每經記者:朱成祥
俄烏沖突引發全世界關注。雙方在戰場上交火的同時,沒有硝煙的網絡對抗也早已開始,不同利益方的黑客組織、APT組織進入公衆視野。
2月25日,新華社報道稱,國際黑客團體“匿名者”于2月24日針對俄羅斯在烏克蘭的軍事行動對俄發起“網絡戰争”,并承認攻擊了今日俄羅斯電視台網站。
據環球時報引述英國獨立報報道,在俄羅斯在烏克蘭采取特别軍事行動之際,俄克裡姆林宮網站出現故障。
較黑客更嚴密,APT組織是什麼?
俄烏沖突之外,當下最炙手可熱的半導體設計公司英偉達也被黑客組織盯上了。
2月26日上午,有相關報道稱,網絡攻擊使得英偉達部分業務至少中斷兩天。因為被網絡惡意入侵後的應對與遏制措施,英偉達内部的電郵系統與開發工具在此期間不能使用。
随即,2月26日下午,新興的網絡勒索組織Lapsus$在自己的社交軟體頻道組裡宣布,成功突破英偉達的網絡防火牆,竊取到了近1TB資料。這是一家南美的黑客組織,曾對巴西郵政、葡萄牙最大的電視台和報紙媒體Impresa進行攻擊。
沒想到英偉達很快反擊,2月27日,Lapsus$突然宣稱,英偉達竟然把自己用來黑英偉達的電腦給黑了。
說起網絡對抗,必須提及APT組織。對俄發起網絡攻擊的黑客組織“匿名者”,嚴格意義上來說,不算APT組織,因為其沒有APT組織那麼深入長期。
所謂的APT攻擊,也叫作進階可持續威脅攻擊,相對于普通的黑客攻擊工具,針對性、攻擊複雜程度更高,往往具有持續性,且隐蔽性更強。而APT組織,其目的主要是以擷取政治、經濟利益為出發點,竊取目标的核心資料,或者破壞對方關鍵基礎設施。
也就是說,APT攻擊的影響不僅僅局限在虛拟的網絡世界,實體世界也會受到影響。
比如2021年2月發生的美國佛羅裡達州水廠投毒事件,佛羅裡達州Oldsmar水處理廠成為黑客網絡攻擊的目标,攻擊者試圖采用技術手段對供水給該地區15000人的供水系統投毒。攻擊者遠端通路了奧爾茲馬水廠的系統,并試圖将氫氧化鈉的含量提高到足以使公衆面臨中毒風險的程度。幸好被從業人員及時監測到系統異常,并立即修正,進而制止了災難的發生。
與普通的黑客組織相比,APT組織技術能力更強,一些APT組織的技術能力可以說是領先世界的,其組織嚴密性相較于普通黑客群體更加嚴謹,很多APT組織都有國家背景。攻擊目的方面,有國家背景的APT組織往往以國家利益為主導發起攻擊,也有以經濟利益為主導的APT組織。而普通黑客群體,往往以商業利益、經濟利益為主。
那麼,哪些行業受APT攻擊影響較大呢?安恒資訊釋出的《2021進階威脅态勢研究報告》顯示,2021年,政府、國防、金融、航空、醫療衛生部門受APT攻擊比例分别為15.52%、6.16%、5.91%、4.43%和3.69%,排名靠前。
步步驚心:APT攻擊方式層出不窮
記者了解到,目前APT攻擊方式有水坑攻擊、網絡釣魚和魚叉式網絡釣魚、零日(0day)攻擊、社會工程學攻擊等。比如0day攻擊就是利用還沒有打更新檔的漏洞發起攻擊,而社會工程學攻擊則是利用人性的弱點進行攻擊,主要運用欺騙和僞裝,通過突破受害者的心理防線,利用受害者的好奇心、信任關系、心理弱點等進行攻擊。
