黑客之都4.0

　　每次记者：朱成祥 　　俄罗斯和乌克兰的冲突引起了世界的关注。双方在战场上交战的同时，没有硝烟的网络对抗也已经开始，不同利益者的黑客组织、APT组织进入了公众的视野。 　　2月25日，新华社报道，国际黑客团体“匿名者”2月24日承认，针对俄罗斯在乌克兰的军事行动，发动了“网络战争”，攻击了俄罗斯电视台的网站。 　　据环球时报报道，俄罗斯在乌克兰进行特别军事行动时，俄罗斯克里姆林宫的网站发生了故障。 　　比黑客严密，APT组织是什么？ 　　除了俄罗斯和乌克兰的冲突之外，现在最受欢迎的半导体设计公司的英伟们也被黑客组织盯上了。 　　2月26日上午，有报道称，英伟们的部分业务因网络攻击至少中断了2天。由于恶意侵入互联网后的对应和抑制措施，英伟达内部的邮件系统和开发工具最近无法使用。 　　接下来，2月26日下午，新兴的网络威胁组织Lapsus宣布，在自己的社交软件频道组，英伟们突破了网络防火墙，盗取了接近1TB的数据。在南美的黑客组织中，曾经攻击过巴西邮政、葡萄牙最大的电视台、新闻媒体Impresa。 　　2月27日，Lapsus突然宣布，英伟等人将自己在黑英伟的电脑上使用的电脑变黑。 　　说到网络对抗，就不得不提到APT组织。俄罗斯发起网络攻击的黑客组织“匿名者”严格来说并不像APT组织那样深奥。 　　APT攻击被称为高度可持续的威胁攻击，与通常的黑客攻击工具相比，目标性、攻击复杂度高、持久性强、隐蔽性强。APT组织主要以获得政治、经济利益为出发点，以盗取目标的核心资料，破坏对方的重要基础设施为目的。 　　也就是说，APT攻击的影响不仅影响虚拟网络世界，也影响物理世界。 　　例如，在2021年2月发生的美国佛罗里达州水厂的毒品投放事件中，佛罗里达州Oldsmar的水厂成为黑客网络攻击的目标，攻击者使用技术手段向该地区供水15000人的供水系统投毒。攻击者远程访问了奥尔兹玛水场系统，将氢氧化钠的含量提高到了公众面临中毒风险的程度。幸运的是，工作人员及时监控系统异常，及时纠正，防止发生灾害。 　　与普通的黑客组织相比，APT组织的技术能力更强，可以说一部分APT组织的技术能力领先世界。那个组织的严密性比普通的黑客集团还要严格，很多APT组织都有国家的背景。作为攻击的目的，有很多国家背景的APT组织主导国家利益进行攻击，也有主导经济利益的APT组织。一般的黑客集团多以商业利益和经济利益为主。 　　那么，哪个行业受到APT攻击的影响最大呢。安恒信息发布的“2021高级威胁态势研究报告”显示，2021年政府、国防、金融、航空、医疗卫生部门受到APT攻击的比例分别为15.52%、6.16%、5.91%、4.43%和3.69%，排名靠前。 　　一步一步吃惊：APT攻击方式一个接一个地出现了 　　现在，APT攻击方式有水洼攻击、网钓和叉式网钓、零日（0day）攻击、社会工程学攻击等。例如，0day攻击利用不适用补丁的脆弱性开始攻击，社会工程学攻击利用人性弱点进行攻击，主要运用欺诈和伪装，突破被害者的心理防御线，利用被害者的好奇心、信赖关系、心理弱点等进行攻击。 　　伪装成合作伙伴发来的邮件，精心设计邮件的内容和附件，被害者被内容欺骗，细心制作的附件点击执行的话，被害者的电脑很有可能陷落。 　　业界有名的乌克兰的断电事件是社会工学攻击的典型例子。2015年12月，攻击者首先通过以“乌克兰总统对一部分动员令”为主题的钓鱼邮件发送，被害者出于好奇点击BlackEnergy（制作僵尸网络，进行DDoS攻击的恶意软件）的恶意宏文档启动。之后，BlackEnergy在取得相关证书后，开始了网络资产的探索，横向移动，最终获得了系统的控制能力。 　　在这次攻击中，乌克兰首都基辅的一部分地区和乌克兰西部的140万居民在数小时内遭遇大规模停电，至少3个电力区域遭到攻击。 　　另外，拉萨罗组织利用推特等社交媒体，针对不同公司和组织从事脆弱性研究和开发的安全性研究者的持续渗透活动，攻击者在推特等社交媒体上建立了一系列社交账号这些账户将发布一些与安全相关的动态，同时相互评论和转发，以扩大影响。 　　有一定的影响力后，攻击者会主动寻找安全研究者进行交流，询问安全研究者的研究领域和兴趣的范畴。确定安全研究人员的研究领域后，如果有重复，攻击者会以学习交流为诱因，向研究人员发送poc、exp等工程文件。整个过程都是真实的，伪装内容和被害者的工作内容很吻合，很可能会不小心落入圈套。 　　如何防止APT攻击？ 　　Lazalus组织是2021年世界上攻击APT次数最多的APT组织。安恒信息发布的“2021高级威胁态势研究报告”显示，Lazalus组织、Kimsuky组织、APT29组织的攻击数排名前3，这些组织的攻击受到地缘政治因素的影响，体现了高度的目标性和复杂性。 　　对于Lazalus等APT组织在社交媒体上惯用的社会工程学攻击，我们该如何应对呢。 　　首先，作为个人要时刻保持警惕，不要轻易打开邮件附件，不要随意点击未知链接，要警惕不习惯的社交对象，时刻重视个人隐私，不要擅自向社交媒体公开重要的个人信息在需要填写真实信息的地方要慎重确认。 　　企业、机构方面也应及时培养相关网络安全意识，了解一些网络安全相关技术，使企业员工更好地了解和预防。 　　