歐盟威脅行動(dòng)趨勢(shì)
引 言
網(wǎng)絡(luò)威脅行為者是威脅環(huán)境中不可或缺的組成部分。它們是旨在利用現(xiàn)有漏洞實(shí)施惡意行為、意圖傷害受害者的實(shí)體。了解威脅行為者的思考方式、行動(dòng)方式、動(dòng)機(jī)和目標(biāo),對(duì)于更強(qiáng)大的網(wǎng)絡(luò)威脅管理和事件響應(yīng)至關(guān)重要。監(jiān)測(cè)威脅行為者為實(shí)現(xiàn)其目標(biāo)所使用的策略和技術(shù)的最新發(fā)展,并保持對(duì)動(dòng)機(jī)和目標(biāo)的長(zhǎng)期趨勢(shì)的最新了解,在當(dāng)今網(wǎng)絡(luò)安全生態(tài)系統(tǒng)中,對(duì)于高效的防御至關(guān)重要。
此外,了解與威脅行為者相關(guān)的趨勢(shì)、動(dòng)機(jī)和目標(biāo),對(duì)于規(guī)劃網(wǎng)絡(luò)安全防御和緩解策略非常有幫助。它是整體威脅評(píng)估的一個(gè)組成部分,因?yàn)樗梢愿鶕?jù)潛在影響和威脅實(shí)現(xiàn)的可能性來(lái)優(yōu)先考慮安全控制,并制定專門的策略。如果不了解威脅行為者及其操作方式,則會(huì)在網(wǎng)絡(luò)安全方面造成重大的知識(shí)缺口,因?yàn)樵诓豢紤]動(dòng)機(jī)和目標(biāo)的情況下分析威脅可能導(dǎo)致防御措施低效,甚至在某些情況下無(wú)法保護(hù)。
在本節(jié)中,我們探討與威脅行為者相關(guān)的趨勢(shì)。本評(píng)估并未提供報(bào)告期內(nèi)所有趨勢(shì)的詳盡列表,而是提供在戰(zhàn)略層面上觀察到的重要趨勢(shì)的高層視圖。我們關(guān)注威脅行為者的動(dòng)機(jī)、影響和目標(biāo)。我們還評(píng)估了它們的演變。
對(duì)于 ETL 2022,我們?cè)俅慰紤]以下四類網(wǎng)絡(luò)安全威脅參與者:
1、國(guó)家支持的行為者
2、網(wǎng)絡(luò)犯罪行為人候玄鳥歸
3、雇傭黑客的行為者
4、黑客活動(dòng)家
潛在威脅行為者的列表非常廣泛,其中包括內(nèi)部人員等其他類別。重點(diǎn)關(guān)注以上四個(gè)威脅行為者類別,并不意味著其他威脅行為者類別的重要性較低。選擇這四個(gè)威脅行為者類別的重點(diǎn)關(guān)注,是基于它們?cè)?022年ETL報(bào)告期內(nèi)相對(duì)突出的表現(xiàn)。
國(guó)家支持的行為者趨勢(shì)
據(jù)公開報(bào)道,0-day漏洞和其他關(guān)鍵漏洞的利用程度越來(lái)越高。在2021年,漏洞利用是入侵最常見的手段,而披露的0日漏洞利用數(shù)量達(dá)到了歷史最高水平,共計(jì)66個(gè)。
在報(bào)告期內(nèi),國(guó)家支持的行為者利用了許多關(guān)鍵漏洞,其中一些針對(duì)的是Microsoft、Pulse Secure VPN設(shè)備、Atlassian Confluence、F5 Big-IP設(shè)備、Fortinet設(shè)備和Apache的Log4j實(shí)用程序。此外,我們觀察到國(guó)家支持的威脅行為者針對(duì)全球各地的小型辦公室或家庭路由器,并利用這些被攻陷的基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)攻擊,同時(shí)阻礙防御者的努力。我們還觀察到Sandworm的VPNFilter惡意軟件被Cyclops Blink取代,以針對(duì)WatchGuard防火墻設(shè)備和ASUS路由器。
