領域縱深推進。平均而言,被入侵系統在Sandworm到達之前已連續43天發出高置信度安全警報,但這些嘈雜且記錄完整的攻擊始終未得到調查。
一旦在網絡中建立存在,Sandworm便展開大規模橫向移動。17臺受感染機器對923個獨特的內部目標發起攻擊,最極端的案例中,單臺受感染主機獨自針對405個內部系統,一次感染事件導致警報量激增12倍。攻擊目標并非隨機選擇,而是明確指向工業控制系統,直接打擊工程工作站、人機界面以及現場控制器,包括遠程終端單元、可編程邏輯控制器和智能電子設備。在某受害站點,286臺工程工作站成為目標;另一站點則有95臺人機界面遭到攻擊。
研究人員還注意到,Sandworm活動遵循可預測的時間規律,在莫斯科時間周三下午2:00左右達到峰值。這種官僚化的節奏指向一個集中組織的行動,而非機會主義黑客的自發行為。這一發現表明,該組織的攻擊活動具有高度的計劃性和持續性,對全球工業基礎設施構成持續威脅。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