較為常見的手段中,如僞裝為來自合作夥伴的郵件,郵件内容及附件被精心設計,如果受害者被内容欺騙,而點選運作了精心制作的附件檔案,那麼此時受害者電腦很有可能就失陷了。
業内較為聞名的烏克蘭斷電事件,便是社會工程學攻擊的典型案例。2015年12月,攻擊者首先通過主題為“烏克蘭總統對部分動員令”的釣魚郵件進行投遞,受害者因好奇心點選并啟動BlackEnergy(一種用于建立僵屍網絡,進行DDoS攻擊的惡意軟體)的惡意宏文檔。之後,BlackEnergy在擷取了相關憑證後,便開始進行網絡資産探測,橫向移動,并最終獲得了系統的控制能力。
此次攻擊造成烏克蘭首都基輔部分地區和烏克蘭西部的140萬名居民遭遇了一次長達數小時的大規模停電,至少三個電力區域被攻擊。
另外,拉撒路(Lazarus)組織使用推特等社交媒體針對不同公司群組織從事漏洞研究和開發的安全研究人員的持續滲透活動,攻擊者在推特等社交媒體上建立了一系列社交賬号,這些賬号會釋出一些安全相關動态,同時會互相評論轉發以擴大影響。
在有一定的影響力後,攻擊者會主動尋找安全研究人員交流,詢問安全研究人員的研究領域及興趣範疇。在确定安全研究人員的研究領域後,如果存在重疊,攻擊者會以學習交流為誘因向研究人員發送poc、exp等工程檔案。整個過程感覺十分真實,僞裝内容非常貼合受害者的工作内容,是以極有可能一不留意落入圈套。
如何防護APT攻擊?
Lazarus組織是2021年全球APT攻擊數量最多的APT組織。根據安恒資訊釋出的《2021進階威脅态勢研究報告》,Lazarus組織、Kimsuky組織以及APT29組織的攻擊數量位列前三,這幾個組織的攻擊受地緣政治因素影響,展現出高度針對性和複雜性。
對于Lazarus等APT組織在社交媒體上慣用的社會工程學攻擊,我們應該如何應對呢?
首先,作為個人應當時刻保持警惕,不輕易打開郵件附件,不随意點選未知連結,對不熟悉的社交對象保持警惕,時刻注重個人隐私,不随意将一些重要的個人資訊釋出到社交媒體上,在一些需要填寫真實資訊内容的地方需要謹慎确認。
企業、機構方面,也要及時教育訓練相關的網絡安全意識,以及對一些網絡安全相關技術的了解,讓企業員工能夠更好地了解和預防。
針對APT組織的攻擊,企業、政府機構并不能百分之百發現和防禦,隻能盡可能地完善防禦體系。具體措施包括需要定期對設施進行更新檔更新及安全測試,盡可能減少弱點;在攻擊面的各個環節部署監測裝置,并建立立體化的縱深防禦體系,及時掌握威脅情報,提前做出預防和決策。
值得一提的是,2021年也湧現出大量針對ios和Android作業系統的新型移動裝置惡意軟體,灰黑産網絡犯罪分子很容易通過銀行木馬等移動惡意軟體獲利,APT組織也可以在受害目标的移動裝置上安裝間諜軟體、鍵盤記錄器等,進而監控和竊取受害者的資訊。是以,今年針對移動裝置的攻擊顯著增加,且攻擊手法更加複雜。
那麼,APT攻擊會對普通人的手機帶來哪些危害呢?這些組織是否會以手機作為入口,侵入公司、機構内部網絡,進而竊取機密資訊、癱瘓網絡等?