雖然0-day漏洞的話題并不新鮮,但在報(bào)告期間公開披露的0-day漏洞數(shù)量顯著增加。0-day漏洞數(shù)量增加的因素包括以下幾點(diǎn)。
國(guó)家級(jí)威脅行為者越來(lái)越多地投入資源進(jìn)行0-day研究和開發(fā)利用工具。我們觀察到有時(shí)這些努力還會(huì)導(dǎo)致政策決策,例如中國(guó)的一項(xiàng)新法律要求供應(yīng)商向政府報(bào)告0-day漏洞。
另一個(gè)可能性是國(guó)家級(jí)威脅行為者對(duì)供應(yīng)鏈的關(guān)注增加,通過利用一個(gè)0-day漏洞,威脅行為者可以獲得對(duì)多個(gè)目標(biāo)的初始訪問。例如,谷歌、微軟、蘋果和Adobe產(chǎn)品都是這種0-day漏洞攻擊的主要目標(biāo)。
Access-as-a-Service市場(chǎng)已經(jīng)成熟和專業(yè)化,提供漏洞研究、利用和惡意軟件載荷開發(fā)等服務(wù)。
運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)的風(fēng)險(xiǎn)增加
在《2021年歐盟網(wǎng)絡(luò)和信息安全局年度報(bào)告》中,指出國(guó)家級(jí)威脅行為者會(huì)增加對(duì)關(guān)鍵基礎(chǔ)設(shè)施和操作技術(shù)(OT)網(wǎng)絡(luò)破壞的比率。在整個(gè)報(bào)告期內(nèi)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊主要是為了收集情報(bào),以及部署新觀察到的針對(duì)工業(yè)控制系統(tǒng)的惡意軟件以及破壞。
根據(jù)公開報(bào)告,識(shí)別到有三個(gè)新的組織具有對(duì)OT網(wǎng)絡(luò)的攻擊意圖,包括KOSTOVITE、PETROVITE和ERYTHRITE。通常攻擊者會(huì)主動(dòng)收集OT網(wǎng)絡(luò)的信息以做他用。目前,大多數(shù)網(wǎng)絡(luò)攻擊者會(huì)預(yù)先收集信息,而非破壞。
報(bào)告還指出兩種新的工控系統(tǒng)(ICS)惡意軟件:Industroyer2 和 INCONTROLLER(也稱為 PIPEDREAM57)。關(guān)于ICS 的惡意軟件很少見,Industroyer2 和 INCONTROLLER 分別在惡意軟件中位列第6和第7名,前面有 Stuxnet、Havex、BlackEnergy2、CrashOverride 或 Industroyer 和 Trisis 以及 Triton 之后出現(xiàn)的。在分析針對(duì)烏克蘭一家能源公司的攻擊時(shí)檢測(cè)到了Industroyer2,其目的是在俄羅斯烏克蘭危機(jī)期間切斷烏克蘭某個(gè)地區(qū)的電力。這次攻擊的發(fā)起者被評(píng)估為由國(guó)家支持的威脅團(tuán)體 Sandworm。INCONTROLLER非常可能是由國(guó)家贊助開發(fā)的惡意軟件,專注于破壞、侵入。
由此評(píng)估認(rèn)為,國(guó)家支持的威脅行為者將加強(qiáng)對(duì)OT網(wǎng)絡(luò)的偵察、入侵能力,特別是在武裝沖突時(shí)期。同時(shí),他們將投入更多資源開發(fā)可擴(kuò)展的ICS惡意軟件框架,擴(kuò)大攻擊面。
破壞性攻擊在國(guó)家間日漸突出
在俄烏沖突期間,網(wǎng)絡(luò)攻擊出現(xiàn)在軍事行動(dòng)中。這些網(wǎng)絡(luò)攻擊主要使用擦除攻擊,破壞和干擾政府機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施實(shí)體的網(wǎng)絡(luò)。攻擊者不僅破壞了被攻擊實(shí)體的功能,同時(shí)也破壞了公眾對(duì)國(guó)家領(lǐng)導(dǎo)層的信任、傳播FUD(恐懼、不確定性和懷疑)和促進(jìn)虛假信息行動(dòng)。
