近日,奇安信威脅情報中心發佈《全球高級持續性威脅(APT)2019年報告》,揭示了過去一年全球APT發展態勢。
2019年全年,奇安信威脅情報中心收錄了高級威脅類公開報告總共596篇,其中涉及了136個命名的攻擊組織或攻擊行動,幾乎覆蓋了全球絕大部分國家和區域。
無論是披露的APT攻擊組織還是攻擊數量,相比於2018年(報告478份,威脅來源109個)都有較為明顯的增長。
從受害行業來看,政府(包括外交、政黨、選舉相關)和軍事(包括軍事、軍工、國防相關)依然是APT威脅的主要目標,能源(包括石油、天然氣、電力、民用核工業等)、通信行業也是APT攻擊的重點威脅對象。
01場景多樣化的APT攻擊方式
1、利用廣域網的網絡協議實施BGP和DNS劫持
奇安信威脅情報監測發現,部分APT組織和攻擊活動利用廣域網的網絡協議,實施DNS劫持、BGP劫持。
廣域網下的DNS劫持、BGP劫持可以讓攻擊者將目標的網絡流量重定向自身的控制基礎設施,從而實現數據監聽、收集、破壞等目的。值得關注的是,為廣域網提供基礎設施服務的ISP、域名服務商、CDN服務商都有可能成為APT威脅的目標。
圖 奇安信威脅情報中心整理的近兩年來DNS和BGP劫持的惡意攻擊活動
更有甚者,在斯諾登洩露的文檔中,曾披露過某國通過其具備的廣域網下部分骨幹節點的控制能力,用於數據監聽和情報收集。但APT組織往往不具備對骨幹網等核心基礎設施的控制能力,其只能通過廣域網的劫持攻擊來達到類似的目的。
2、利用供應鏈攻擊實施APT攻擊
2019年,利用供應鏈的攻擊在APT活動中時常有發生。從過去的供應鏈攻擊來看,其一方面通過攻擊軟件供應鏈的各個環節,包括第三方庫的引用,開發人員,產品構建階段,另一方面通過攻擊和目標相關的IT供應商、軟件供應商、硬件供應商、合作伙伴等。
攻擊者針對帶有簽名的合法應用、預裝程序植入後門,能夠實現更加隱蔽的攻擊立足效果。
圖 奇安信威脅情報中心整理的2019年的APT類供應鏈攻擊活動
3、攻擊移動端實施監控和竊聽
針對智能手機是APT威脅的另一個威脅場景,其主要的目的在於實現監控和竊聽,並針對特定的個人或群體。在過去的移動APT活動中,攻擊者通常通過遠程代碼執行漏洞、釣魚消息或者將間諜軟件混入應用市場等方式在智能手機中植入後門程序,獲取包括短信、通訊錄、定位、文件、應用數據、錄音和錄像的數據。
例如在去年某次公開活動中披露的Simjacker漏洞,攻擊者可以通過攻擊SIM卡上的應用缺陷實現,並已經被用於攻擊南美地區國家的用戶手機。
有意思的是,奇安信威脅情報中心發現,在手機間諜應用和監控系統的背後,不乏存在不少網絡軍火商的身影,他們提供針對Android、iOS的監控系統和木馬,並且利用漏洞利用鏈植入後門程序。
020day漏洞和在野利用攻擊
奇安信威脅情報中心在多次APT攻擊中,都發現了0day漏洞在野利用(指被捕獲的攻擊活動中利用的0day漏洞)的身影。與已知漏洞成熟的利用鏈相比,0day漏洞更具隱秘性,往往能夠繞過絕大多數網絡安全設備的檢測,因此一直是實施APT攻擊的重要利器。
奇安信威脅情報中心整理了2019年用於攻擊活動的漏洞列表(見下表)。相比2018年來說,在野攻擊活動中利用的文檔型0day漏洞並未發現,針對瀏覽器的遠程代碼執行漏洞數量提升,並且配合沙盒逃逸和提權漏洞使用。
不過,奇安信威脅情報中心發現並不是所有的APT組織都具備獨立挖掘0day漏洞的能力,因此部分APT組織會在網絡黑市購買0day漏洞,用於大幅提升自身的APT攻擊能力。
