俄罗斯国家黑客通过采用陆上技术改进了破坏工业控制系统的方法，这些技术能够以更少的资源更快地达到攻击的最后阶段。

安全研究人员强调，这一变化为更难以检测的攻击打开了大门，而且工业控制系统 (ICS) 不一定需要复杂的恶意软件。

用于发送命令的本机二进制文件

去年，“沙虫”威胁组织在一次攻击中攻破了乌克兰的一个关键基础设施组织，该攻击仅用了不到四个月的时间就达到了最后阶段，由于对全国关键设施的导弹袭击，停电情况加剧了一倍。

Sandworm 是一个至少从 2009 年开始活跃的黑客组织，与俄罗斯总参谋部主要情报局 (GRU) 有联系。它专注于针对工业控制系统（ICS）并从事间谍活动和破坏性网络攻击。

2022 年底，谷歌旗下 Mandiant 的事件响应人员对乌克兰发生的一次破坏性网络攻击（他们将其归因于 Sandworm）做出了响应，并分析了策略、技术和程序。

研究人员确定，Sandworm 至少从 2022 年 6 月开始入侵，并通过托管 MicroSCADA 服务器的管理程序获得了对操作技术 (OT) 环境的访问权限，从而实现了整个配电系统的集中控制和自动化操作。

“根据横向移动的证据，攻击者可能可以访问 SCADA 系统长达三个月” – Mandiant

文章原文链接:https://www.anquanke.com/post/id/291329