截至目前,有九個(gè)由國(guó)家支持的威脅行為人部署了擦除型惡意軟件,其中包括WhisperGate或WhisperKill、Hermetic Wiper、CaddyWiper、DesertBlade、AcidRain、Industroyer2、IsaacWiper和DoubleZero。這些攻擊不僅數(shù)量眾多,而且攻擊的頻率較高。微軟公司在2022年2月23日至4月8日期間報(bào)告稱,在針對(duì)烏克蘭數(shù)十個(gè)組織的數(shù)百個(gè)系統(tǒng)中,發(fā)現(xiàn)了離散的破壞性攻擊。
衛(wèi)星通信領(lǐng)域也出現(xiàn)了定向攻擊,其中包括擦除病毒AcidRain。包括歐盟、美國(guó)、英國(guó)等在內(nèi)的多個(gè)國(guó)家,指責(zé)俄羅斯使用此病毒侵入了商業(yè)衛(wèi)星通信公司Viasat,并且烏克蘭受到影響尤為明顯,以致該公司的衛(wèi)星調(diào)制解調(diào)器發(fā)生故障。此外,這次攻擊還波及了中歐地區(qū),導(dǎo)致風(fēng)力發(fā)電廠受到干擾,同時(shí)影響了衛(wèi)星互聯(lián)網(wǎng)。
根據(jù)評(píng)估,隨著沖突的繼續(xù),除烏克蘭外,其他相關(guān)國(guó)家也會(huì)受到波及。西方國(guó)家或北約盟友的關(guān)鍵基礎(chǔ)設(shè)施機(jī)構(gòu),也可能成為報(bào)復(fù)性行動(dòng)的目標(biāo)。一些親俄網(wǎng)絡(luò)勒索軟件組織可能會(huì)針對(duì)西方組織進(jìn)行破壞性行動(dòng),網(wǎng)絡(luò)安全和國(guó)際關(guān)系方面的緊張局勢(shì)將繼續(xù)引發(fā)全球關(guān)注。
公開署名和法律行動(dòng)仍在繼續(xù)
去年在ETL 2021中,我們強(qiáng)調(diào)了政府應(yīng)加強(qiáng)對(duì)國(guó)家級(jí)威脅行為者的打擊、強(qiáng)烈譴責(zé)并且要采取法律限制。
在報(bào)告期間,出現(xiàn)了許多涉及國(guó)家級(jí)威脅行為者的重大事件,比如:
烏克蘭安全局(SBU)起訴了Gamaredon組織的三名運(yùn)營(yíng)人員。
兩名伊朗人被指控進(jìn)行與2020年美國(guó)總統(tǒng)選舉相關(guān)的網(wǎng)絡(luò)活動(dòng)和影響操作。
加州大學(xué)伯克利分校人權(quán)中心向荷蘭海牙的國(guó)際刑事法院正式提交請(qǐng)求,指控威脅組織Sandworm在2015、2016年關(guān)閉烏克蘭電力系統(tǒng),犯下戰(zhàn)爭(zhēng)罪。
歐盟和美國(guó)的盟友正式將針對(duì)商業(yè)衛(wèi)星公司Viasat的網(wǎng)絡(luò)攻擊歸咎于俄羅斯。歐盟和成員國(guó)強(qiáng)烈譴責(zé)針對(duì)烏克蘭的網(wǎng)絡(luò)攻擊以及針對(duì)歐盟幾個(gè)成員國(guó)的分布式拒絕服務(wù)(DDoS)攻擊。
歐盟司法部長(zhǎng)發(fā)布了國(guó)家級(jí)組織APT28的黑客的逮捕令。此攻擊者曾在2017年對(duì)北約智庫(kù)進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。
在報(bào)告看來(lái),隨著網(wǎng)絡(luò)行動(dòng)逐漸受政府重視,陸續(xù)會(huì)出現(xiàn)更多網(wǎng)絡(luò)攻擊、干擾對(duì)手基礎(chǔ)設(shè)施和起訴黑客嫌疑人的指控。
