近日,奇安信威胁情报中心发布《全球高级持续性威胁(APT)2019年报告》,揭示了过去一年全球APT发展态势。
2019年全年,奇安信威胁情报中心收录了高级威胁类公开报告总共596篇,其中涉及了136个命名的攻击组织或攻击行动,几乎覆盖了全球绝大部分国家和区域。无论是披露的APT攻击组织还是攻击数量,相比于2018年(报告478份,威胁来源109个)都有较为明显的增长。
从受害行业来看,政府(包括外交、政党、选举相关)和军事(包括军事、军工、国防相关)依然是APT威胁的主要目标,能源(包括石油、天然气、电力、民用核工业等)、通信行业也是APT攻击的重点威胁对象。
场景多样化的APT攻击方式
1、 利用广域网的网络协议实施BGP和DNS劫持
奇安信威胁情报监测发现,部分APT组织和攻击活动利用广域网的网络协议,实施DNS劫持、BGP劫持。广域网下的DNS劫持、BGP劫持可以让攻击者将目标的网络流量重定向自身的控制基础设施,从而实现数据监听、收集、破坏等目的。值得关注的是,为广域网提供基础设施服务的ISP、域名服务商、CDN服务商都有可能成为APT威胁的目标。
图:奇安信威胁情报中心整理的近两年来DNS和BGP劫持的恶意攻击活动
更有甚者,在斯诺登泄露的文档中,曾披露过某国通过其具备的广域网下部分骨干节点的控制能力,用于数据监听和情报收集。但APT组织往往不具备对骨干网等核心基础设施的控制能力,其只能通过广域网的劫持攻击来达到类似的目的。
2、利用供应链攻击实施APT攻击
2019年,利用供应链的攻击在APT活动中时常有发生。从过去的供应链攻击来看,其一方面通过攻击软件供应链的各个环节,包括第三方库的引用,开发人员,产品构建阶段,另一方面通过攻击和目标相关的IT供应商、软件供应商、硬件供应商、合作伙伴等。攻击者针对带有签名的合法应用、预装程序植入后门,能够实现更加隐蔽的攻击立足效果。
图:奇安信威胁情报中心整理的2019年的APT类供应链攻击活动
3、攻击移动端实施监控和窃听
针对智能手机是APT威胁的另一个威胁场景,其主要的目的在于实现监控和窃听,并针对特定的个人或群体。在过去的移动APT活动中,攻击者通常通过远程代码执行漏洞、钓鱼消息或者将间谍软件混入应用市场等方式在智能手机中植入后门程序,获取包括短信、通讯录、定位、文件、应用数据、录音和录像的数据。
例如在去年某次公开活动中披露的Simjacker漏洞,攻击者可以通过攻击SIM卡上的应用缺陷实现,并已经被用于攻击南美地区国家的用户手机。有意思的是,奇安信威胁情报中心发现,在手机间谍应用和监控系统的背后,不乏存在不少网络军火商的身影,他们提供针对Android、iOS的监控系统和木马,并且利用漏洞利用链植入后门程序。
0day漏洞和在野利用攻击
奇安信威胁情报中心在多次APT攻击中,都发现了0day漏洞在野利用(指被捕获的攻击活动中利用的0day漏洞)的身影。与已知漏洞成熟的利用链相比,0day漏洞更具隐秘性,往往能够绕过绝大多数网络安全设备的检测,因此一直是实施APT攻击的重要利器。
奇安信威胁情报中心整理了2019年用于攻击活动的漏洞列表(见下表)。相比2018年来说,在野攻击活动中利用的文档型0day漏洞并未发现,针对浏览器的远程代码执行漏洞数量提升,并且配合沙盒逃逸和提权漏洞使用。
不过,奇安信威胁情报中心发现并不是所有的APT组织都具备独立挖掘0day漏洞的能力,因此部分APT组织会在网络黑市购买0day漏洞,用于大幅提升自身的APT攻击能力。通常情况下,0day漏洞都可以在黑市被卖到极高的价钱。受利益所驱,网络军火商往往充当着0day漏洞和网络武器交易市场的重要角色,像Gamma、Hacking Team、NSO Group都是知名的网络军火商,其开发一套完备的网络监控系统并出售给其客户。
