@信仰
3年前 提问
1个回答

什么是 Sandworm

Anna艳娜
3年前

Sandworm(沙虫)黑客组织有多个名称,还曾被命名为BlackEnergy、TeleBots、Electrum、TEMP.Noble和Quedagh,自2007年开始活跃。2014年,因使用Windows的0day漏洞(CVE-2014-4114)攻击政府组织机构而声名狼藉。2015年,通过BlackEnergy恶意软件攻击乌克兰电网,导致大面积停电。

2018年10月18日,ESET研究团队称发现一个新的APT组织GreyEnergy,且该APT组织是BlackEnergy的继承者。BlackEnergy因2015年引发的乌克兰停电事件而被大家熟知,此后便销声匿迹,同时GreyEnergy的活动记录显现。另外,2015年同期还出现了另一个组织TeleBots。

ESET研究团队认为BlackEnergy演变为两个独立的组织:TeleBots和GreyEnergy。其中GreyEnergy主要针对乌克兰和波兰的能源部门、交通部门等高价值目标,攻击行为主要是网络侦察(即间谍行为)。GreyEnergy与BlackEnergy具有很多相似之处,它也是采用模块化结构,目前已经发现的模块有:注入模块、获取系统信息模块、文件管理模块、屏幕截图模块、键盘记录模块、密码和凭证窃取模块、代理模块、ssh隧道模块等,但是至今仍未发现专门针对工业控制系统的恶意软件模块。