然而,目前仍不清楚這些行動(dòng)在長(zhǎng)期內(nèi)能否遏制。例如,美國(guó)司法部控告了7名APT41的操作員并在2020年9月7日查獲了該組織的部分基礎(chǔ)設(shè)施,但該組織于2021年末至2022年中繼續(xù)了其活動(dòng)。這個(gè)例子表明,對(duì)一個(gè)威脅組織的參與者進(jìn)行控告可能對(duì)阻止整個(gè)組織行動(dòng)沒有影響,因此鼓勵(lì)進(jìn)一步的遏制措施。
國(guó)家支持的威脅者越來(lái)越關(guān)注供應(yīng)鏈的
在2021年,供應(yīng)鏈攻擊占所有入侵事件的17%(或根據(jù)其他來(lái)源,高達(dá)62%100),而在2020年僅占不到1%。自從在2020年12月揭示了SolarWinds供應(yīng)鏈攻擊事件以來(lái),國(guó)家支持的威脅行動(dòng)者意識(shí)到了其潛力,并越來(lái)越多地針對(duì)第三方進(jìn)行攻擊,以向其客戶拓展其向下游的網(wǎng)絡(luò)攻擊行動(dòng)。
云服務(wù)提供商(CSPs)、托管服務(wù)提供商(MSPs)和IT服務(wù)組織是威脅行為者利用信任關(guān)系進(jìn)行惡意操作的主要目標(biāo)。NOBELIUM活動(dòng)組一直在針對(duì)服務(wù)提供商及其下游客戶進(jìn)行攻擊。與此同時(shí),威脅行為者還針對(duì)40多家IT服務(wù)公司(主要位于印度)進(jìn)行攻擊,以獲取他們客戶的網(wǎng)絡(luò)訪問權(quán)限。
根據(jù)我們的評(píng)估,國(guó)家支持的威脅行為者肯定會(huì)進(jìn)一步發(fā)展他們的工具集,以攻擊和破壞供應(yīng)鏈,作為間接向量來(lái)實(shí)現(xiàn)他們的目標(biāo)。軟件供應(yīng)鏈攻擊(例如開源軟件開發(fā)庫(kù)、流行的軟件包、軟件平臺(tái)的妥協(xié)等)很可能會(huì)被有資金支持的國(guó)家支持的組織利用,以在數(shù)百個(gè)受害者的網(wǎng)絡(luò)中獲得立足之地。
地緣政治繼續(xù)影響網(wǎng)絡(luò)行動(dòng)破壞
正如在ETL 2021中提到的那樣,地緣政治是通過網(wǎng)絡(luò)行動(dòng)收集情報(bào)的關(guān)鍵驅(qū)動(dòng)因素之一。隨著地緣政治緊張局勢(shì)的加劇,網(wǎng)絡(luò)攻擊的目標(biāo)數(shù)量也在不斷增加。
公開報(bào)告顯示,由于持續(xù)的武裝沖突,一些國(guó)家級(jí)惡意組織對(duì)烏克蘭實(shí)體進(jìn)行了多次網(wǎng)絡(luò)攻擊。這些威脅組織的重點(diǎn)是進(jìn)行訪問操作并收集情報(bào),為軍事部隊(duì)提供戰(zhàn)術(shù)或戰(zhàn)略優(yōu)勢(shì)。此外,一些國(guó)家級(jí)威脅行動(dòng)針對(duì)了支持烏克蘭的128個(gè)政府組織,這些組織分布在42個(gè)國(guó)家中(主要包括美國(guó)、歐盟、波蘭、與俄羅斯接壤的國(guó)家和北約成員國(guó))。
安全研究人員認(rèn)為,國(guó)家級(jí)威脅組織的目標(biāo)很可能與一個(gè)國(guó)家的長(zhǎng)期計(jì)劃存在直接聯(lián)系。據(jù)報(bào)道,一些威脅行動(dòng)在沖突早期就瞄準(zhǔn)了烏克蘭和俄羅斯的實(shí)體,可能是為了收集情報(bào)。此外,據(jù)報(bào)道,隨著各國(guó)之間緊張局勢(shì)的升級(jí),威脅行為者已經(jīng)將中東地區(qū)的實(shí)體作為目標(biāo)。這些行為者廣泛采用勒索軟件鎖定和泄漏信息,他們主要針對(duì)以色列和美國(guó)的組織,以及中東和北非地區(qū)的組織。中東地區(qū)這些國(guó)家之間的網(wǎng)絡(luò)行動(dòng)已經(jīng)達(dá)到了影響平民的程度。