對此,安恒資訊一業内人士表示:“普通大衆一般來說不太會成為APT攻擊的對象,APT攻擊的目标往往具有針對性,比如某某重點機構的人員、某某科技公司的人員、某軍工機關的人員等。”
另外,“一般來說,APT組織攻擊手機端,以手機作為入口侵入公司、機構内部網絡等情況具有一定的操作複雜性,雖然并不常見,但也并不是不可能。”上述業内人士補充道。
據安恒資訊釋出的《2021進階威脅态勢研究報告》預測,随着新冠疫情持續,醫療行業資訊化迅速發展,但一些國家的數字化醫療系統尚不完善,是以成為攻擊的重災區。是以,醫學研究将持續成為威脅攻擊者的目标。
除此之外,ICS(工業控制系統)工業環境面臨的威脅将持續增長。比如,發生在2021年上半年的Colonial管道公司攻擊事件充分展現出ICS環境存在的安全風險。需要注意的是,ICS是關鍵基礎設施的核心,一旦遭到攻擊,國家的正常運轉将受到嚴重影響。由于ICS環境缺乏健全的網絡防護方案,是以容易成為攻擊者入侵的目标,針對工業控制系統的攻擊将持續增加。
行業資料概覽
統計資料顯示,2022年1月境内計算機惡意程式傳播次數達到2.2億次之多,2月較1月小幅上漲約1.43%。2月每周的境内計算機惡意傳播次數呈上漲趨勢,第4周最高,達到7211.9萬。境内感染計算機惡意程式主機數量來看,1月資料為558.5萬,2月達到603.6萬,環比上漲8.08%。惡意程式會損壞檔案、造成系統異常、竊取資料等,對計算機傷害很大,一定要高度重視。
從境内被植入後門網站總數來看,2月1792個,較1月2130個下降18.86%,其中政府網站數量2月13個,較1月2個上漲明顯,政府類還是網絡攻擊首選。
從仿冒網站、漏洞數量來看,2月較1月都有明顯下降。其中,仿冒網站從1月的460個到2月的355個,仿冒網站數量下降也歸功于全國反詐工作較為成功。而漏洞數量從1月的2045個到2月的1685個,環比下降21.36%,其中高危漏洞也有明顯減少。針對安全漏洞問題,一定要在正規途徑下載下傳應用,并即時更新,不可心存僥幸。
資料解碼APT攻擊:政府部門受影響最大
根據安恒獵影實驗室的監測情況,2021年發生了約201起APT攻擊事件。2021年APT組織活動主要集中在南亞和中東,其次是東亞地區,東南亞地區的APT組織攻擊有所放緩。
2021年的APT攻擊事件組織分布統計如下圖:
從攻擊事件所屬國家分布來看,出現了一些新的受害國家,例如阿富汗、哥倫比亞、格魯吉亞、拉脫維亞等。這可能表示APT組織正嘗試擴大其活動範圍。
2021年APT攻擊受害國家分布圖如下:
從行業分布來看,政府部門仍是其主要的針對目标,其次是國防、金融、航空,以及醫療衛生部門。
2021年APT攻擊受害行業分布圖如下:
另外,據安恒獵影實驗室統計,截至2021年11月,全年一共披露主流廠商的在野0-day漏洞58個。其中CVE-2021-1732和CVE-2021-33739兩個在野0-day漏洞由安恒獵影實驗室捕獲并披露。
什麼是0-day漏洞?0-day漏洞,又稱“零日漏洞”(zero-day),是已經被發現(有可能未被公開),而官方還沒有相關更新檔的漏洞。除了發現者還沒有其他人知道這個漏洞的存在。一旦被攻擊者發現并加以有效利用,将會造成巨大的破壞。
安恒獵影實驗室梳理了2021年在野0-day漏洞和具體使用它們的APT組織關聯情況,如下:
從2018年到2021年披露的在野0-day漏洞數量變化趨勢來看,近年來在野0-day漏洞數量逐年增多。2021年的增長趨勢最為明顯,2021全年披露數量超過2020年全年披露數量的兩倍。
從在野0-day漏洞涉及廠商的分布情況來看,2021年被披露最多的廠商是微軟,其次是谷歌和蘋果。
從在野0-day漏洞産品類型的分布來看,2021年最受在野0-day漏洞“青睐”的是浏覽器漏洞,其次是作業系統漏洞。
從在野0-day漏洞所屬漏洞類型分布來看,2021年占比最多的是遠端代碼執行漏洞,其次是權限提升漏洞。
掃描二維碼或點選「閱讀原文」下載下傳《2021進階威脅态勢研究報告》:
記者|朱成祥
編輯|梁枭
校對|盧祥勇
每日經濟新聞綜合中新網、央視新聞、财聯社、每經網、公開資料等
德爾塔之後,奧密克戎毒株又全球大流行,
點選下方圖檔或掃描下方二維碼,檢視最新疫情資料
每日經濟新聞