俄罗斯安全厂商指定美国政府APT代号为沙鹰 (Sand Eagle)

据知名安全研究推主@vxunderground3月7日在X（以前称为Twitter）上分享的一份文件显示，俄罗斯情报公司将美国政府称为“沙鹰”（sand eagle）。该推主称从来没有看到这个名称，在GOOGLE上搜索时也几乎一无所获。Recorded Future的产品管理总监Dmitry Gmilnants也对日益严重的丑闻做出了回应,Smilyanets询问X的人工智能聊天机器人Grok对Sand Eagle APT的了解，它提供了支持俄罗斯说法的信息。此前的中国360网络安全公司的研究曾命名过sand eagle，但并没有明确指明是一个美国政府支持的组织，而是指向一个中东的APT组织。

@vx-underground在X社交网络上发布了一份文件，其中俄罗斯网络安全公司强调了该组织的活动，并将其代号为Sand Eagle。该文件包含有关美国情报机构的该组织活动的信息，包括对敌对美国的国家的攻击。该文件的来源仍然未知。

共享文件详细介绍了“美国特种部队”发起针对俄罗斯设备（包括属于政府的设备）的行动的实例。

文件中写道：“2023年6月1日，俄罗斯联邦安全局宣布，由于美国特种部门的情报行动，包括驻俄罗斯外交使团的设备在内的数千部iPhone感染了未知恶意软件。”

“该机构没有提供有关设备感染后发生的操作以及消除检测到的‘异常’的详细信息。

当天晚些时候，卡巴斯基实验室专家报告说，他们发现了几部存在可疑行为的iPhone，并检查了它们的备份。研究人员将这种有害的活动称为“三角测量行动”。

根据该文件，一旦威胁行为者通过“内核漏洞”获得了管理员权限，就会在访问的设备上安装名为 TriangleDB的恶意软件。有效负载安装在设备的内存中，这意味着重新启动将消除恶意软件的任何痕迹.。

这也意味着当设备重新启动时，用户将被迫通过带有恶意软件的iMessage信息重新感染设备。

该文件没有提供有关“外交任务”的详细信息。

还值得注意的是，卡巴斯基实验室是一个网络安全组织，过去曾被指控与俄罗斯军方有联系。

更为有趣的是，Recorded Future的产品管理总监Dmitry Gmilnants也对日益严重的丑闻做出了回应，他分享了与Grok 聊天机器人对话的屏幕截图。在回答有关Sand Eagle的询问时，聊天机器人将其识别为一个总部位于美国的APT组织，从事情报收集和窃取敏感信息，并且还与一些备受瞩目的网络攻击有关。

但另外一个研究人员再次问询ChatGPT时，却得到了截然不同的答案，反口恶指是中国，看来这个GPT是不是也学会了要支持美国人了。

CitizenLab 网络威胁研究员Bill Marczak在X上回复@vxunderground时表示，Sand Eagle并非指此实例，奇虎360在2023年威胁报告中澄清，沙/沙漠之鹰实际上是一个与三角测量行动无关的中东组织。

“奇虎360在2022年提出了这个名字，它与三角测量没有联系（360声称有联系，然后删除了他们的研究）。在今年的威胁报告中，360澄清，“沙/沙漠之鹰”实际上是一个与三角测量无关的中东组织。”他的帖子称。

推特上仍在热议这个沙鹰到底是个什么角色？

特别是因为在互联网上搜索“沙鹰”这个名字时，只得到了鸟类的图像和小说《沙中之鹰》。

尽管公开资料中缺乏有关沙鹰的信息，但这种情况引发了对该组织在网络空间活动的许多疑问。该组织已确认的真实起源、活动和袭击方向仍然未知。

事实表明，这个神秘的组织与美国个头号黑客帝国一直以来的风格存在吻合。俄罗斯那个报告中披露的信息，肯定不是空穴来风。

参考资源

1、https://www.cyberdaily.au/security/10299-russia-designates-us-government-as-apt-sand-eagle-claims-it-launched-attack-on-russian-devices

2、https://www.securitylab.ru/news/546635.php

3、https://twitter.com/vxunderground/status/1765784764231848397

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。