據(jù)報(bào)道,威脅行動(dòng)人員強(qiáng)烈關(guān)注收集外交和地緣政治情報(bào),可能是由于對(duì)其國(guó)家受到的制裁要求的驅(qū)動(dòng)。在這種特定情況下,其行動(dòng)的另一個(gè)主要?jiǎng)右蚴峭ㄟ^加密貨幣盜竊獲得金融資源。
由于國(guó)際形勢(shì)不穩(wěn)定,預(yù)計(jì)在短期到中期內(nèi)會(huì)觀察到更多以地緣政治為驅(qū)動(dòng)的網(wǎng)絡(luò)行動(dòng)。像中東、地中海東部、北極地區(qū)、波羅的海、阿富汗、也門、敘利亞和利比亞等地區(qū)的地緣政治形勢(shì)可能會(huì)出現(xiàn)破壞性的網(wǎng)絡(luò)攻擊。需要澄清的是,由烏克蘭地緣政治形勢(shì)引發(fā)的網(wǎng)絡(luò)行動(dòng)與歐盟有更大的相關(guān)性和聯(lián)系。
在報(bào)告期內(nèi),還觀察到了與越來(lái)越多國(guó)家有聯(lián)系的威脅組織進(jìn)行的網(wǎng)絡(luò)攻擊活動(dòng),這些國(guó)家包括越南、土耳其、巴基斯坦、印度、烏克蘭、白俄羅斯等。我們預(yù)計(jì),在緊張局勢(shì)或沖突加劇的時(shí)期,越來(lái)越多的國(guó)家將利用其網(wǎng)絡(luò)能力進(jìn)行情報(bào)收集。
網(wǎng)絡(luò)破壞自覺成軍
烏克蘭武裝沖突動(dòng)員了許多駭客、網(wǎng)絡(luò)犯罪和國(guó)家級(jí)別的組織。烏克蘭IT軍隊(duì)的案例是一個(gè)獨(dú)特的、難以分類的案例;它既可以被認(rèn)為是由志愿者組成的駭客組織,也可以被認(rèn)為是由政府支持的組織或者是混合型組織。截至撰寫本文時(shí),網(wǎng)絡(luò)安全界尚未達(dá)成共識(shí)。烏克蘭IT軍隊(duì)肯定會(huì)為未來(lái)的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)研究學(xué)者提供素材,并可能突顯未來(lái)沖突的趨勢(shì)。
2022年2月26日,烏克蘭副總理兼數(shù)字轉(zhuǎn)型部長(zhǎng)宣布創(chuàng)建烏克蘭的IT軍隊(duì)。這一宣布號(hào)召志愿者通過Telegram頻道(該頻道有30萬(wàn)訂閱者)協(xié)調(diào)其在網(wǎng)絡(luò)戰(zhàn)線上的行動(dòng)。烏克蘭IT軍隊(duì)成功地攻擊了各種實(shí)體,并進(jìn)行了大多數(shù)協(xié)調(diào)的分布式拒絕服務(wù)(DDoS)攻擊,但并不僅限于此類攻擊。
在俄羅斯入侵烏克蘭的時(shí)候,烏克蘭沒有軍事網(wǎng)絡(luò)指揮部。出于必要性,烏克蘭根據(jù)愛沙尼亞網(wǎng)絡(luò)防御聯(lián)盟的模式創(chuàng)建了一個(gè)混合實(shí)體,由烏克蘭和國(guó)際民間人員、私人公司以及烏克蘭國(guó)防和軍事人員組成,因此很難對(duì)其進(jìn)行分類。它既不是民用的、軍事的、公共的、私人的、本地的或國(guó)際的實(shí)體。此外,它還引發(fā)了有關(guān)網(wǎng)絡(luò)空間國(guó)際法、國(guó)家網(wǎng)絡(luò)規(guī)范、針對(duì)民用基礎(chǔ)設(shè)施的問題以及私人公司道德問題的討論。
