每經(jīng)記者 朱成祥 每經(jīng)編輯 梁梟
俄烏沖突引發(fā)全世界關(guān)注����。雙方在戰(zhàn)場上交火的同時(shí)����,沒有硝煙的網(wǎng)絡(luò)對(duì)抗也早已開始�����,不同利益方的黑客組織��、APT組織進(jìn)入公眾視野���。
?
2月25日�����,新華社報(bào)道稱�,國際黑客團(tuán)體“匿名者”于2月24日針對(duì)俄羅斯在烏克蘭的軍事行動(dòng)對(duì)俄發(fā)起“網(wǎng)絡(luò)戰(zhàn)爭”�����,并承認(rèn)攻擊了今日俄羅斯電視臺(tái)網(wǎng)站��。
?
據(jù)環(huán)球時(shí)報(bào)引述英國獨(dú)立報(bào)報(bào)道����,在俄羅斯在烏克蘭采取特別軍事行動(dòng)之際�����,俄克里姆林宮網(wǎng)站出現(xiàn)故障���。
較黑客更嚴(yán)密,APT組織是什么����?
俄烏沖突之外,當(dāng)下最炙手可熱的半導(dǎo)體設(shè)計(jì)公司英偉達(dá)也被黑客組織盯上了����。
2月26日上午,有相關(guān)報(bào)道稱��,網(wǎng)絡(luò)攻擊使得英偉達(dá)部分業(yè)務(wù)至少中斷兩天���。因?yàn)楸痪W(wǎng)絡(luò)惡意入侵后的應(yīng)對(duì)與遏制措施,英偉達(dá)內(nèi)部的電郵系統(tǒng)與開發(fā)工具在此期間不能使用��。
隨即�,2月26日下午����,新興的網(wǎng)絡(luò)勒索組織Lapsus$在自己的社交軟件頻道組里宣布�,成功突破英偉達(dá)的網(wǎng)絡(luò)防火墻,竊取到了近1TB數(shù)據(jù)�。這是一家南美的黑客組織,曾對(duì)巴西郵政�、葡萄牙最大的電視臺(tái)和報(bào)紙媒體Impresa進(jìn)行攻擊。
沒想到英偉達(dá)很快反擊����,2月27日,Lapsus$突然宣稱���,英偉達(dá)竟然把自己用來黑英偉達(dá)的電腦給黑了�。
說起網(wǎng)絡(luò)對(duì)抗�,必須提及APT組織。對(duì)俄發(fā)起網(wǎng)絡(luò)攻擊的黑客組織“匿名者”�����,嚴(yán)格意義上來說�����,不算APT組織,因?yàn)槠錄]有APT組織那么深入長期�����。
所謂的APT攻擊����,也叫作高級(jí)可持續(xù)威脅攻擊,相對(duì)于普通的黑客攻擊工具����,針對(duì)性、攻擊復(fù)雜程度更高�����,往往具有持續(xù)性���,且隱蔽性更強(qiáng)���。而APT組織����,其目的主要是以獲取政治�����、經(jīng)濟(jì)利益為出發(fā)點(diǎn)����,竊取目標(biāo)的核心資料��,或者破壞對(duì)方關(guān)鍵基礎(chǔ)設(shè)施�。
也就是說,APT攻擊的影響不僅僅局限在虛擬的網(wǎng)絡(luò)世界����,物理世界也會(huì)受到影響。
比如2021年2月發(fā)生的美國佛羅里達(dá)州水廠投毒事件�,佛羅里達(dá)州Oldsmar水處理廠成為黑客網(wǎng)絡(luò)攻擊的目標(biāo),攻擊者試圖采用技術(shù)手段對(duì)供水給該地區(qū)15000人的供水系統(tǒng)投毒�����。攻擊者遠(yuǎn)程訪問了奧爾茲馬水廠的系統(tǒng)����,并試圖將氫氧化鈉的含量提高到足以使公眾面臨中毒風(fēng)險(xiǎn)的程度。幸好被工作人員及時(shí)監(jiān)測到系統(tǒng)異常,并立即修正����,從而制止了災(zāi)難的發(fā)生。
與普通的黑客組織相比�����,APT組織技術(shù)能力更強(qiáng)�����,一些APT組織的技術(shù)能力可以說是領(lǐng)先世界的��,其組織嚴(yán)密性相較于普通黑客群體更加嚴(yán)謹(jǐn)�����,很多APT組織都有國家背景���。攻擊目的方面����,有國家背景的APT組織往往以國家利益為主導(dǎo)發(fā)起攻擊�,也有以經(jīng)濟(jì)利益為主導(dǎo)的APT組織���。而普通黑客群體��,往往以商業(yè)利益���、經(jīng)濟(jì)利益為主��。
