俄罗斯公司NTC Vulkan泄露的文件显示参与Sandworm网络战武器库开发

俄罗斯IT承包商NTC Vulkan泄露的文件显示，与俄罗斯有关联的Sandworm APT 要求其开发攻击性工具。

俄罗斯IT承包商NTC Vulkan泄露的文件显示，它可能参与了攻击性工具的开发。文件表明，它还为与俄罗斯有联系的APT组织Sandworm开发了黑客工具。

Sandworm组织（又名BlackEnergy、UAC-0082、Iron Viking、Voodoo Bear和TeleBots）自2000年以来一直活跃，它 在俄罗斯GRU特殊技术主要中心(GTsST)的74455部队的控制下运作 。

该组织还是NotPetya 勒索软件的作者，该勒索软件于2017年6月袭击了全球数百家公司。2022年，俄罗斯APT在针对乌克兰的攻击中使用了多个恶意工具，包括AwfulShred、CaddyWiper、HermeticWiper、Industroyer2、IsaacWiper、WhisperGate、Prestige、RansomBoggs和ZeroWipe。 

Mandiant与多家媒体机构（包括 Papertrail Media、Der Spiegel、Le Monde 和 Washington Post）联合开展的一项研究重点关注了2016年至2020年间属于NTC Vulkan（俄语：НТЦ Вулкан）的文件。

“这些文件详细说明了与俄罗斯国防部签订合同的项目要求，其中至少包括GRU 74455部队（也称为沙虫小组）的一个实例。这些项目包括工具、培训计划和一个红队平台，用于执行各种类型的攻击性网络操作，包括网络间谍、IO和操作技术 (OT) 攻击。”

文件显示，这家俄罗斯公司是俄罗斯情报机构的承包商，其中包括俄罗斯联邦武装部队总参谋部主要情报局（GRU）沙虫集团。该公司受委托开发工具、培训计划和黑客平台。

Mandiant表示，NTC Vulkan已与俄罗斯情报部门就支持网络和IO操作的项目签订合同。这些文件包括名为Scan、Amesit和Krystal-2B的三个项目的详细信息。 

“Mandiant没有发现任何证据表明如何或何时可以使用这些工具。然而，根据我们对这些能力的分析，我们认为这些项目仅代表俄罗斯赞助的参与者为开展不同类型的网络行动而追求的各种能力的一部分是可行的。”

Scan是一个全面的框架，允许操作员收集不同类型的信息，例如网络详细信息、配置和漏洞，以及其他类型的数据，以实现网络操作。

Amesit和Krystal-2B专注于开发控制信息环境的能力。前者可用于操纵舆论，后者旨在模拟IT/OT攻击。

“这些项目还表现出对整体作战的兴趣，以进行信息控制和/或对抗并放大网络作战的心理影响。例如，Amesit和Krystal-2B通过强调信息操作在确定ICS事件的影响中的作用，展示了对攻击性网络攻击的心理影响的高度重视，特别是 OT操作。”“网络作战中不同策略的组合对俄罗斯网络作战来说很熟悉”

专家警告说，与Krystal-2B和Amesit项目相关的文件也表明与俄罗斯有联系的威胁行为者对关键基础设施目标感兴趣。能源公用事业和石油和天然气，还有水务公用事业和运输系统，都是民族国家行为者的特权目标。

“随着我们继续观察到俄罗斯支持的行为者在入侵乌克兰的同时威胁活动的加剧，防御者应该继续了解这些文件中反映的能力和优先事项，以便为保护关键基础设施和服务做好准备。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5529.html