与俄罗斯GRU有关的黑客利用已知的软件漏洞入侵全球关键网络，自2021年以来瞄准美国、英国和关键部门。

一个与俄罗斯情报部门有联系的黑客组织利用广泛使用的软件中已知的安全漏洞，悄悄攻击包括美国和英国在内的全球计算机网络。

这是微软威胁情报团队周三透露的，该团队一直在追踪“Sandworm” (又名Seashell Blizzard、UAC-0133、Blue Echidna、Sandworm、PHANTOM、BlackEnergy Lite和APT44) 内部一个子组织的活动。该组织与俄罗斯GRU军事情报部门有关联。微软称该子组织为“BadPilot行动”，自2021年以来，该组织一直在利用面向互联网的系统中存在的漏洞入侵网络。

黑客的目标包括能源、石油和天然气、电信、航运、武器制造甚至政府机构等多个领域。最初，他们的重点是乌克兰、欧洲以及亚洲和中东部分地区。然而，自2024年初以来，他们的行动范围已扩大到美国和英国

他们的方法包括利用ConnectWise ScreenConnect(用于远程IT管理)和安全软件Fortinet FortiClient EMS等软件中众所周知的漏洞。通过利用这些漏洞获得初步立足点，黑客可以深入网络，窃取凭证，并最终控制有价值的系统。以下是Microsoft发现该组织利用的安全漏洞：
OpenFire（CVE-2023-32315）
JBOSS（具体CVE未知）
Microsoft Outlook（CVE-2023-23397）
微软 Exchange（CVE-2021-34473）
Zimbra 合作组织 (CVE-2022-41352)
JetBrains TeamCity（CVE-2023-42793）
Fortinet FortiClient EMS（CVE-2023-48788）
Connectwise ScreenConnect (CVE-2024-1709)

微软认为，尽管一些目标似乎是随机的，但这些大规模入侵为俄罗斯应对不断变化的战略目标提供了选择。自乌克兰战争爆发以来，与俄罗斯结盟的黑客越来越多地将目标对准为乌克兰提供支持或具有地缘政治重要性的国际组织。该分支还被认为与2023年以来在乌克兰发动的破坏性网络攻击有关。

微软的研究表明，这个小团体不仅要获得访问权限，还要维护访问权限。一旦进入网络，他们就会部署远程管理软件(RMM)和Web Shell等工具，以确保长期控制。

例如，通过安装合法的RMM代理(如Atera Agent和Splashtop Remote Services)，他们可以模仿授权活动，使检测更具挑战性。该组织还以部署Web Shell、收集凭证和操纵DNS而闻名。

此外，使用ShadowLink等自定义实用程序(一种将受感染系统配置为Tor网络上的隐藏服务的工具)进一步使追踪其活动的努力变得复杂。

Sandworm与俄罗斯军事情报机构GRU(特别是74455部队)有关联，因发动破坏性网络攻击而臭名昭著。他们的历史包括2017年的NotPetya攻击，该攻击在全球造成了数十亿美元的损失，以及2022年针对乌克兰基础设施的FoxBlade行动。

行业专家对这些发现的影响提出了警告。SecureAck首席技术官Simon Phillips警告称：“这一发现令英国组织感到震惊，因为它凸显了俄罗斯政府支持的行为者如何利用CVE渗透网络、进行监视和发动攻击。”

尽管该小组利用的是众所周知的漏洞，但他们的入侵后策略却越来越先进。BadPilot的出现只会让这些装备精良、技术娴熟的俄罗斯黑客的活动更难被发现。

这就是为什么各种规模的组织都必须保持警惕并意识到这一威胁和其他网络安全威胁。员工培训和额外的安全措施可以帮助防止违规行为，即使它们无法完全阻止Seashell Blizzard。