沙虫：针对乌克兰军方安卓设备的新威胁

关键要点

• 攻击者 : 沙虫是与俄罗斯军事情报机构有关的网络攻击团体。
• 目标 : 乌克兰军方的安卓设备。
• 恶意软件 : “臭名昭著的锉刀”，用于监控流量、扫描文件和窃取信息。
• 调查机构 : 报告由美方和五眼联盟国家共同撰写，包括加拿大、英国、澳大利亚、新西兰和美国。

一项由西方情报机构联合发布的报告称，沙虫
（Sandworm）这一网络攻击团体正针对乌克兰军方使用的安卓手机进行攻击。根据周四发布的国际联合调查结果，沙虫已经侵入了使用臭名昭著的锉刀恶意软件
的设备，该恶意软件能够扫描文件、监控网络流量并从被攻陷的军事设备中窃取数据。

该报告指出，臭名昭著的锉刀
被描述为“一个可以通过Tor网络持续访问被感染安卓设备的组件集合，并定期收集和外泄受害者信息。”该恶意软件的复杂程度被认为是“低到中等”，并且“在开发过程中几乎没有考虑防御回避或隐藏恶意活动的手段”。

乌克兰安全局在八月初首次披露了臭名昭著的锉刀行动
，称其曾阻止沙虫试图访问乌克兰武装部队的战斗数据交换系统，以窃取军事情报。安全局相信，臭名昭著的锉刀行动在俄罗斯情报部门分析了从战场上获取的乌克兰军方平板电脑后发起。

自2022年2月俄罗斯入侵以来，这一高级持续威胁（APT）
组织与多起针对乌克兰的网络攻击事件有关。联合报告将恶意软件描述为“低到中等复杂度”，并表示“在开发过程中几乎没有考虑防御回避或隐藏恶意活动的手段”。

恶意软件功能

根据有关臭名昭著的锉刀的分析报告，该恶意软件被用于从包括商业应用和特定于乌克兰军事用途的其他应用中提取信息，这些应用被加载在目标安卓设备上。

“恶意软件会定期扫描设备中的信息和文件，匹配一组预定义的文件扩展名。它还具备定期扫描本地网络的功能，收集关于活动主机、开放端口和横幅的信息。”此报告中提到。

该报告进一步说明：“臭名昭著的锉刀还通过配置和执行Tor与隐藏服务提供远程访问，这些服务前往一个修改过的Dropbear二进制文件，从而提供SSH连接。其他功能还包括网络监控和流量收集、SSH访问、网络扫描和SCP文件传输。”

这份35页的报告由CISA、FBI、NSA及五眼联盟国家共同发布。