卡巴斯基2023年高級威脅預測：郵件服務器和衛星成主要目標

2022年11月，Karspersky發布了《2023年高級威脅預測》（Advanced threat predictions for 2023），將電子郵件服務器和衛星確定為2023年的主要網絡攻擊目標。報告指出，2023年高級威脅將是針對政府、關鍵行業供應商和重要民用基礎設施、具有較大破壞性的“空前嚴重的網絡攻擊”。

摘譯 | 林心雨/賽博研究院實習研究員

來源 | Karspersky

去年，Karspersky也做了2022年度的預測。但自去年的預測以來，世界發生了巨大的變化。地緣政治格局仍在持續不斷的變化，但網絡攻擊卻與之相反——它仍是一個持續的危險，而且沒有任何消退的現象。無論身處何處，世界各地的人們都應該為網絡安全事件做好準備。對此，一項有益的工作就是設法預見未來網絡威脅的發展趨勢以及可能發生的重大事件。

Karspersky將注意力轉向了未來，報告指出了2023年可能看到的發展與事件。

破壞性攻擊的興起

歷史表明，地緣政治的變化總是會轉化為網絡活動的增加——有時是出于收集情報的目的，有時是作為外交信號的一種方式。隨著東西方之間的沖突水平加劇，Karspersky預計2023年將出現前所未有的嚴重的網絡攻擊行為。

具體而言，預計明年出現的破壞性網絡攻擊數量將創紀錄，并且影響政府部門和一些重要行業。值得注意的是，一部分網絡攻擊很可能難以追蹤，不易被定為網絡攻擊事件，從而看起來更像是隨機事故。其余的攻擊將采取偽勒索軟件攻擊或黑客活動的形式，以便為真正的攻擊者提供合理的推諉。

此外，還有可能會發生一些針對重要民用基礎設施（例如能源電網或公共廣播）的網絡攻擊。由于面對物理破壞行為時，水下電纜和光纖集成器特別難以保護，因此，它們也是一個值得關注的問題。

郵件服務器成為優先目標

在過去的幾年里，Karspersky發現研究網絡安全脆弱性的人員越發地關注電子郵件軟件。這是因為它們代表了巨大的軟件棧、必須支持多種協議，并且必須面向互聯網才能正常運行。一些知名企業，如Microsoft Exchange和Zimbra都面臨著嚴重的漏洞(預認證RCEs)，在補丁可用之前，攻擊者有時就會大規模地利用這些漏洞。

事實上，對郵件軟件漏洞的研究才剛剛開始。郵件服務器面臨著雙重難題：一方面它是APT參與者感興趣的關鍵情報的避風港，另一方面它也是可以想象到的最大的攻擊面。

對于所有主要的電子郵件軟件而言，2023年很可能是充斥著零日漏洞的一年。系統管理員應當立即對這些機器進行監視，因為即使是及時的補丁也不足以保護它們。

下一個WannaCry

據統計，一些規模最大、影響最大的網絡流行病每6-7年發生一次。這類事件的最近一次是臭名昭著的WannaCry勒索軟件蠕蟲，它利用極其強大的“EternalBlue”漏洞自動傳播到易受攻擊的機器上。

幸運的是，能夠生成蠕蟲的漏洞較為罕見的，并且需要滿足許多條件才能使用(如漏洞利用的可靠性、目標機器的穩定性等)。很難預測下次什么時候會發現這樣的bug，但Karspersky大膽猜測并將其標記在明年。做出這一預測是因為，世界上最老練的行為者很可能至少擁有一種此類的漏洞，而當前的緊張局勢極大地增加shadowbrokers式黑客入侵和泄密(見下文)發生的可能性。

APT目標轉向衛星技術、衛星生產商和運營商

自美國戰略防御計劃（綽號“星球大戰”）考慮將軍事能力擴展到包括太空技術以來，已經過去了近40年。盡管這在1983年看來了似乎有點牽強，但事實上已經有了幾次國家成功干擾繞地衛星的實例。

如果Viasat事件是一個跡象，那么APT威脅行為者很可能在未來會越來越多地將注意力轉向操縱和干擾衛星技術，從而使此類技術的安全性變得更加重要。

黑客入侵和泄密

顯而易見的是，一種新的混合沖突形式——“網絡戰”正在展開，其中黑客和泄密行動。

這種作案手法包括侵入目標主體并公開內部文件和電子郵件。勒索軟件組織已經將這種策略作為對受害者施加壓力的一種方式，但APT可能會利用它來達到純粹的破壞目的。過去，APT參與者曾泄露競爭威脅集團的數據，或創建網站傳播個人信息。雖然很難從旁觀者的角度評估它們的有效性，但毫無疑問，它們現在是未來威脅形勢的一部分，而2023年將會產生大量相關案例。

更多APT集團將從CobaltStrike轉向其他替代品

2012年發布的CobalStrike是一個威脅模擬工具，旨在幫助了解攻擊者滲透網絡的方法。不幸的是，與Metasploit框架一起，它已經成為網絡犯罪集團和APT威脅行為者的首選工具。然而，Karspersky認為一些威脅行為者將開始使用其他替代辦法。

其中一個替代方案是Brute Ratel C4，這是一個特別危險的商業攻擊模擬工具，因為它的設計避免了防病毒和EDR保護的檢測。另一個則是開源進攻工具Sliver。

除了威脅行為者濫用的現成產品外，APT還可能利用其他工具。Manjusaka是其中之一，它被宣傳為CobaltStrike框架的仿造品。該工具的植入物是用Windows和Linux的Rust語言編寫的。用Golang編寫的C&C的全功能版本是免費的，可以使用自定義配置輕松生成新的植入物。另一個是Ninja，這是一個提供大量命令的工具，它允許攻擊者控制遠程系統，避免檢測并深入目標網絡內部。

總的來說，Karspersky懷疑CobaltStrike受到了防御者的太多關注(特別是當涉及到基礎設施時)，APT將嘗試多樣化他們的工具集，以保持不被發現。

SIGINT-delivered惡意軟件

距離斯諾登曝光美國國家安全局使用的FoxAcid/Quantum黑客系統已經過去了近10年。這些手段包括利用“與美國電信公司的合作關系”，將服務器放置在互聯網骨干網絡的關鍵位置，使它們能夠實施攻擊。這是可以想象的最強大的攻擊載體之一，因為它們允許受害者在沒有任何交互的情況下被感染。毫無疑問，許多組織為獲得這種能力而不懈努力。雖然大規模部署它需要少數人擁有的政治和技術力量，但就目前而言，類似量子的工具很可能將在地方層面實現。

這種攻擊極難發現，但Karspersky預測，它們變得越來越普遍，并將在2023年發現更多此類攻擊。

無人機黑客

盡管標題聽起來十分華麗，但討論的并不是用來監視甚至軍用的無人機的黑客攻擊。最后一個預測是：使用商業級無人機來實現近距離黑客攻擊。

年復一年，公眾可用的無人機已經有了更遠的射程和更強的能力。安裝一個惡意的Wi-Fi接入點或IMSI捕捉器并不費勁，或者只需足夠的工具，就能收集用于離線破解Wi-Fi密碼的WPA握手。另一種攻擊方案是使用無人機在限制區域放置惡意USB密鑰，希望路人會撿起它們并將其插入機器。總而言之，這將是一個很有前途的攻擊媒介，可能會被大膽的攻擊者或擅長物理入侵和網絡入侵并用的專家使用。