俄罗斯 GRU 关联黑客利用已知软件漏洞，入侵全球关键网络，自 2021 年起对美国、英国及多个关键行业展开攻击。

微软威胁情报团队于 2 月 12 日发布报告，揭露了一个隶属于 “Sandworm”（又称 Seashell Blizzard、UAC-0133、Blue Echidna、PHANTOM、APT44） 的黑客子组织正在全球范围内发动大规模网络攻击。该组织被微软命名为 “BadPilot 攻击行动”，自 2021 年起持续利用已知漏洞入侵政府、能源、国防、航运、电信等关键基础设施网络，并在 2024 年初开始扩大攻击范围，将美国和英国列为主要目标。

黑客如何发动攻击？

利用已知漏洞，入侵广泛行业

BadPilot 攻击者依靠攻击企业常用的远程 IT 管理和安全软件，并利用已披露的漏洞获得初始访问权限，随后窃取凭据、深入渗透，甚至获得整个系统的控制权。微软公布的受攻击软件漏洞包括：

• OpenFire (CVE-2023-32315)
• JBOSS（具体 CVE 编号未知）
• Microsoft Outlook (CVE-2023-23397)
• Microsoft Exchange (CVE-2021-34473)
• Zimbra Collaboration (CVE-2022-41352)
• JetBrains TeamCity (CVE-2023-42793)
• Fortinet FortiClient EMS (CVE-2023-48788)
• Connectwise ScreenConnect (CVE-2024-1709)

这些漏洞广泛存在于企业和政府机构的 IT 系统中，使攻击者能够轻松获取访问权限。

攻击策略：持久化控制网络

入侵目标后，攻击者使用远程管理工具 (RMM) 和Web Shell 来长期维持访问权限，其中包括：

• 安装合法 RMM 软件（如 Atera Agent、Splashtop Remote Services），模仿正常用户操作，规避检测。
• 部署 Web Shell 以便随时远程控制被攻陷系统。
• 窃取凭据，控制域管理员账号，实现更深层的渗透。
• DNS 劫持，重定向流量，以窃取机密数据。
• 使用“ShadowLink”工具，将受感染系统隐藏在Tor 网络上，增加溯源难度。

Sandworm 是谁？

Sandworm（沙虫） 是隶属于俄罗斯 GRU（军事情报总局）74455 部队的黑客组织，长期从事国家级网络攻击活动。该组织以破坏性攻击闻名，包括：

• 2017 年 NotPetya 攻击 —— 造成全球100 亿美元损失，被认为是史上最具破坏性的网络攻击之一。
• 2022 年 FoxBlade 攻击 —— 在俄罗斯入侵乌克兰前夕，对乌克兰基础设施发起攻击。
• 2023 年起针对乌克兰的破坏性网络攻击。

目前，Seashell Blizzard 已将目标扩展至美国和英国的能源、国防和政府机构，并可能继续扩大攻击范围。

英国和美国机构面临的风险

SecureAck 首席技术官 Simon Phillips 表示：

“BadPilot 行动的发现表明，俄罗斯国家支持的黑客正积极利用已知漏洞渗透英美网络，进行监视或发动攻击。这一现象对企业和政府机构构成严重威胁。”

虽然 BadPilot 主要利用公开漏洞进行攻击，但其后渗透技术正在升级，使检测变得更加困难。

如何防御 BadPilot 攻击？

虽然 BadPilot 组织技术先进，但企业和政府机构仍然可以采取措施降低攻击风险，包括：

✅ 立即修补漏洞：

• 确保所有 IT 设备和软件及时安装安全补丁。
• 重点关注微软、Fortinet、JetBrains、Zimbra 等受影响软件的更新。

✅ 强化身份验证：

• 禁用 NTLM 认证，使用更安全的身份验证方式。
• 启用多因素认证 (MFA)，阻止凭据被盗后被滥用。

✅ 监控异常行为：

• 重点监测RMM 远程管理工具的异常安装和使用。
• 定期检查DNS 记录，防止被劫持。
• 监测Tor 连接，识别 ShadowLink 等恶意工具的使用。

✅ 加强员工安全意识：

• 组织定期网络安全培训，提高对钓鱼攻击和社会工程攻击的警惕性。

BadPilot 让俄罗斯黑客更难被追踪

微软的调查表明，BadPilot 组织并非只为了窃取数据，而是为了长期控制目标网络，以应对俄乌战争和全球地缘政治的变化。

鉴于 BadPilot 仍在持续攻击，各国政府、关键行业和企业必须提高安全警惕，确保不会成为下一个受害者。