通常情況下,0day漏洞都可以在黑市被賣到極高的價錢。受利益所驅,網絡軍火商往往充當著0day漏洞和網絡武器交易市場的重要角色,像Gamma、Hacking Team、NSO Group都是知名的網絡軍火商,其開發一套完備的網絡監控系統並出售給其客戶。
圖 部分網絡軍火商、APT組織與0day漏洞之間的關係
03金融、能源和電信成為APT攻擊的主要行業目標
針對金融行業的攻擊主要以牟利為目的,除了部分APT組織針對金融行業目標實施攻擊外,還活躍著不少組織化的網絡犯罪團伙。
從2019年主要的網絡犯罪組織和APT組織針對金融行業的攻擊活動來看,金融銀行機構的PoS系統,ATM終端,SWIFT交易系統,以及與電子商務和在線支付相關的網站都是攻擊組織的主要攻擊對象,並且通過非授權的資金交易轉賬,獲取和售賣支付卡和信用卡數據,以及地下市場交易來進行非法牟利。
圖 2019年公開披露的主要活躍的針對金融行業的攻擊組織
從網絡攻擊的動機來看,能源行業可能主要面臨著APT威脅,其用於在必要時對目標進行破壞和影響,導致目標產線異常甚至出現生產錯誤。同時,由於能源行業部分也涉及了敏感的信息和數據,也是APT威脅中的重要目標。
針對能源行業攻擊和破壞對於國家、社會和民生安定來說影響是巨大的,2015年和2016年底烏克蘭的兩次停電事件,都對當地居民的生活造成了重大影響,帶來了巨大的經濟損失。
圖 2019年公開披露的針對能源行業的APT攻擊活動和主要的APT組織
電信行業是另一個APT威脅中的重要目標行業之一,由於電信行業承擔著互聯網骨幹網絡和核心基礎設施的運營,以及包括電信網、蜂窩網、移動通信和有線電視等。
針對電信行業目標實施APT攻擊往往能夠建立在更高維度的基礎設施控制能力下實現包括劫持、監聽、篡改等目的。
圖 2019年公開披露的針對電信行業的攻擊活動和活躍組織
04愈演愈烈的APT攻擊
基於2019年APT威脅的趨勢以及近年來APT威脅組織和活動的變化情況,奇安信威脅情報中心判斷2020年APT攻擊會存在以下幾個趨勢:
1、APT組織的追蹤和溯源變得更加困難
APT攻擊組織在攻擊中變得更加謹慎,並且利用頻繁更換攻擊程序形態、開源工具、劫持其他組織的基礎設施等多種方式避免其行為特徵被發現和關聯,從而給歸屬分析判定帶來影響。
2、更多的在野0day攻擊案例
2019年內公開披露的在野攻擊活動中利用的0day漏洞總共有17個,涉及明確的攻擊組織至少7個,相較於2018年都略有增長。
同時,2019年針對瀏覽器的完整利用鏈在被曝光的在野攻擊活動中出現的越來越多,並且漏洞的觸發方式也愈發簡單化。從這個角度看,2020年將會披露更多0day漏洞在野利用的案例。
3、針對行業性的APT威脅越發凸現
從APT攻擊的動機來看,金融、能源和電信是高度符合攻擊組織需要的,結合近幾年來針對這三個行業的攻擊變化趨勢,奇安信威脅情報中心判斷,金融、能源和電信將會成為未來APT威脅中的重點攻擊目標。
4、5G商業化和物聯網或為APT攻擊提供新的基礎設施
從過去的VPNFilter事件,APT組織利用路由器UPnP功能最為代理隱藏自身,可以看出基於物聯網設備的攻擊活動不再是網絡黑客的專屬,其同樣會被應用到APT威脅攻擊中。
隨著5G和物聯網技術的發展,APT攻擊將具備更強大的攻擊能力。
5、更加頻繁和隱蔽的網絡攻擊破壞活動網絡攻擊破壞活動
相對於軍事行動來說,更加具有隱蔽性和溯源難的特點,從而攻擊源頭可以進行否認。2019年從公開報道和披露,有不少疑似與網絡攻擊或者疑似網絡攻擊造成的破壞活動。由此可以預見未來網絡攻擊破壞活動可能更加頻繁
閱讀更多 奇安信 的文章
