一个被命名为Sandworm的俄罗斯国家支持黑客组织,正在将攻击目标从企业IT网络转向控制实体基础设施的运营技术系统。这一转变标志着关键基础设施面临的网络威胁进入新阶段。

安全公司Nozomi Networks的研究人员分析了来自7个国家10家工业客户的匿名遥测数据,时间跨度为2025年7月至2026年1月。分析确认了29起独立的Sandworm攻击事件,揭示出一个行动有条不紊、规模激进扩张、且在被发现后不会退缩的威胁行为体。

打开网易新闻 查看精彩图片

Sandworm也被称为APT44、Seashell Blizzard和Voodoo Bear,被归因于俄罗斯军事情报机构GRU的74455单位。该组织有着长期且具有破坏性的活动记录,曾对乌克兰电网发动攻击,并在2017年制造了NotPetya恶意软件爆发事件。与以经济利益为驱动的勒索软件团伙不同,Sandworm的运作只有一个使命:制造破坏,必要时造成物理损害。

此次攻击活动令人担忧的原因在于,它并不依赖尖端漏洞利用技术。Sandworm利用的是早已公开且可修补的旧漏洞,包括EternalBlue、DoublePulsar和WannaCry等工具。该组织进入已被其他攻击者控制的环境,利用这些立足点向工业领域纵深推进。平均而言,被入侵系统在Sandworm到达之前已连续43天发出高置信度安全警报,但这些嘈杂且记录完整的攻击始终未得到调查。

一旦在网络中建立存在,Sandworm便展开大规模横向移动。17台受感染机器对923个独特的内部目标发起攻击,最极端的案例中,单台受感染主机独自针对405个内部系统,一次感染事件导致警报量激增12倍。攻击目标并非随机选择,而是明确指向工业控制系统,直接打击工程工作站、人机界面以及现场控制器,包括远程终端单元、可编程逻辑控制器和智能电子设备。在某受害站点,286台工程工作站成为目标;另一站点则有95台人机界面遭到攻击。

研究人员还注意到,Sandworm活动遵循可预测的时间规律,在莫斯科时间周三下午2:00左右达到峰值。这种官僚化的节奏指向一个集中组织的行动,而非机会主义黑客的自发行为。这一发现表明,该组织的攻击活动具有高度的计划性和持续性,对全球工业基础设施构成持续威胁。