我們的評(píng)估認(rèn)為,未來(lái)國(guó)家行為者可能會(huì)采用烏克蘭IT軍隊(duì)的結(jié)構(gòu)和設(shè)置作為非國(guó)家參與未來(lái)沖突的藍(lán)圖(特別是對(duì)于缺乏組織有序的軍事網(wǎng)絡(luò)指揮部的國(guó)家)。同時(shí),這些眾包網(wǎng)絡(luò)軍隊(duì)可能會(huì)包含非公開的方面,進(jìn)一步復(fù)雜化它們的結(jié)構(gòu)、運(yùn)營(yíng)行為,并給網(wǎng)絡(luò)社區(qū)、學(xué)者和網(wǎng)絡(luò)戰(zhàn)分析帶來(lái)分析難度。
科技公司出現(xiàn)在沖突期間的網(wǎng)絡(luò)行動(dòng)中
在俄羅斯入侵烏克蘭期間,首次觀察到一些大型技術(shù)公司在網(wǎng)絡(luò)戰(zhàn)方面站隊(duì)并支持烏克蘭。最突出的例子是微軟公司,他們向?yàn)蹩颂m網(wǎng)絡(luò)安全官員提供支持,以應(yīng)對(duì)FoxBlade惡意軟件,并提供有關(guān)俄羅斯網(wǎng)絡(luò)行動(dòng)的意識(shí)和情報(bào)報(bào)告。微軟和AWS已被烏克蘭總統(tǒng)沃洛迪米爾·澤連斯基授予“和平獎(jiǎng)”。
這一趨勢(shì)很有趣,但也很難評(píng)估。目前,這種強(qiáng)烈傾向于沖突的一方的長(zhǎng)期后果尚不為人所知。此外,關(guān)于私營(yíng)公司在未來(lái)沖突期間的網(wǎng)絡(luò)作戰(zhàn)中的角色和責(zé)任的討論也正在興起。
虛假信息的復(fù)雜性和范圍不斷擴(kuò)大作用
多個(gè)國(guó)家支持的黑客組織已經(jīng)具備使用社交媒體平臺(tái)、搜索引擎和消息服務(wù)散布虛假信息的能力。他們的做法與傳統(tǒng)的造謠誹謗活動(dòng)不同,因?yàn)檫@些服務(wù)提供了現(xiàn)成的工具,可以測(cè)試和優(yōu)化他們的內(nèi)容,并監(jiān)測(cè)虛假信息活動(dòng)的影響和傳播。此外,機(jī)器學(xué)習(xí)(ML)、人工智能(AI)、深度偽造技術(shù)和語(yǔ)音生物識(shí)別技術(shù)的發(fā)展,為威脅行為者提供了強(qiáng)大的工具,用于創(chuàng)建誤導(dǎo)性內(nèi)容。
我們的評(píng)估是,隨著俄羅斯-烏克蘭沖突的發(fā)展,與沖突有關(guān)的信息偽造范圍將擴(kuò)大,并且會(huì)在東歐以外的地區(qū)被利用以服務(wù)于各國(guó)戰(zhàn)略目標(biāo)。最后,政府和媒體組織,在地緣政治事件期間,遭受網(wǎng)絡(luò)行動(dòng)的風(fēng)險(xiǎn)也會(huì)增加。
參考文獻(xiàn)
1.Mandiant–M-Trends2022 - https://www.mandiant.com/resources/m-trends-2022 2.Trend Micro Security Prediction for 2022 - https://www.trendmicro.com/vinfo/us/
3. CISA - Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and 'PrintNightmare' Vulnerability
4. Security Affairs - Another nation-state actor exploits Microsoft Follina to attack European and US entities、
5. CISA - Threat Actors Exploiting F5 BIG-IP CVE-2022-1388
6. CERT-EU - Threat Landscape Report 2021 Q4 - Executive Summary
