每經記者 朱成祥 每經編輯 梁梟
俄烏沖突引發(fā)全世界關注�。雙方在戰(zhàn)場上交火的同時,沒有硝煙的網絡對抗也早已開始��,不同利益方的黑客組織�、APT組織進入公眾視野。
?
2月25日�����,新華社報道稱,國際黑客團體“匿名者”于2月24日針對俄羅斯在烏克蘭的軍事行動對俄發(fā)起“網絡戰(zhàn)爭”��,并承認攻擊了今日俄羅斯電視臺網站����。
?
據環(huán)球時報引述英國獨立報報道,在俄羅斯在烏克蘭采取特別軍事行動之際�����,俄克里姆林宮網站出現故障��。
較黑客更嚴密�,APT組織是什么?
俄烏沖突之外��,當下最炙手可熱的半導體設計公司英偉達也被黑客組織盯上了�。
2月26日上午,有相關報道稱�����,網絡攻擊使得英偉達部分業(yè)務至少中斷兩天���。因為被網絡惡意入侵后的應對與遏制措施��,英偉達內部的電郵系統(tǒng)與開發(fā)工具在此期間不能使用�。
隨即,2月26日下午����,新興的網絡勒索組織Lapsus$在自己的社交軟件頻道組里宣布�����,成功突破英偉達的網絡防火墻�����,竊取到了近1TB數據���。這是一家南美的黑客組織�,曾對巴西郵政�、葡萄牙最大的電視臺和報紙媒體Impresa進行攻擊。
沒想到英偉達很快反擊��,2月27日�����,Lapsus$突然宣稱,英偉達竟然把自己用來黑英偉達的電腦給黑了�����。
說起網絡對抗�����,必須提及APT組織��。對俄發(fā)起網絡攻擊的黑客組織“匿名者”���,嚴格意義上來說��,不算APT組織���,因為其沒有APT組織那么深入長期。
所謂的APT攻擊�,也叫作高級可持續(xù)威脅攻擊,相對于普通的黑客攻擊工具�����,針對性、攻擊復雜程度更高��,往往具有持續(xù)性���,且隱蔽性更強��。而APT組織����,其目的主要是以獲取政治���、經濟利益為出發(fā)點,竊取目標的核心資料�����,或者破壞對方關鍵基礎設施���。
也就是說�����,APT攻擊的影響不僅僅局限在虛擬的網絡世界���,物理世界也會受到影響����。
比如2021年2月發(fā)生的美國佛羅里達州水廠投毒事件�,佛羅里達州Oldsmar水處理廠成為黑客網絡攻擊的目標,攻擊者試圖采用技術手段對供水給該地區(qū)15000人的供水系統(tǒng)投毒����。攻擊者遠程訪問了奧爾茲馬水廠的系統(tǒng),并試圖將氫氧化鈉的含量提高到足以使公眾面臨中毒風險的程度�。幸好被工作人員及時監(jiān)測到系統(tǒng)異常,并立即修正�����,從而制止了災難的發(fā)生�。
與普通的黑客組織相比,APT組織技術能力更強�,一些APT組織的技術能力可以說是領先世界的,其組織嚴密性相較于普通黑客群體更加嚴謹����,很多APT組織都有國家背景。攻擊目的方面��,有國家背景的APT組織往往以國家利益為主導發(fā)起攻擊,也有以經濟利益為主導的APT組織�����。而普通黑客群體��,往往以商業(yè)利益����、經濟利益為主。
那么�,哪些行業(yè)受APT攻擊影響較大呢?安恒信息發(fā)布的《2021高級威脅態(tài)勢研究報告》顯示�,2021年,政府��、國防��、金融��、航空����、醫(yī)療衛(wèi)生部門受APT攻擊比例分別為15.52%�����、6.16%、5.91%�����、4.43%和3.69%��,排名靠前���。
步步驚心:APT攻擊方式層出不窮
記者了解到���,目前APT攻擊方式有水坑攻擊、網絡釣魚和魚叉式網絡釣魚���、零日(0day)攻擊�、社會工程學攻擊等�����。比如0day攻擊就是利用還沒有打補丁的漏洞發(fā)起攻擊����,而社會工程學攻擊則是利用人性的弱點進行攻擊���,主要運用欺騙和偽裝,通過突破受害者的心理防線�,利用受害者的好奇心、信任關系�、心理弱點等進行攻擊。