那么����,哪些行業(yè)受APT攻擊影響較大呢��?安恒信息發(fā)布的《2021高級(jí)威脅態(tài)勢研究報(bào)告》顯示�,2021年,政府�����、國防�、金融、航空�、醫(yī)療衛(wèi)生部門受APT攻擊比例分別為15.52%、6.16%���、5.91%�、4.43%和3.69%,排名靠前�����。
步步驚心:APT攻擊方式層出不窮
記者了解到�,目前APT攻擊方式有水坑攻擊、網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚���、零日(0day)攻擊�����、社會(huì)工程學(xué)攻擊等��。比如0day攻擊就是利用還沒有打補(bǔ)丁的漏洞發(fā)起攻擊����,而社會(huì)工程學(xué)攻擊則是利用人性的弱點(diǎn)進(jìn)行攻擊����,主要運(yùn)用欺騙和偽裝,通過突破受害者的心理防線���,利用受害者的好奇心�、信任關(guān)系、心理弱點(diǎn)等進(jìn)行攻擊���。
較為常見的手段中,如偽裝為來自合作伙伴的郵件��,郵件內(nèi)容及附件被精心設(shè)計(jì)����,如果受害者被內(nèi)容欺騙,而點(diǎn)擊運(yùn)行了精心制作的附件文件�,那么此時(shí)受害者電腦很有可能就失陷了。
業(yè)內(nèi)較為聞名的烏克蘭斷電事件����,便是社會(huì)工程學(xué)攻擊的典型案例。2015年12月�����,攻擊者首先通過主題為“烏克蘭總統(tǒng)對(duì)部分動(dòng)員令”的釣魚郵件進(jìn)行投遞�����,受害者因好奇心點(diǎn)擊并啟動(dòng)BlackEnergy(一種用于創(chuàng)建僵尸網(wǎng)絡(luò),進(jìn)行DDoS攻擊的惡意軟件)的惡意宏文檔����。之后,BlackEnergy在獲取了相關(guān)憑證后���,便開始進(jìn)行網(wǎng)絡(luò)資產(chǎn)探測��,橫向移動(dòng)����,并最終獲得了系統(tǒng)的控制能力�。
此次攻擊造成烏克蘭首都基輔部分地區(qū)和烏克蘭西部的140萬名居民遭遇了一次長達(dá)數(shù)小時(shí)的大規(guī)模停電,至少三個(gè)電力區(qū)域被攻擊�。
另外,拉撒路(Lazarus)組織使用推特等社交媒體針對(duì)不同公司和組織從事漏洞研究和開發(fā)的安全研究人員的持續(xù)滲透活動(dòng)�,攻擊者在推特等社交媒體上建立了一系列社交賬號(hào),這些賬號(hào)會(huì)發(fā)布一些安全相關(guān)動(dòng)態(tài)���,同時(shí)會(huì)互相評(píng)論轉(zhuǎn)發(fā)以擴(kuò)大影響���。
在有一定的影響力后,攻擊者會(huì)主動(dòng)尋找安全研究人員交流��,詢問安全研究人員的研究領(lǐng)域及興趣范疇。在確定安全研究人員的研究領(lǐng)域后���,如果存在重疊���,攻擊者會(huì)以學(xué)習(xí)交流為誘因向研究人員發(fā)送poc、exp等工程文件����。整個(gè)過程感覺十分真實(shí)���,偽裝內(nèi)容非常貼合受害者的工作內(nèi)容��,所以極有可能一不留意落入圈套����。
如何防護(hù)APT攻擊��?
Lazarus組織是2021年全球APT攻擊數(shù)量最多的APT組織�����。根據(jù)安恒信息發(fā)布的《2021高級(jí)威脅態(tài)勢研究報(bào)告》�,Lazarus組織����、Kimsuky組織以及APT29組織的攻擊數(shù)量位列前三�����,這幾個(gè)組織的攻擊受地緣政治因素影響���,體現(xiàn)出高度針對(duì)性和復(fù)雜性����。
對(duì)于Lazarus等APT組織在社交媒體上慣用的社會(huì)工程學(xué)攻擊���,我們應(yīng)該如何應(yīng)對(duì)呢��?
