SandWorm,NotPetya 和 Industroyer 背后的 APT 黑客
SandWorm 是最臭名昭著的高级持续威胁 (APT) 组织之一。它的活动可以追溯到 2009 年,它参与了多次针对反对俄罗斯的实体和国家的攻击。网络安全专家认为,SandWorm APT 组织可能是俄罗斯军事情报部门 GRU 的一个分支。在之前的活动中,SandWorm 黑客也被称为 Iron Viking、Telebots 等。
近年来,SandWorm 已经无数次成为新闻,使用的破坏性和新颖的恶意软件被用于精心策划的攻击。与 SandWorm 相关的最臭名昭著的植入物之一是 NotPetya 勒索软件,这是旨在破坏主引导记录 (MBR) 而不是单个文件的首批威胁之一。 NotPetya Ransomware 通过清除硬盘的 MBR,确保受感染的系统根本无法启动。
破坏性恶意软件似乎是 SandWorm 的专长,它们还负责使用Olympic Destroyer 和Industroyer 等其他备受瞩目的wiper。前者参与了 2018 年冬季奥运会开幕期间发生的网络攻击。与此同时,Industroyer 是一种专门针对电网安装中使用的工业控制系统 (ICS) 设计的恶意植入程序。 SandWorm 黑客在 2016 年使用 Industroyer 攻击乌克兰电网。
SandWorm 的最新消息与 Industroyer2 有关,Industroyer2 是他们在 2016 年使用的臭名昭著的植入物的继任者。SandWorm 黑客于 2022 年 4 月在对乌克兰电网的另一次攻击中使用了它。该行动的目标是触发停电,就像黑客在 2015 年 12 月成功策划的那样。