2022年度APT組織簡要盤點淺析
如果用一個詞去代表2022,那一定是風云變幻——世界局勢錯綜復雜、全球經濟一落千丈、新冠疫情虎視眈眈……在這種環境下,就連本應受益于線上活動增多的互聯網行業都無法獨善其身,卻有一伙人悶聲發大財,那就是潛藏于暗處的黑客,尤其是APT組織。
用“風云變化”去形容今年的APT活動,同樣是適用的。盡管大多因素對他們是有利的,他們還是深深受到了這些因素的影響,也利用了這些因素化為自己的力量。
在今年繁多的APT組織和攻擊事件中,我們各選出五個典型,以求帶大家窺見APT的冰山一角。
APT組織,依然都是些老朋友:海蓮花、Lazarus、NSA(政府組織)、Sandworm和MuddyWater。
海蓮花
歸屬地:越南
目標領域:政府、科研
攻擊目標:中國、越南
攻擊方式:魚叉攻擊、水坑攻擊
海蓮花自15年被發現后,一直持續活躍至今。越南是他們的主要攻擊目標,但中國在他們的攻擊列表中也相當靠前。今年他們對中國關鍵基礎設施、核心制造業廠商發起攻擊,意圖竊取機密資料。海蓮花組織應用最新技術相當積極,攻擊范圍也很廣,今年則將目標集中在關鍵基礎設施、高新及核心制造業等重要單位和公司,可見策略有一定變化,應該是打算放長線釣大魚或是有了具體的攻擊目標。
Lazarus
歸屬地:朝鮮半島
目標領域:工業科研、外交外貿、媒體金融、核設施
攻擊目標:中國、韓國、美國、印度等
攻擊方式:魚叉攻擊、社工攻擊、水坑攻擊
Lazarus依然執著于攻擊韓國目標,且保持著對加密貨幣的興趣。和上面的海蓮花不同,Lazarus有著極強技術的同時,也進行著“經濟活動”,安全研究員也不止一次捕獲到朝鮮相關黑客疑似干私活攻擊金融目標。今年他們對各種加密貨幣和平臺進行了多次攻擊,數量多,影響大,不出意外將大量資產收入囊中。至少在可以預見的虛擬貨幣未全面崩盤的未來,這種攻擊都將持續下去。
NSA(政府組織)
歸屬地:美國
目標領域:關鍵基礎設施、工業科研、航空航天、政府軍事等
攻擊目標:中國、俄羅斯、伊朗、巴基斯坦
攻擊方式:水坑攻擊、魚叉攻擊
NSA是五個典型中唯一展露在外有名有姓的官方組織,和今年國內一次重大攻擊事件息息相關——西工大遭NSA長期滲透竊取機密信息。NSA作為官方組織從不隱藏它的惡意,技術水平也不可謂不強,此前波及全球的WannaCry使用的即是受雇于NSA的Shadow
Brokers泄露工具包中的漏洞。此次攻擊依然展現了世界頂級的黑客水平,使用了大量漏洞和工具,痕跡也消除得干干凈凈,給發現、響應和溯源帶來了極大困難。當然不僅僅是西工大,國內的各個政府組織、學術機構、企業公司等都存在一定的被攻擊痕跡。
Sandworm
歸屬地:俄羅斯
目標領域:政府、教育、能源機構、電信運營商
攻擊目標:歐美國家、烏克蘭、北約
攻擊方式:魚叉攻擊
今年最大的軍事沖突俄烏沖突引出來的,是Sandworm組織。該組織雖不如Gamaredon活躍,但在此次沖突中更能體現出熱戰中網絡戰的作用。相比下,它對政治、經濟等方向機密情報興趣略淡,更傾向于直接搞破壞,徑直選擇關鍵基礎設施等重要部門發動攻擊,采用數據擦除這種終極手段破壞服務。據稱該組織直接聽命于俄羅斯情報機構GRU,采取這種手段不足為奇。
MuddyWater
歸屬地:伊朗
目標領域:政府、能源機構、電信運營商
攻擊目標:以色列、美國
攻擊方式:魚叉攻擊
MuddyWater則是活躍于另一個戰場中東的老牌APT組織,疑似伊朗官方資助的MuddyWater從美歐攻擊到中東,不放過任何一個目標。今年它也進行了升級,變種層出不窮,TTP不斷更新。
安全有話說
粗略翻看幾個APT組織后,可以從中發現一些APT演變趨勢,僅以部分樣本在此進行簡單的總結:
行業上,APT對機密信息興趣不減,例如政府部門的文件、學術機構的資料等,但對于關鍵基礎設施的興趣大大增加。在此之前,有震驚世界的震網病毒,也有小規模針對水利等部門的試探性攻擊。今年可能有政治關系緊張、關鍵基礎設施暴露增加、安全技術演進等因素合并作用,針對關鍵基礎設施的破壞性攻擊大大增加,包括核心制造業也面臨同樣的問題,一旦破壞成功會極大影響民生,將是未來熱戰燃起后的主戰場。核心制造業、醫療、金融包括互聯網等存在一定壁壘的行業仍舊是攻擊者眼中的香餑餑,在平時依然是機密信息這個難啃的硬骨頭外不錯的目標。
攻擊方式上大多依然以社工和釣魚攻擊為主,各種釣魚攻擊防不勝防。當然釣魚攻擊也是可以玩出花,疑似朝鮮黑客再次用假招聘釣魚攻擊給安全意識差的人上了一課,也給了安全圈攻防更多思路。釣魚成功后基本還是老一套,只不過今年在竊取信息外摻入了更多手段,勒索、挖礦都在其中,這可能也與黑客的目的轉變有關。要說最離譜的,DDoS也被用于正式的網絡戰,甚至把網友也拉下水成為參與者:俄烏沖突中黑客創建DDoS網站號召網友參與攻擊,也有黑客攻破網站后把DDoS腳本嵌入其中,這種方式無疑給往常的DDoS防護方式提出了挑戰,迫使使用最簡單粗暴的擴容或關站來對抗。這些花里胡哨的玩法雖然不全是當下正式的APT組織所為,也確實可以作為不為經濟利益或者小成本攻擊的思路吸納。供應鏈攻擊一如安全圈預測,逐漸參與到重要目標的攻擊中,需要繼續關注與防護。
熱點上不得不提的還是Lazarus,一直執著于加密貨幣的還真不是那么多。加密貨幣市場短期蕭條看來并沒有降低他們對加密貨幣未來的期望,多次進行著竊取加密貨幣的攻擊行動。在利益方面,同樣有一些技術性較強的攻擊用于挖礦甚至勒索軟件,安全研究員普遍認為這是APT組織成員的個人或謀私行為,并不會成為流行趨勢,但普通公司對這種攻擊確實沒什么還手之力。
漏洞方面大火的0day都難逃短時的利用熱潮,Office漏洞、Exchange漏洞是漏洞利用的主力軍,企業應用也處在黑客監控列表的前排。至于今年的現象級漏洞,自然Log4j算一個,盡管剛出時利用圖片真真假假,八卦消息刷爆屏幕,但漏洞和利用都實實在在,給防護帶來了極大的壓力,也給了黑客一個可以長期利用的強力武器。
地區上最明顯的就是地緣政治,經濟成本從來就不是APT的主要考量因素,目的則是伴著APT出生刻在骨子里的。從攻擊者、攻擊手段、攻擊目標、攻擊目的分析都逃不過這個因素。除了上文提到的俄烏、朝鮮、中美,南亞等地APT組織今年同樣為APT數據出了不少力(如蔓靈花等)。無疑,在對立更明顯的未來,政治將成為APT攻擊預測的重要參考。
年度預測
回顧過去的APT攻擊后,也可以結合其他安全方向的資料大膽對未來APT進行預測:
同去年一般,供應鏈攻擊依然是未來面對APT進行安全防護的重中之重,相比社工和釣魚,供應鏈攻擊如同0day,是幾乎無法防御的必殺技,需要依靠新型的防護方式、完整的防護鏈路和完善的數據保護阻擋黑客的腳步。
攻擊方向上需要注意的則是遠程辦公和移動端防護,如今線下活動雖然逐步恢復,仍有不少公司保持甚至決定改用遠程辦公,大大增加了資產暴露風險。這種條件下,個人電腦和移動設備都會成為絕佳的入口,VPN的應用和安全意識培訓這些平日容易被忽視的措施就顯得尤為重要。
遠程辦公趨勢漸緩,服務上云進度不止,沒啥說的,云服務提供商和乙方新的一年繼續努力。
攻擊方式上則要適應網絡戰的思路,要對數據擦除甚至水利投毒(比如通過調整配方比例的方式)等做好心理準備和應對策略,民生相關的網絡安全防護一刻不能放松。
提及網絡戰,有個有趣的話題就是各國今年陸續成立的“太空部隊”,太空部隊中也建立了網絡安全部門,衛星的安全研究或許可以提上日程。
最后有個題外話,今年年末AI應用的快速發展確實超出了預期,AI繪畫、AI對話(Chat GPT)等都引起了激烈的討論,同時衍生出了一些安全問題和思考。有安全圈人士研究發現,ChatGPT繞過行為限制后,可以直接給出接近可用的惡意代碼和攻擊思路,聯系上文公眾參與的DDoS攻擊(可能出于好玩也可能是真的有攻擊意愿),需要進一步完善網絡安全相關法律法規、管理網絡安全資源、加強網絡安全防護,避免進入全民大APT時代。