首先����,作為個(gè)人應(yīng)當(dāng)時(shí)刻保持警惕��,不輕易打開郵件附件�����,不隨意點(diǎn)擊未知鏈接,對(duì)不熟悉的社交對(duì)象保持警惕�,時(shí)刻注重個(gè)人隱私,不隨意將一些重要的個(gè)人信息發(fā)布到社交媒體上����,在一些需要填寫真實(shí)信息內(nèi)容的地方需要謹(jǐn)慎確認(rèn)。
企業(yè)��、機(jī)構(gòu)方面�����,也要及時(shí)培訓(xùn)相關(guān)的網(wǎng)絡(luò)安全意識(shí)��,以及對(duì)一些網(wǎng)絡(luò)安全相關(guān)技術(shù)的了解�,讓企業(yè)員工能夠更好地理解和預(yù)防���。
針對(duì)APT組織的攻擊����,企業(yè)��、政府機(jī)構(gòu)并不能百分之百發(fā)現(xiàn)和防御�����,只能盡可能地完善防御體系。具體措施包括需要定期對(duì)設(shè)施進(jìn)行補(bǔ)丁升級(jí)及安全測試����,盡可能減少弱點(diǎn);在攻擊面的各個(gè)環(huán)節(jié)部署監(jiān)測設(shè)備�,并建立立體化的縱深防御體系,及時(shí)掌握威脅情報(bào)�,提前做出預(yù)防和決策。
值得一提的是�,2021年也涌現(xiàn)出大量針對(duì)ios和Android操作系統(tǒng)的新型移動(dòng)設(shè)備惡意軟件,灰黑產(chǎn)網(wǎng)絡(luò)犯罪分子很容易通過銀行木馬等移動(dòng)惡意軟件獲利�����,APT組織也可以在受害目標(biāo)的移動(dòng)設(shè)備上安裝間諜軟件��、鍵盤記錄器等��,從而監(jiān)控和竊取受害者的信息��。因此��,今年針對(duì)移動(dòng)設(shè)備的攻擊顯著增加,且攻擊手法更加復(fù)雜���。
那么�����,APT攻擊會(huì)對(duì)普通人的手機(jī)帶來哪些危害呢�����?這些組織是否會(huì)以手機(jī)作為入口�,侵入公司����、機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò),從而竊取機(jī)密信息�����、癱瘓網(wǎng)絡(luò)等��?
對(duì)此��,安恒信息一業(yè)內(nèi)人士表示:“普通大眾一般來說不太會(huì)成為APT攻擊的對(duì)象�,APT攻擊的目標(biāo)往往具有針對(duì)性,比如某某重點(diǎn)機(jī)構(gòu)的人員����、某某科技公司的人員、某軍工單位的人員等��?!?/span>
另外,“一般來說����,APT組織攻擊手機(jī)端,以手機(jī)作為入口侵入公司��、機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)等情況具有一定的操作復(fù)雜性��,雖然并不常見�,但也并不是不可能?!鄙鲜鰳I(yè)內(nèi)人士補(bǔ)充道。
據(jù)安恒信息發(fā)布的《2021高級(jí)威脅態(tài)勢研究報(bào)告》預(yù)測���,隨著新冠疫情持續(xù)�,醫(yī)療行業(yè)信息化迅速發(fā)展�,但一些國家的數(shù)字化醫(yī)療系統(tǒng)尚不完善�,因此成為攻擊的重災(zāi)區(qū)��。因此�����,醫(yī)學(xué)研究將持續(xù)成為威脅攻擊者的目標(biāo)�。
除此之外,ICS(工業(yè)控制系統(tǒng))工業(yè)環(huán)境面臨的威脅將持續(xù)增長����。比如,發(fā)生在2021年上半年的Colonial管道公司攻擊事件充分體現(xiàn)出ICS環(huán)境存在的安全風(fēng)險(xiǎn)����。需要注意的是,ICS是關(guān)鍵基礎(chǔ)設(shè)施的核心�,一旦遭到攻擊,國家的正常運(yùn)轉(zhuǎn)將受到嚴(yán)重影響�。由于ICS環(huán)境缺乏健全的網(wǎng)絡(luò)防護(hù)方案,因此容易成為攻擊者入侵的目標(biāo)���,針對(duì)工業(yè)控制系統(tǒng)的攻擊將持續(xù)增加�。
行業(yè)數(shù)據(jù)概覽 