图:部分网络军火商、APT组织与0day漏洞之间的关系
金融、能源和电信成为APT攻击的主要行业目标
针对金融行业的攻击主要以牟利为目的,除了部分APT组织针对金融行业目标实施攻击外,还活跃着不少组织化的网络犯罪团伙。从2019年主要的网络犯罪组织和APT组织针对金融行业的攻击活动来看,金融银行机构的PoS系统,ATM终端,SWIFT交易系统,以及与电子商务和在线支付相关的网站都是攻击组织的主要攻击对象,并且通过非授权的资金交易转账,获取和售卖支付卡和信用卡数据,以及地下市场交易来进行非法牟利。
图:2019年公开披露的主要活跃的针对金融行业的攻击组织
从网络攻击的动机来看,能源行业可能主要面临着APT威胁,其用于在必要时对目标进行破坏和影响,导致目标产线异常甚至出现生产错误。同时,由于能源行业部分也涉及了敏感的信息和数据,也是APT威胁中的重要目标。针对能源行业攻击和破坏对于国家、社会和民生安定来说影响是巨大的,2015年和2016年底乌克兰的两次停电事件,都对当地居民的生活造成了重大影响,带来了巨大的经济损失。
图:2019年公开披露的针对能源行业的APT攻击活动和主要的APT组织
电信行业是另一个APT威胁中的重要目标行业之一,由于电信行业承担着互联网骨干网络和核心基础设施的运营,以及包括电信网、蜂窝网、移动通信和有线电视等。针对电信行业目标实施APT攻击往往能够建立在更高维度的基础设施控制能力下实现包括劫持、监听、篡改等目的。
图:2019年公开披露的针对电信行业的攻击活动和活跃组织
愈演愈烈的APT攻击
基于2019年APT威胁的趋势以及近年来APT威胁组织和活动的变化情况,奇安信威胁情报中心判断2020年APT攻击会存在以下几个趋势:
1、APT组织的追踪和溯源变得更加困难
APT攻击组织在攻击中变得更加谨慎,并且利用频繁更换攻击程序形态、开源工具、劫持其他组织的基础设施等多种方式避免其行为特征被发现和关联,从而给归属分析判定带来影响。
2、更多的在野0day攻击案例
2019年内公开披露的在野攻击活动中利用的0day漏洞总共有17个,涉及明确的攻击组织至少7个,相较于2018年都略有增长。同时,2019年针对浏览器的完整利用链在被曝光的在野攻击活动中出现的越来越多,并且漏洞的触发方式也愈发简单化。从这个角度看,2020年将会披露更多0day漏洞在野利用的案例。
3、针对行业性的APT威胁越发凸现
从APT攻击的动机来看,金融、能源和电信是高度符合攻击组织需要的,结合近几年来针对这三个行业的攻击变化趋势,奇安信威胁情报中心判断,金融、能源和电信将会成为未来APT威胁中的重点攻击目标。
4、5G商业化和物联网或为APT攻击提供新的基础设施
从过去的VPNFilter事件,APT组织利用路由器UPnP功能最为代理隐藏自身,可以看出基于物联网设备的攻击活动不再是网络黑客的专属,其同样会被应用到APT威胁攻击中。随着5G和物联网技术的发展,APT攻击将具备更强大的攻击能力。
5、更加频繁和隐蔽的网络攻击破坏活动
网络攻击破坏活动相对于军事行动来说,更加具有隐蔽性和溯源难的特点,从而攻击源头可以进行否认。2019年从公开报道和披露,有不少疑似与网络攻击或者疑似网络攻击造成的破坏活动。由此可以预见未来网络攻击破坏活动可能更加频繁。
报告全文下载可访问:https://shs3.b.qianxin.com/qax/c42d977ace97fa3ec12c9b2eabce8043.pdf
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。