Sandworm黑客组织针对乌克兰机构使用数据擦除恶意软件

俄罗斯背景的威胁组织Sandworm加强了对乌克兰组织的破坏性网络行动，部署数据擦除恶意软件以瘫痪关键基础设施并削弱该国经济。

与其他主要从事网络间谍活动的俄罗斯背景高级持续性威胁组织不同，Sandworm的行动以其明确的破坏意图为特征。根据涵盖2025年第二季度至第三季度的最新ESET APT活动报告，这个臭名昭著的黑客组织对政府实体、能源公司、物流供应商以及特别是粮食部门发起了针对性攻击，使用了被识别为ZEROLOT和Sting的复杂数据擦除器。

该组织专注于数据破坏而非情报收集，强调了在持续冲突中对乌克兰经济和运营能力造成最大破坏的战略目标。

恶意软件技术细节

Sandworm部署的数据擦除器代表了网络战争战术的重大升级。ZEROLOT和Sting专门设计用于不可逆地破坏受感染系统上的数据，使其无法操作，并对目标组织造成重大运营中断。

这些恶意软件家族通过覆盖关键文件和系统数据来运作，使得在没有全面备份系统的情况下恢复极其困难或不可能。这些擦除器的部署展示了Sandworm的复杂操作能力及其网络战争的战略方法。

该组织优先考虑对关键系统造成立即的灾难性损害，而不是维持持久访问以进行长期间谍活动。这种破坏性方法与俄罗斯背景威胁行为者更广泛的模式一致，他们在2025年4月至9月的监测期间持续关注乌克兰和与乌克兰有战略联系的国家。

关键部门的战略目标

Sandworm的目标策略揭示了一种旨在破坏乌克兰经济稳定和运营韧性的精心计算的方法。对政府实体的攻击威胁到基本的公共服务和行政职能，而能源和物流部门的入侵可能引发更广泛的经济混乱，影响数百万公民。

该组织特别关注粮食部门，代表了针对乌克兰最重要经济资产之一的战略努力。作为主要的全球粮食出口国，对乌克兰农业产业的破坏不仅对国民经济产生深远影响，还对全球粮食安全产生影响。

通过对粮食部门组织部署数据擦除器，Sandworm旨在破坏供应链稳定，中断出口能力，并造成超出乌克兰边境的经济损害。

更广泛的威胁格局

Sandworm的活动发生在俄罗斯背景组织加强网络行动的大背景下。虽然Sandworm专注于破坏性攻击，但像Gamaredon这样的其他组织继续对乌克兰进行高强度网络间谍活动，鱼叉式网络钓鱼仍然是这些威胁行为者的主要初始入侵方法。

ESET报告记录了Gamaredon活动的前所未有的激增，其中包括俄罗斯背景APT组织之间罕见的一次合作实例，当时Gamaredon选择性地部署了Turla的一个后门。这种合作突显了针对乌克兰的国家支持网络威胁日益复杂和协调的性质。

随着这些组织继续将其行动扩展到欧洲实体和与乌克兰有战略联系的国家，各组织必须保持强大的网络安全态势，实施全面的备份策略，并对不断发展的擦除器恶意软件威胁保持警惕，这些威胁可能在部署后几分钟内造成不可逆的损害。