統(tǒng)計(jì)數(shù)據(jù)顯示����,2022年1月境內(nèi)計(jì)算機(jī)惡意程序傳播次數(shù)達(dá)到2.2億次之多,2月較1月小幅上漲約1.43%��。2月每周的境內(nèi)計(jì)算機(jī)惡意傳播次數(shù)呈上漲趨勢���,第4周最高�,達(dá)到7211.9萬����。境內(nèi)感染計(jì)算機(jī)惡意程序主機(jī)數(shù)量來看,1月數(shù)據(jù)為558.5萬���,2月達(dá)到603.6萬����,環(huán)比上漲8.08%�����。惡意程序會(huì)損壞文件���、造成系統(tǒng)異常��、竊取數(shù)據(jù)等�����,對(duì)計(jì)算機(jī)傷害很大���,一定要高度重視�����。
從境內(nèi)被植入后門網(wǎng)站總數(shù)來看��,2月1792個(gè)���,較1月2130個(gè)下降18.86%,其中政府網(wǎng)站數(shù)量2月13個(gè)��,較1月2個(gè)上漲明顯�����,政府類還是網(wǎng)絡(luò)攻擊首選����。
從仿冒網(wǎng)站�����、漏洞數(shù)量來看,2月較1月都有明顯下降����。其中,仿冒網(wǎng)站從1月的460個(gè)到2月的355個(gè)���,仿冒網(wǎng)站數(shù)量下降也歸功于全國反詐工作較為成功�。而漏洞數(shù)量從1月的2045個(gè)到2月的1685個(gè)�����,環(huán)比下降21.36%����,其中高危漏洞也有明顯減少。針對(duì)安全漏洞問題��,一定要在正規(guī)途徑下載應(yīng)用���,并即時(shí)更新��,不可心存僥幸���。
數(shù)據(jù)解碼APT攻擊:政府部門受影響最大 根據(jù)安恒獵影實(shí)驗(yàn)室的監(jiān)測情況���,2021年發(fā)生了約201起APT攻擊事件。2021年APT組織活動(dòng)主要集中在南亞和中東���,其次是東亞地區(qū)�,東南亞地區(qū)的APT組織攻擊有所放緩���。
2021年的APT攻擊事件組織分布統(tǒng)計(jì)如下圖:
從攻擊事件所屬國家分布來看�����,出現(xiàn)了一些新的受害國家��,例如阿富汗��、哥倫比亞��、格魯吉亞���、拉脫維亞等��。這可能表示APT組織正嘗試擴(kuò)大其活動(dòng)范圍����。
2021年APT攻擊受害國家分布圖如下:
從行業(yè)分布來看�,政府部門仍是其主要的針對(duì)目標(biāo)���,其次是國防�����、金融�����、航空�����,以及醫(yī)療衛(wèi)生部門��。
2021年APT攻擊受害行業(yè)分布圖如下:
另外��,據(jù)安恒獵影實(shí)驗(yàn)室統(tǒng)計(jì)���,截至2021年11月���,全年一共披露主流廠商的在野0-day漏洞58個(gè)。其中CVE-2021-1732和CVE-2021-33739兩個(gè)在野0-day漏洞由安恒獵影實(shí)驗(yàn)室捕獲并披露����。
什么是0-day漏洞?0-day漏洞�,又稱“零日漏洞”(zero-day),是已經(jīng)被發(fā)現(xiàn)(有可能未被公開)�,而官方還沒有相關(guān)補(bǔ)丁的漏洞。除了發(fā)現(xiàn)者還沒有其他人知道這個(gè)漏洞的存在���。一旦被攻擊者發(fā)現(xiàn)并加以有效利用���,將會(huì)造成巨大的破壞。
安恒獵影實(shí)驗(yàn)室梳理了2021年在野0-day漏洞和具體使用它們的APT組織關(guān)聯(lián)情況�,如下:
從2018年到2021年披露的在野0-day漏洞數(shù)量變化趨勢來看,近年來在野0-day漏洞數(shù)量逐年增多�����。2021年的增長趨勢最為明顯,2021全年披露數(shù)量超過2020年全年披露數(shù)量的兩倍�。
從在野0-day漏洞涉及廠商的分布情況來看,2021年被披露最多的廠商是微軟��,其次是谷歌和蘋果�。
從在野0-day漏洞產(chǎn)品類型的分布來看,2021年最受在野0-day漏洞“青睞”的是瀏覽器漏洞�,其次是操作系統(tǒng)漏洞。
從在野0-day漏洞所屬漏洞類型分布來看�����,2021年占比最多的是遠(yuǎn)程代碼執(zhí)行漏洞�,其次是權(quán)限提升漏洞�����。
掃描二維碼或點(diǎn)擊「閱讀原文」下載《2021高級(jí)威脅態(tài)勢研究報(bào)告》:
記者|朱成祥
編輯|梁梟
校對(duì)|盧祥勇
每日經(jīng)濟(jì)新聞綜合中新網(wǎng)��、央視新聞����、財(cái)聯(lián)社、每經(jīng)網(wǎng)�����、公開資料等
德爾塔之后,奧密克戎毒株又全球大流行��,
點(diǎn)擊下方圖片或掃描下方二維碼��,查看最新疫情數(shù)據(jù)↓