对于APT组织的攻击，企业、政府机关不能100%发现和防御，只能尽量完善防御系统。具体措施需要定期对设施进行补丁升级和安全测试，尽量减少弱点。在攻击方面的各个阶段配置监视设备，建立立体化的深度防御系统，及时把握威胁信息，尽早进行预防和决策。 　　值得一提的是，2021年面向ios和Android操作系统的新型移动设备恶意软件大量登场，灰黑产网络犯罪者通过银行木马等带有移动恶意的软件容易获利，APT组织也对受害对象的移动设备进行间谍软件安装键盘记录器等，可以监视、盗取受害者的信息。因此，今年对移动设备的攻击显著增加，攻击手法更加复杂。 　　那么，APT攻击会给普通人的手机带来怎样的危害呢。这些组织，不是把手机放在入口，侵入公司和机关的内部网络，盗取机密信息，麻痹网络吗。 　　对此，有安恒信息的行业相关人士表示，“对于一般群众来说，APT攻击的目标往往是特定重点机关的人员、特定科技公司的人员、某军需产业部门的人员等。”。 　　此外，APT还表示，“一般来说，APT攻击手机终端，将手机作为入口侵入公司或机构内的网络等，操作复杂，虽然不太常见，但也并非不可能”。这些行业相关人士补充说。 　　安恒信息发布的“2021高级威胁态势研究报告”显示，随着新冠疫情的持续，医疗行业的信息化正在急速发展，但由于一部分国家的数字化医疗系统还不完善，因此成为攻击的灾区。因此，医学研究继续成为威胁攻击者的目标。 　　除此之外，ICS（工业控制系统）的工业环境所面临的威胁将持续增加。例如，2021年上半年发生的Colonial管道公司的攻击事件充分体现了ICS环境中存在的安全风险。ICS是重要的基础设施的核心，受到攻击的话会给国家的正常运营带来严重的影响。由于ICS环境缺乏健全的网络防护措施，容易成为攻击者入侵的目标，对工业控制系统的攻击持续增加。 　　行业数据概要 　　据统计数据显示，2022年1月国内计算机恶意程序传播次数达到2.2亿次，2月比1月小幅约1.43%。2月每周国内计算机恶意传播次数呈上升趋势，第4周达到7211.9万人。从国内感染电脑的恶意程序主机数来看，1月份的数据达到558.5万人，2月份达到603.6万人，比上个月上升了8.08%。恶意程序会损坏文件，造成系统异常，盗取数据，对电脑造成巨大伤害。 　　从国内植入的后门网站总数来看，2月1792件，比1月2130件减少18.86%，其中政府网站数量2月13件，比1月2件明显上升，政府类是网络攻击的第一选择。 　　从模仿网站的脆弱性数量来看，2月比1月明显减少。其中，伪造网站从1月的460件达到2月的355件，伪造网站的数量减少也是因为全国的欺诈防止活动成功了。另一方面，脆弱性的数量从1月的2045件到2月的1685件，比上个月减少了21.36%，其中高风险的脆弱性也显著减少。对于安全漏洞的问题，必须在正规路径上下载应用程序，并立即更新。 　　数据解密APT攻击：政府部门影响最大 　　根据安恒猎影实验室的监测情况，2021年发生了约201起APT攻击事件。2021年的APT组织活动主要集中在南亚和中东，接着在东亚地区，东南亚地区的APT组织攻击减速。 　　2021年APT攻击事件组织分布统计如下图所示。 　　从攻击事件所属国家的分布来看，阿富汗、哥伦比亚、格鲁吉亚、拉脱维亚等新的受害国出现了。这可能表明APT组织正在扩大活动范围。 　　2021年APT攻击受害国分布图如下。 　　从行业分布来看，政府部门仍然是主要目标，其次是国防、金融、航空、医疗卫生部门。 　　2021年APT攻击受害业界的分布图如下。 　　另外，根据安恒猎影实验室的统计，到2021年11月为止，年间主流制造商的在野党0-day大厅58个被公开。其中，CVE-2021-21732和CVE-2021-33739两个野0-day脆弱性是由安恒猎影实验室捕获和公开的。 　　0-day洞和腐蚀？0-day脆弱性也被称为“零日脆弱性”（zero-day），已经被发现（有可能未公开），但公式上没有与补丁相关的脆弱性。除了发现者以外没有人知道这个漏洞的存在。被攻击者发现并有效利用的话，会造成巨大的破坏。 　　安恒猎影实验室对2021年在野党0-day的漏洞和具体APT组织的相关情况进行了整理，如下。 　　从2018年到2021年公布的在野党0-day脆弱性数量的变化趋势来看，近年来在野党0-day脆弱性的数量逐年增加。2021年的增加趋势最显著，2021年的年公开数量超过了2020年年年年公开数量的2倍。 　　从在野党的0-day脆弱性与制造商相关的分布来看，2021年公开最多的制造商是微软，其次是谷歌和苹果。 　　从在野党0-day脆弱性产品类型的分布来看，2021年最在野党0-day脆弱性“被爱用”的浏览器脆弱性，其次是操作系统脆弱性。 　　从在野党0-day的脆弱性所属的脆弱性类型分布来看，2021年最多的是远程代码执行脆弱性，其次是权限提高脆弱性。 　　记者|朱成祥 　　编辑|梁枭 　　校对|卢祥勇 　　每日经济新闻综合中新网、中央电视新闻、财联社、各经网、公开资料等 　　德尔塔之后，奥米克戎毒株在世界范围内大流行。 　　每日经济新闻