2025-12-22 04:40:42 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： CARR(俄罗斯网络军队重生)是一个自2022年乌克兰危机以来活跃的亲俄黑客组织，主要从事DDoS攻击和针对关键基础设施的干扰活动。该组织技术水平相对较低，但通过利用暴露的VNC连接等简单手段，已成功对多国水务、食品加工和能源系统造成实际损害。国际社会已对CARR成员实施制裁，并呼吁加强OT系统防护，减少互联网暴露，实施多因素认证等措施。 综合评分： 86 文章分类： 威胁情报,恶意软件,漏洞分析,安全大事件,网络安全

cover_image

CARR 俄罗斯黑客组织浮出水面

Ots安全

2025年12月13日 22:04 广东

威胁简报

恶意软件

漏洞攻击

网络空间已成为各国博弈的重要领域。近年来，一些亲俄罗斯的黑客组织逐渐浮出水面，其中“俄罗斯网络军队”（Russian Cyber Army，简称RCA），又称“俄罗斯网络军队重生”（Cyber Army of Russia Reborn，简称CARR），备受国际关注。该组织自2022年乌克兰危机爆发以来活跃度显著上升，主要从事分布式拒绝服务（DDoS）攻击和针对关键基础设施的操作干扰活动。

这些行为不仅影响了相关国家的正常运转，也引发了全球网络安全领域的广泛讨论和警觉。作为一个新兴的网络行动者，CARR的活动反映出网络威胁的复杂性和多样化趋势，值得各国高度重视并加强防范。

组织的起源与背景CARR的出现可以追溯到2022年初，当时正值俄罗斯与乌克兰冲突升级的关键时期。该组织最初以“俄罗斯人民网络军队”的名义在社交媒体上公开活动，其成员多为支持俄罗斯立场的黑客爱好者或技术人员。根据公开资料，CARR与俄罗斯军事情报机构——总参谋部情报总局（GRU）存在一定关联，特别是GRU下属的74455部队可能为其提供间接支持或工具援助。

不过，该组织强调自身为“志愿”性质的“黑客主义者”团体，旨在通过网络行动表达对俄罗斯的“爱国”情怀。与其他黑客组织不同，CARR并非高度专业的国家级威胁行为者，而是以机会主义攻击为主。其成员技术水平相对较低，主要利用现成工具和漏洞进行操作。这种“低门槛、高影响”的模式，使得CARR能够在短时间内吸引更多参与者，形成松散的联盟网络。例如，该组织与NoName057(16)、Z-Pentest以及新兴的Sector16等团体密切合作，这些联盟进一步放大了其攻击能力。Sector16成立于2025年1月，通过Telegram频道发布视频和声明，宣称针对美国能源基础设施的行动，内容往往带有强烈的亲俄罗斯叙事色彩。

从组织结构上看，CARR不像传统黑客集团那样有严格的层级管理，而是依赖社交平台进行协调和宣传。这使得其活动具有高度的灵活性和不可预测性，但也暴露了技术上的短板。例如，在一些攻击中，CARR成员常常夸大事件影响，以吸引媒体关注，而实际破坏力有限。这种宣传策略不仅提升了组织的知名度，也在一定程度上影响了国际舆论。主要活动与针对目标CARR的攻击活动主要聚焦于DDoS攻击和针对工业控制系统（ICS）的干扰。这些攻击往往针对北约成员国、乌克兰及其盟友的关键基础设施，旨在造成经济损失和社会混乱。根据美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）的联合报告，CARR及其盟友利用互联网暴露的虚拟网络计算（VNC）连接作为入侵入口，这些连接安全配置不足，导致攻击者能够轻松访问运营技术（OT）控制设备。

具体而言，CARR的目标涵盖多个领域，包括水务系统、食品加工、能源和交通等关键基础设施。2024年11月，该组织声称对美国洛杉矶的一家肉类加工厂发起攻击，导致数千磅肉类变质并引发氨气泄漏，不仅造成经济损失，还对公共健康构成潜在威胁。此外，在多个美国州份的饮用水系统中，CARR黑客篡改了运营参数，导致数十万加仑饮用水从水库中泄出，严重影响社区供水安全。这些事件并非孤立，而是CARR一贯策略的一部分：通过同时发动DDoS攻击分散目标防御注意力，从而便于入侵监督控制和数据采集（SCADA）系统。除了美国，CARR的活动还延伸至欧洲和亚洲国家。例如，该组织曾针对波兰和法国水务设施进行干扰，并声称对乌克兰后勤系统造成中断。2025年4月的一次行动中，黑客利用基本技术手段（如未加密的VNC端口）成功渗透多个目标，导致部分系统出现物理损坏。

