当局警告称，受俄罗斯政府支持的黑客组织海贝壳暴风雪的一个子组织，多年来一直将全球关键基础设施组织和政府作为攻击目标。

微软威胁情报团队将此次行动命名为“BadPilot”，该组织已渗透进包括能源、石油和天然气、电信、航运、武器制造以及各国政府在内的多个敏感领域。

自2022年俄罗斯入侵乌克兰以来，海贝壳暴风雪组织持续开展了一系列配合俄罗斯军事目标的行动。这些行动从间谍活动到信息战和网络赋能的干扰活动不等，通常以破坏性攻击和操纵工业控制系统的形式出现。

BadPilot行动标志着海贝壳暴风雪的活动范围已从乌克兰和东欧扩大至过去一年重点关注的美国、英国、加拿大和澳大利亚。然而，除了建立对乌克兰以外目标的访问权限外，微软研究人员警告称，该子组织自2023年以来似乎已在乌克兰至少发动了三次破坏性网络攻击。

“自2021年至少以来，海贝壳暴风雪组织内的这个子组织一直利用机会性访问技术和隐蔽的持久性形式来收集凭证、实现命令执行并支持横向移动，这有时会导致大范围的网络妥协，”研究人员表示。

　　BadPilot瞄准热门软件平台

研究人员指出，该行动利用了互联网面向系统存在的多个漏洞。这包括使用机会性访问技术和隐蔽持久性攻击热门平台，如Microsoft Exchange、Zimbra Collaboration、OpenFire、JetBrains TeamCity、Microsoft Outlook、ConnectWise ScreenConnect、Fortinet FortiClient EMS和JBOSS。

在获得初始访问权限后，该组织会进行凭证收集、命令执行和横向移动，从而导致大规模网络妥协并使破坏性网络攻击成为可能。

SecureAck的首席技术官西蒙·菲利普斯表示，此次行动再次证实了“利用互联网面向系统”的趋势日益增强，并警告组织应借此机会加强补丁管理能力。

“威胁态势已超越脚本小子和受经济利益驱使的攻击者；受国家支持的行为者现已成为严峻的现实，”他表示。“最令人担忧的是，被盗取的情报如何被用来加强这些攻击并支持他们的总体议程。”微软研究人员预测，新发现的子组织将继续引入新的、创新的和“水平可扩展”的技术，旨在加剧对全球网络的攻击。

“这一发现对英国组织来说十分令人担忧，因为它凸显了俄罗斯受国家支持的行为者如何利用CVE漏洞渗透网络、进行监视并发动攻击，”菲利普斯表示。

“网络犯罪现在与地缘政治紧张局势紧密相连，因此BadPilot对西方发动严重攻击也就不足为奇了。然而，真正令人担忧的是，这些行动在很大程度上一直未被察觉，直到微软公布这些发现。”