歐盟應急響應中心2023年度威脅回顧

歐盟應急響應中心在 2011 年建立，隸屬于歐盟數字服務總局。該組織與歐盟網絡安全局（ENISA）和北約應急響應中心（NCIRC）構建了合作伙伴關系，共同進行網絡安全防御。

攻擊組織

2023 年，至少有80 個攻擊組織積極針對歐盟實體及其附近地區進行攻擊。按照暴露程度進行劃分：

很多攻擊組織的動機和意圖都并不清楚，只能將其歸類為未知。已知動機的，接近四分之三都是為了間諜竊密，往往與國家支持的黑客有關。16% 為黑客主義的炫技，往往最終目標是獲得媒體的宣傳報道。

歐盟認為自己被俄羅斯瘋狂攻擊，有 15 個攻擊組織與俄羅斯有關，其次是伊朗、朝鮮、土耳其等。

歐盟給出 APT 29 的鉆石模型如下所示：

軟件產品

104 個軟件產品成為241 次攻擊行動中的攻擊目標。針對性程度可以分為以下幾類：

不同類型的軟件產品在針對性程度下的數量統計：

網絡設備有很多類型（如路由器、防火墻、VPN 等），這些設備往往都會暴露在互聯網上，成為了攻擊者的絕佳選擇。

開發工具與集成開發環境（IDE）也是供應鏈攻擊的理想目標。俄羅斯黑客就曾經在全球范圍利用TeamCity，該軟件為軟件開發中常用的自動化編譯、構建、測試與發布的軟件。

安全軟件也沒有被放過，包括密碼管理軟件、反病毒軟件、SIEM 與EDR 等安全軟件，攻擊者可以利用安全軟件的缺陷繞過安全控制措施。

內容管理與協作工具也是攻擊者重點關注的對象，過去的一年里WordPress、Atlassian Confluence、3CX 等軟件接連被重點關注。

已經有 45.2% 的歐盟企業購買了云服務，最常見的云服務是電子郵件（82.7%）、文件存儲（68%）和辦公軟件（66.3%），這都是攻擊者期望的入侵路徑。

典型廠商的產品被利用的漏洞如下所示：

完整的熱力圖如下所示：

魚叉郵件

魚叉郵件會利用與歐盟相關的話題進行欺詐和誘導，例如“瑞典擔任歐盟理事會主席“、”歐盟-拉丁美洲及加勒比國家共同體（CELAC）峰會“、”外交關系參贊工作組（RELEX）“等。當然，魚叉郵件的套路依舊很多：

通過復用舊會話發送釣魚郵件，降低警惕性并提高可信度，受害者的電子郵件賬戶早已失竊。

工會收到冒充首席執行官的釣魚郵件，該公司是歐盟實體的承包商。

員工收到冒充工會負責人的釣魚郵件和 WhatsApp 消息。

電子郵件中包含另一個歐盟實體網站的頁面鏈接，誘導進入釣魚網站。

行業分布

攻擊者對歐盟的 25 個行業很感興趣，很難界定哪些是國家驅動的黑客組織感興趣的行業，哪些是經濟利益驅動的攻擊組織感興趣的行業。33% 的攻擊行動都涉及公共管理行業，由于歐盟實體都是公共行政部門，不單獨將其列出。

外交部門當仁不讓排在第一，大使館、領事館和外交部都是攻擊者關注的重點部門。對間諜行動來說。

國防部門排名第二，這往往與地緣政治有關。國防部和國防承包商都是攻擊的重點，并非只關注軍事機構本身。

運輸部門緊隨其后，航空、海運、鐵路與公路多樣化的運輸方式也是重要的基礎設施，攻擊者當然不肯放過。

金融部門受攻擊的數量也相當多，但金融部門受到的攻擊往往不單一集中在網絡間諜，也會受到網絡經濟犯罪的影響。

衛生部門所受攻擊次數相比前面就相對少了很多，絕大多數以經濟利益為主，勒索軟件是主要威脅。

后續是能源、科技、司法、通信、科研、教育等行業。值得注意的是科研部門盡管所受攻擊的次數不多，但涉及到的歐盟實體數量最多。科研部門的網絡安全狀況和相關從業人員的網絡安全意識，可能仍然需要加強和提高。

勒索軟件

歐盟范圍內在 2023 年尚未發現重大的勒索軟件攻擊泄露事件，攻擊嘗試總體上說并不成功。55 個勒索軟件團伙在歐盟攻擊了906 個受害者，有20 個團伙聲稱成功入侵了十個以上的歐盟實體，這二十個團伙總計占比達 78%。四個季度分布如下所示：

Lockbit 是個中翹楚，自己就占到總數的四分之一，堪稱遙遙領先。

PS：不知道是不是Lockbit 太過成功，所以引起了監管部門的警覺，執法機構把 Lockbit 的攻擊基礎設施給鏟了。目前的影響還有待觀察，也許 Lockbit 會像ALPHV 一樣也是在打擊后幾個月又重新站穩腳跟。

Lockbit 每季度都能成功入侵65 個實體，其他組織盡管也持續活躍但與Lockbit 相比都相形見絀。

從國家分布來看，英國是受攻擊最嚴重的國家。緊隨其后的是德國、法國、意大利和西班牙。國家排名和國家的經濟規模基本吻合，公司越多攻擊面越大，攻擊者越容易成功。

從行業分布來看，制造業獨占鰲頭近四分之一。針對法律、建筑、零售行業的攻擊也在增加，反而針對科技、教育和醫療行業的攻擊在逐漸減少。