俄罗斯支持的威胁组织沙虫, 由军事网络战单位74455操作, 是近年来最强大的全球网络威胁组织之一吗. 这个威胁组织被认为是俄罗斯军事情报机构——总参谋部总局(GRU)的一部分。.1这家网络战机构还以Telebots等其他名称运作, 巫毒熊, 和铁海盗.2 沙虫是世界上技术最先进的威胁组织之一, 根据许多权威机构的说法, 对NotPetya攻击负责.3 在全球范围内,NotPetya的损失飙升至100多亿美元.4
沙虫的影响仍然是毁灭性的. 该组织通过攻击电网为俄罗斯入侵乌克兰做出了重大贡献, 工业控制系统(ICS)/操作技术(OT)攻击, 监控和数据采集(SCADA)攻击, 网站上乱涂, 以及针对政府门户网站和其他关键基础设施的分布式拒绝服务(DDOS)攻击.5 沙虫在战争中的凶残程度是前所未有的,其技术专长水平远远超过大多数其他威胁组织. 所有组织都必须利用威胁情报并了解威胁组的能力,以便围绕其网络安全建立适当的防御.
沙虫是如何运作的?
沙虫已经存在了十多年.6 在整个群体的一生中, 它已经成功开发了与ICS/OT相关的恶意软件,并攻击了许多ICS/OT网络,造成了毁灭性的后果. 随着沙虫的技术越来越成熟, 该组织破坏了基础设施,并通过“雨刷”攻击清除了硬盘驱动器,以阻碍快速恢复.
沙虫还开发并部署了针对全球组织的勒索软件,并使用复杂的PowerShell脚本来传递其他恶意有效载荷并获得命令和控制. 很多次, 沙虫在完全不被目标的网络防御所察觉的情况下进行了这些攻击.
很多次, 沙虫在完全不被目标的网络防御所察觉的情况下进行了攻击.
沙虫用什么工具?
沙虫以使用各种强大的工具来发动毁灭性的攻击而闻名.
这些可能包括:
- 工业家和工业家7是否开发了高度复杂的恶意软件工具集来破坏ICS/OT和SCADA电网的关键组件.8 “沙虫”利用这些复杂的工具成功地对乌克兰电网进行了多次攻击.9 该组织是第一个成功破坏电网的公开威胁组织.
- BlackEnergy10 是否有另一个用于高级持续性威胁(APT)攻击的沙虫工具包存在了较长时间. BlackEnergy可以创建僵尸网络来进行DDoS攻击,这种攻击非常难以对付,因为它们同时来自许多不同的地理方向.
- KillDisk11 硬盘驱动器擦除工具是否被设计为覆盖文件并使任何计算机无法使用. 沙虫最初在乌克兰的攻击中使用了KillDisk和BlackEnergy. 近年来,这些工具集已经泄露,并没有被其他威胁组织使用.
- NotPetya12 是Petya加密勒索软件的变种. 它会破坏受损系统上的数据和硬盘. NotPetya有类似蠕虫的特性, 允许它使用各种其他工具和漏洞在网络上传播自己.
- 奥运驱逐舰13 恶意软件工具集是否使受感染的计算机系统无法操作. 它具有蠕虫般的属性,并在网络中传播,摧毁其路径上的每台计算机. 沙虫在2018年冬季奥运会期间使用了这个工具包.14
- CaddyWiper15 硬盘擦除类型的恶意软件是通过擦除数据来破坏计算机吗, 应用程序, 安全工具, 和程序. 这些工具被用来对付乌克兰和其他威胁组织进行的攻击.
这个列表并不详尽,因为沙虫已经使用或开发了许多其他工具集.
沙虫在行动
为了更好地理解沙虫及其影响,有必要研究一下它的攻击历史.
SCADA攻击
2023年5月, 沙虫攻击了丹麦20多个SCADA和澳门赌场官方下载网络, 关闭网络,中断电力供应链.16 这些攻击在丹麦是前所未有的,也是与集中式SCADA网络相关的漏洞的主要例子.
由于Zyxel防火墙的零日漏洞,沙虫进行了丹麦的攻击. Zyxel公司在丹麦遇袭两周后发布了这些漏洞的消息. 这次沙虫攻击表明,技术高超的政府威胁组织获得了前所未有的情报和以前未报告的关键漏洞的知识.
重要的CISA警报
In 2020, 美国国家安全局(NSA)发布了一份警告,警告读者最近在Exim中存在Unix MTA漏洞.17 通过这个漏洞,沙虫能够完全控制Unix邮件服务器. 不久之后, 美国网络安全和基础设施安全局(CISA)发布了紧急警报,警告“沙虫”发布了一款新的恶意软件, 独眼巨人眨眼, 一种虚拟专用网络(VPN)过滤器,允许构建僵尸网络,并影响华硕路由器和WatchGuard设备.18
In 2022, 海牙对沙虫提出了战争罪指控,原因是乌克兰的SCADA攻击和使用恶意软件工具的停电攻击, 工业家和工业家, 由沙虫设计.19另外, 2023年1月, 一家捷克网络安全公司将active directory (AD)漏洞刮水器攻击归咎于沙虫.20 人们也知道,在俄罗斯入侵乌克兰的早期, 许多乌克兰组织遭受了协同的雨刷攻击.21
瞄准Android设备
2023年8月, 多家全球机构报告了另一场沙虫恶意软件活动, “臭名昭著的凿,,目标是乌克兰军方使用的安卓设备.22 这种新型的高级恶意软件能够建立持久性,并从受影响的设备中窃取数据. The data included chat logs; telegrams; data from Skype, WhatsApp, 信号, and Viber; and data collected from several widely known Android browsers. 另外, 恶意软件从谷歌认证器窃取了应用程序数据, OpenVPN, 和VPN代理大师. OneDrive或DropBox中包含的任何Android数据以及PayPal的财务信息都被泄露了, 谷歌钱包, 以及其他金融应用.
