Sandworm Hackers Shift From IT Breaches to Critical OT Targets¶

Ch12.006 Sandworm Hackers Shift From IT Breaches to Critical OT Targets¶

📊 Level ⭐ | 7.4KB | entities/gbhackers-sandworm-shift-from-it-breaches.md

核心要点¶

俄罗斯国家级 APT 组织 Sandworm（又称 APT44、Seashell Blizzard、Voodoo Bear）正在从传统 IT 网络入侵转向攻击运营技术（OT）环境
攻击目标涵盖工业控制系统（ICS）、工程工作站、人机界面（HMI）、PLC 和 RTU 等现场控制器
战术特征：横向移动激进（单台感染主机可 targeting 上百台内部系统）；依赖已泄露工具而非零日漏洞；被发现后不撤退反而升级攻击；利用 EternalBlue、DoublePulsar、WannaCry 等老旧漏洞链
平均警告窗口长达 43 天，期间有可检测的预警信号
与网络犯罪组织不同，Sandworm 的任务是军事网络破坏，与俄罗斯 GRU 74455 部队有关联

深度分析¶

从 IT 到 OT：攻击范式的战略性转变¶

Sandworm 从 IT 网络渗透转向 OT（运营技术）环境，标志着国家级 APT 组织的攻击目标从"数据窃取或勒索"升级为"物理世界层面的破坏"。这一转变的战略意图极为明确：控制了 PLC、RTU 等现场控制器意味着可以操纵真实物理过程——电网停电、水处理中断、工业生产停滞。NotPetya 和乌克兰电网攻击已经证明，Sandworm 具备造成现实世界物理破坏的能力。这次报告的核心数据来自 Nozomi Networks 的遥测：2025 年 7 月至 2026 年 1 月期间，对 10 个工业组织、跨 7 个国家的监测中，在超过 550 万条警报中识别出 29 起确认的 Sandworm 相关事件。虽然 29 起事件相对于 550 万警报占比极低，但考虑到这是"确认的"Sandworm 相关事件（需排除误报且具有强归因特征），实际渗透未被发现的数量可能更高。

LOTL 战术的演进与危险¶

"Sidewalk inside the LotL（Living off the Land）"——攻击者依赖已被入侵环境中的合法工具（如 Cobalt Strike、Metasploit）和已有权限，而非部署新恶意软件。这种战术使得检测极为困难：合法工具的操作不会触发传统 AV 签名，网络行为与正常运维流量混在一起。值得注意的是，Sandworm 在多个环境中是利用"已经软化的目标"——即网络早已被 Cobalt Strike 和 Metasploit 攻陷，Sandworm 只是接手已有阵地。这说明国家级 APT 的入侵链条可能是：先由其他攻击者完成初始渗透，随后国家级组织接手更有价值的目标。

老旧漏洞链的持续价值¶

Sandworm 持续使用 EternalBlue、DoublePulsar、WannaCry 等老旧漏洞链，而非开发新工具。这背后有务实的逻辑：全球范围内未打补丁的系统数量庞大，这些已知漏洞在大量目标上仍然有效，且归因难度低（被广泛使用，难以追溯到特定组织）。对攻击者而言，"有效"比"先进"更重要。

43 天警告窗口：被忽视的黄金干预期¶

最关键的发现是：每个受感染系统从最初预警到攻击升级，平均存在 43 天的可检测窗口期。这意味着绝大多数事件本可以预防——只需基本的网络安全卫生：打已知漏洞补丁、调查"常规"警报、限制横向移动。但现实是，43 天的平均窗口被白白浪费。告警疲劳、安全资源不足、以及对"IT 告警"的轻视共同导致了这一结果。当 Sandworm 进入 OT 环境后，这些被忽视的早期信号直接关联到可能影响物理世界的安全事件。

地理政治关联¶

报告指出，2025 年底出现目标收缩期，可能与针对波兰电网的疑似攻击有关——资源集中投入单一高价值目标。Sandworm 的活动与地缘政治事件高度关联，在某些案例中甚至先于军事行动发动网络攻击。

实践启示¶

1. 对 OT/ICS 环境立即启动专项威胁狩猎 传统 IT 安全监控无法覆盖 OT 环境特性。建议：部署专门针对 ICS/SCADA 协议的异常流量检测；监控工程工作站与 OT 控制器之间的非预期通信；识别利用合法管理员工具（如 PsExec、WMI）的异常横向移动模式。Nozomi Networks 等 OT 安全平台可作为参考架构。 2. 建立"43 天窗口"的主动检测机制 43 天的警告窗口是真实的——但需要主动狩猎才能发现。关键告警应包括：同一源 IP 的渐进式横向移动（尤其是 engineering workstations 和 controllers）；异常的大规模内部扫描行为（如单台主机 targeting 数百台内部系统）；"低值"告警的累积模式（如同一主机反复出现 Cobalt Strike beacon 特征但未被隔离）。建议优先部署行为异常检测而非仅依赖签名匹配。 3. 处置 EternalBlue/DoublePulsar/WannaCry 的残留风险 老旧漏洞链仍在被国家级 APT 活跃使用，说明全球仍有大量未修复系统。OT 网络中这种情况更为严重（ICS 系统难以频繁打补丁）。优先行动：识别 OT 网络中暴露 SMB、RDP 等协议的设备；建立 OT 资产的完整清单（包括固件版本）；对无法打补丁的系统实施网络隔离和补偿性控制。 4. 重新评估"被发现后撤退"的假设 传统网络犯罪在被发现后通常撤退以隐藏踪迹。Sandworm 的策略截然相反——被发现后会升级活动，转向 OT 资产。这意味着针对 APT 的响应策略需要调整：检测到 Sandworm 活动不应被视为"成功驱逐"，而应视为"全面入侵响应的开始"，包括立即切断 IT/OT 互联通道、启动 OT 环境专项排查。 5. OT 网络分段与 IT/OT 边界强化 DXGW + TGW 的混合云架构在本文多个场景中出现。关键启示：OT 网络与 IT 网络之间的边界控制必须视为高优先级；TGW 路由表的静态路由覆盖动态路由的特性需要在架构层面做防护；建议对 IT/OT 互联通道实施零信任策略，持续验证而非一次性认证（T3 场景中 TGW 静态路由覆盖 DXGW 传播路由的原理与 Sandworm 从 IT 横向进入 OT 的路径控制逻辑相通）。