較為常見的手段中�����,如偽裝為來自合作伙伴的郵件���,郵件內容及附件被精心設計����,如果受害者被內容欺騙���,而點擊運行了精心制作的附件文件��,那么此時受害者電腦很有可能就失陷了。
業(yè)內較為聞名的烏克蘭斷電事件����,便是社會工程學攻擊的典型案例��。2015年12月����,攻擊者首先通過主題為“烏克蘭總統(tǒng)對部分動員令”的釣魚郵件進行投遞���,受害者因好奇心點擊并啟動BlackEnergy(一種用于創(chuàng)建僵尸網絡�,進行DDoS攻擊的惡意軟件)的惡意宏文檔����。之后,BlackEnergy在獲取了相關憑證后�,便開始進行網絡資產探測,橫向移動���,并最終獲得了系統(tǒng)的控制能力���。
此次攻擊造成烏克蘭首都基輔部分地區(qū)和烏克蘭西部的140萬名居民遭遇了一次長達數小時的大規(guī)模停電,至少三個電力區(qū)域被攻擊���。
另外�����,拉撒路(Lazarus)組織使用推特等社交媒體針對不同公司和組織從事漏洞研究和開發(fā)的安全研究人員的持續(xù)滲透活動����,攻擊者在推特等社交媒體上建立了一系列社交賬號,這些賬號會發(fā)布一些安全相關動態(tài)��,同時會互相評論轉發(fā)以擴大影響�����。
在有一定的影響力后��,攻擊者會主動尋找安全研究人員交流����,詢問安全研究人員的研究領域及興趣范疇。在確定安全研究人員的研究領域后����,如果存在重疊,攻擊者會以學習交流為誘因向研究人員發(fā)送poc�、exp等工程文件。整個過程感覺十分真實���,偽裝內容非常貼合受害者的工作內容�����,所以極有可能一不留意落入圈套���。
如何防護APT攻擊?
Lazarus組織是2021年全球APT攻擊數量最多的APT組織���。根據安恒信息發(fā)布的《2021高級威脅態(tài)勢研究報告》��,Lazarus組織�����、Kimsuky組織以及APT29組織的攻擊數量位列前三�����,這幾個組織的攻擊受地緣政治因素影響�,體現出高度針對性和復雜性��。
對于Lazarus等APT組織在社交媒體上慣用的社會工程學攻擊���,我們應該如何應對呢�����?
首先�,作為個人應當時刻保持警惕,不輕易打開郵件附件��,不隨意點擊未知鏈接���,對不熟悉的社交對象保持警惕�����,時刻注重個人隱私����,不隨意將一些重要的個人信息發(fā)布到社交媒體上�,在一些需要填寫真實信息內容的地方需要謹慎確認。
企業(yè)�、機構方面,也要及時培訓相關的網絡安全意識���,以及對一些網絡安全相關技術的了解�����,讓企業(yè)員工能夠更好地理解和預防�����。
針對APT組織的攻擊��,企業(yè)����、政府機構并不能百分之百發(fā)現和防御����,只能盡可能地完善防御體系。具體措施包括需要定期對設施進行補丁升級及安全測試�����,盡可能減少弱點��;在攻擊面的各個環(huán)節(jié)部署監(jiān)測設備��,并建立立體化的縱深防御體系����,及時掌握威脅情報�,提前做出預防和決策���。
值得一提的是���,2021年也涌現出大量針對ios和Android操作系統(tǒng)的新型移動設備惡意軟件,灰黑產網絡犯罪分子很容易通過銀行木馬等移動惡意軟件獲利�����,APT組織也可以在受害目標的移動設備上安裝間諜軟件����、鍵盤記錄器等,從而監(jiān)控和竊取受害者的信息��。因此�,今年針對移動設備的攻擊顯著增加,且攻擊手法更加復雜��。
那么����,APT攻擊會對普通人的手機帶來哪些危害呢��?這些組織是否會以手機作為入口��,侵入公司����、機構內部網絡����,從而竊取機密信息��、癱瘓網絡等����?