这些攻击虽技术含量不高，但由于关键基础设施的脆弱性，往往能产生连锁反应，放大实际影响。值得注意的是，CARR的行动并非纯粹破坏性，还带有强烈的政治动机。该组织经常在Telegram等平台发布攻击视频和声明，强调其行为是为回应“西方对俄罗斯的敌对政策”。这种“黑客主义”与国家利益的交织，使得CARR成为混合型威胁的典型代表：表面上独立运作，实则可能获得国家层面的默许或资源支持。国际反应与制裁措施面对CARR等亲俄罗斯黑客组织的威胁，国际社会迅速采取行动。2024年7月，美国国务院和财政部宣布对CARR的两名成员实施制裁，其中包括一名乌克兰籍人士。这些制裁旨在切断该组织的资金来源和国际活动空间。

美国司法部（DOJ）进一步指控这些成员参与针对美国关键基础设施的网络犯罪，并强调此类行为已构成国家安全威胁。进入2025年，威胁形势进一步升级。12月9日，CISA、FBI、国家安全局（NSA）以及国际伙伴联合发布警报，警告CARR及其盟友针对全球关键基础设施的机会主义攻击。

该警报指出，这些团体虽技术水平有限，但通过利用暴露的VNC连接，已成功造成包括水务、食品和能源领域的实际损害。同时，欧洲刑警组织（EC3）的“东方行动”也分享了相关情报，呼吁加强OT系统的防护。英国等欧洲国家同样加强了应对。2025年7月，英国政府宣布发现俄罗斯的“间谍工具”，并对GRU官员实施制裁，以回应针对选举基础设施和核实体的攻击。欧盟理事会则延长了对网络攻击的制裁措施至2026年5月，覆盖多个俄罗斯实体。

这些国际合作体现了网络安全问题的全球性。各国通过情报共享和技术援助，共同构建防御体系。例如，CISA建议关键基础设施运营商减少OT资产的互联网暴露、加强资产管理，并采用多因素认证等措施。这些举措不仅针对CARR，还适用于更广泛的网络威胁。

关键人员识别与个人信息

Molfar情报研究所调查重点揭露了NoName057(16)和DDoSia Telegram社区的8名管理员及多名成员。这些人员多使用化名运营，涉嫌协调攻击、宣传和工具分发。以下为部分关键个体信息（基于公开OSINT来源，具体细节已部分脱敏以符合报告规范）：

Artem Vladimirovich Pankratov（化名@nn05716）：涉嫌主要管理员，管理Telegram社区和相关社交账户。出生于1984年4月23日，曾从事贸易和建筑相关企业。社交媒体上频繁发布亲俄内容，并推广攻击成果。已知联系方式包括多个电话和邮箱。
Yuliya Vladimirovna Zhuravlyova / Pankratova（化名@MotherOfBears）：Pankratov的妻子，涉嫌共同管理DDoSia频道。出生于1984年4月6日，居住地涉及俄罗斯多个城市。活跃于宣传相关群组，曾接受采访表达政治观点。美国制裁名单中提及类似姓名人员。
Vitaliy Vitalievich Pryadka（化名@vetal2020）：来自扎波罗热地区，涉嫌管理员。出生于1996年3月29日，有一定个人背景记录。
Ilya Maskaykin（化名@Rabbn1）：俄罗斯年轻成员，涉嫌支持攻击活动。教育背景涉及中学阶段。
Nikolay Dmitrievich Osaulenko（化名@simplusertg）：涉嫌管理员，曾在俄罗斯国有建筑企业工作。出生于1989年9月14日。
Kirill Andreevich Titov（化名@t96_ka）：涉嫌提供黑客教育材料。出生于1996年5月22日，曾在医疗领域工作。
Viktoriya Eduardovna Dubranova（化名@tory12345666）：乌克兰籍成员，涉嫌管理员。出生于1991年8月12日，居住地涉及第聂伯罗地区。
Aleksandr Sergeevich Kraynov（化名@Timea_Rich）：涉嫌俄罗斯军事背景成员。出生于1988年12月10日。

此外，还有多名社区成员如Dmitriy Smorodin、Evgeniy Shevlyakov和Murat Bilalov等，涉及不同年龄和背景，部分为学生或普通技术爱好者。这些人员通过Telegram协调，贡献资源换取奖励。

NoName057(16)的活动凸显了“黑客主义”威胁的混合特征：技术简单但动机强烈，易于招募志愿者放大影响。即使低门槛工具，也能对公共服务造成干扰。这提醒全球网络安全从业者，加强对暴露资产的审计，如减少互联网面对的控制接口、实施多因素认证和实时监测。

从国际视角看，此类组织活动往往与地缘政治紧张相关。各国应推动情报合作，避免网络空间成为冲突延伸场。始终倡导网络空间命运共同体，强调通过对话构建和平、安全、开放、合作的网络环境。

面对类似威胁，我国相关机构可进一步完善关键信息基础设施保护，强化OSINT应用，提升防御能力。调查显示，网络威胁无国界，任何国家均可能受影响。加强技术研发、法律法规建设和国际协作，是维护网络安全的根本之道。

未来，随着人工智能等新技术应用，黑客组织手段或更趋隐蔽，需要持续监测和研究。（本文基于公开情报报告和国际媒体来源整理，仅供参考，不涉及任何政治表态。如需详细信息，可参考Molfar官方发布。）

END