寻找沙虫
2020年,来自沙虫的六名威胁行为者因多次攻击乌克兰SCADA和IT网络而被起诉, 和乌克兰政府机构.23 “沙虫”演员还参与了2017年法国总统选举期间的选举干预,以及2018年和2019年对格鲁吉亚的袭击.24 沙虫在面向ot的攻击方面的持续投资和专业知识被认为是首屈一指的. 沙虫被认为是不完成目标就不会放弃的APT.
在回应, 美国联邦调查局(FBI)加大了对6名“沙虫”警官的追捕力度. FBI已将他们列入FBI头号通缉犯网站25 并提供1000万美元的赏金,以协助找到并逮捕威胁行为者. 许多其他国家也将“沙虫”列入了他们的头号通缉犯名单,并提供了巨额奖金,以帮助逮捕或定位威胁行为者.
结论
沙虫是一个多产的破坏性威胁组织,可以随意攻击全球各地的对手. 它有能力摧毁关键的基础设施,并协助有针对性的军事攻击. 而沙虫是政府资助的,通常攻击政治和军事对手, 它可以很容易地将这些攻击货币化,为其他政治和军事攻击提供资金. 最后, “沙虫”设计和使用的一些或许多工具集最终会到达其他追求经济利益或实施网络恐怖主义的威胁组织手中. 当像“沙虫”这样的组织瞄准一个组织时,每个人都必须明白什么是利害攸关的. 除了水的完全崩塌之外什么都没有, 电, 通信, 医疗保健, 其他重要的服务也岌岌可危.
由于许多ICS/OT基础设施缺乏安全性和复杂性, 每个网络安全专家都应该仔细收集沙虫的威胁情报. 快速提高It和ICS/OT服务的安全性和监控至关重要.
帕特里克·巴内特, CISA, CISM, CEH, CISSP, PCI QSA, PCIP
是Secureworks的事件响应首席顾问吗. 他拥有超过30年的网络安全专业经验,专门从事网络工程,专注于安全. 在以前的角色中, 他曾担任首席信息安全官(CISO)和首席信息官(CIO),并曾在一家大型金融澳门赌场官方下载担任副总裁. Barnett热衷于看到网络安全得到正确的处理,并致力于帮助组织制定适当的政策, 程序, 以及响应任何规模的安全事件的机制.
尾注
1 国会研究处,"俄罗斯网络部队,美国,2022年2月2日
2 网络安全和基础设施安全局。”俄罗斯政府支持的对关键基础设施的网络犯罪威胁,美国,2022年5月9日
3 商人,Z.; “NotPetya:震惊世界的网络攻击 经济时报,2022年3月4日
4 Op cit 商人
5 Antoniuk D.; “一年的雨刷:克里姆林宫支持的沙虫如何在战争期间袭击乌克兰,《澳门赌场官方下载》,2023年3月1日
6 格林伯格,.; 沙虫, 2019
7 斜接丙氨酸&CK, “Industroyer2”
8 SOCRadar。”关于电网网络安全你需要知道什么?2022年4月15日
9Op cit Antoniuk
10 新泽西州网络安全和通信集成小组,”BlackEnergy,美国,2017年8月10日 http://en.wikipedia.org/wiki/BlackEnergy
11 斜接丙氨酸&CK, “KillDisk”
12 格林伯格,.; “NotPetya的不为人知的故事,历史上最具破坏性的网络攻击,” 《澳门赌场官方软件》杂志2018年8月22日
13 格林伯格,.; "2018年奥运会不为人知的故事:史上最具欺骗性的网络攻击,” 《澳门赌场官方软件》杂志2019年10月17日
14 同前.
15 恶意软件新闻”cadywiper分析2022年3月
16 王子,B.; “沙虫团队针对SCADA系统:趋势科技,” SecurityWeek2014年10月20日
17 国家安全局,"沙虫攻击者利用邮件传输代理中的漏洞”,美国 28 2020年5月
18 网络安全和基础设施安全局。”新的沙虫恶意软件Cyclops眨眼取代VPNFilter,美国,2022年2月23日
19 格林伯格,.; “对俄罗斯“沙虫”黑客的战争罪指控,” 《澳门赌场官方软件》杂志2022年5月12日
20 Proska K.; J. Wolfram; 等.; “沙虫利用一种针对作战技术的新攻击破坏了乌克兰的电力,《澳门赌场官方下载》,2023年11月9日
21Op cit 格林伯格2022
22 网络安全和基础设施安全局, 臭名昭著的凿子恶意软件分析报告美国,2023年8月31日
23 美国司法部公共事务办公室,”六名俄罗斯GRU官员被控在全球范围内部署破坏性恶意软件和其他网络空间破坏性行为,美国,2020年10月19日
24 同前.
25 联邦调查局”,网络头号通缉犯”,美国