對此,安恒信息一業(yè)內人士表示:“普通大眾一般來說不太會成為APT攻擊的對象�����,APT攻擊的目標往往具有針對性�����,比如某某重點機構的人員���、某某科技公司的人員���、某軍工單位的人員等�?����!?/span>
另外�����,“一般來說����,APT組織攻擊手機端,以手機作為入口侵入公司�����、機構內部網絡等情況具有一定的操作復雜性���,雖然并不常見��,但也并不是不可能��?����!鄙鲜鰳I(yè)內人士補充道�����。
據安恒信息發(fā)布的《2021高級威脅態(tài)勢研究報告》預測��,隨著新冠疫情持續(xù)����,醫(yī)療行業(yè)信息化迅速發(fā)展����,但一些國家的數字化醫(yī)療系統(tǒng)尚不完善,因此成為攻擊的重災區(qū)�����。因此��,醫(yī)學研究將持續(xù)成為威脅攻擊者的目標�。
除此之外����,ICS(工業(yè)控制系統(tǒng))工業(yè)環(huán)境面臨的威脅將持續(xù)增長����。比如,發(fā)生在2021年上半年的Colonial管道公司攻擊事件充分體現出ICS環(huán)境存在的安全風險��。需要注意的是���,ICS是關鍵基礎設施的核心���,一旦遭到攻擊,國家的正常運轉將受到嚴重影響��。由于ICS環(huán)境缺乏健全的網絡防護方案��,因此容易成為攻擊者入侵的目標���,針對工業(yè)控制系統(tǒng)的攻擊將持續(xù)增加�。
行業(yè)數據概覽 
統(tǒng)計數據顯示�����,2022年1月境內計算機惡意程序傳播次數達到2.2億次之多,2月較1月小幅上漲約1.43%�����。2月每周的境內計算機惡意傳播次數呈上漲趨勢��,第4周最高�,達到7211.9萬。境內感染計算機惡意程序主機數量來看��,1月數據為558.5萬��,2月達到603.6萬��,環(huán)比上漲8.08%��。惡意程序會損壞文件����、造成系統(tǒng)異常�、竊取數據等,對計算機傷害很大��,一定要高度重視���。
從境內被植入后門網站總數來看�,2月1792個,較1月2130個下降18.86%��,其中政府網站數量2月13個��,較1月2個上漲明顯�,政府類還是網絡攻擊首選。
從仿冒網站��、漏洞數量來看�����,2月較1月都有明顯下降�。其中,仿冒網站從1月的460個到2月的355個��,仿冒網站數量下降也歸功于全國反詐工作較為成功����。而漏洞數量從1月的2045個到2月的1685個,環(huán)比下降21.36%����,其中高危漏洞也有明顯減少�����。針對安全漏洞問題���,一定要在正規(guī)途徑下載應用,并即時更新����,不可心存僥幸。
數據解碼APT攻擊:政府部門受影響最大 根據安恒獵影實驗室的監(jiān)測情況����,2021年發(fā)生了約201起APT攻擊事件。2021年APT組織活動主要集中在南亞和中東�����,其次是東亞地區(qū)�����,東南亞地區(qū)的APT組織攻擊有所放緩�。
2021年的APT攻擊事件組織分布統(tǒng)計如下圖:
從攻擊事件所屬國家分布來看����,出現了一些新的受害國家����,例如阿富汗�����、哥倫比亞���、格魯吉亞�、拉脫維亞等����。這可能表示APT組織正嘗試擴大其活動范圍。
2021年APT攻擊受害國家分布圖如下:
從行業(yè)分布來看�����,政府部門仍是其主要的針對目標�����,其次是國防、金融��、航空��,以及醫(yī)療衛(wèi)生部門��。
2021年APT攻擊受害行業(yè)分布圖如下:
另外����,據安恒獵影實驗室統(tǒng)計,截至2021年11月�����,全年一共披露主流廠商的在野0-day漏洞58個��。其中CVE-2021-1732和CVE-2021-33739兩個在野0-day漏洞由安恒獵影實驗室捕獲并披露�。
什么是0-day漏洞?0-day漏洞�,又稱“零日漏洞”(zero-day),是已經被發(fā)現(有可能未被公開)��,而官方還沒有相關補丁的漏洞��。除了發(fā)現者還沒有其他人知道這個漏洞的存在���。一旦被攻擊者發(fā)現并加以有效利用��,將會造成巨大的破壞���。
安恒獵影實驗室梳理了2021年在野0-day漏洞和具體使用它們的APT組織關聯情況,如下:
從2018年到2021年披露的在野0-day漏洞數量變化趨勢來看�,近年來在野0-day漏洞數量逐年增多。2021年的增長趨勢最為明顯��,2021全年披露數量超過2020年全年披露數量的兩倍���。
從在野0-day漏洞涉及廠商的分布情況來看���,2021年被披露最多的廠商是微軟,其次是谷歌和蘋果���。
從在野0-day漏洞產品類型的分布來看��,2021年最受在野0-day漏洞“青睞”的是瀏覽器漏洞���,其次是操作系統(tǒng)漏洞。
從在野0-day漏洞所屬漏洞類型分布來看��,2021年占比最多的是遠程代碼執(zhí)行漏洞,其次是權限提升漏洞�。
掃描二維碼或點擊「閱讀原文」下載《2021高級威脅態(tài)勢研究報告》:
記者|朱成祥
編輯|梁梟
校對|盧祥勇
每日經濟新聞綜合中新網、央視新聞����、財聯社、每經網���、公開資料等
德爾塔之后���,奧密克戎毒株又全球大流行,
點擊下方圖片或掃描下方二維碼�����,查看最新疫情數據↓
