【環(huán)球時(shí)報(bào)-環(huán)球網(wǎng)報(bào)道 記者郭媛丹】一份25日由中國(guó)網(wǎng)絡(luò)安全企業(yè)發(fā)布的2023年度網(wǎng)絡(luò)安全報(bào)告顯示,2023年全球高級(jí)持續(xù)性威脅(APT)活動(dòng)依然非常嚴(yán)峻,全球APT組織主要分布于美國(guó)、印度等國(guó)家和地區(qū),美國(guó)依然是世界網(wǎng)絡(luò)安全的主要威脅。
《環(huán)球時(shí)報(bào)》記者在這份由中國(guó)網(wǎng)絡(luò)安全企業(yè)安天發(fā)布的年度報(bào)告中看到:2023年APT活動(dòng)整體形勢(shì)依然非常嚴(yán)峻。安天梳理了2023年全球APT組織及行動(dòng)的分布和活躍情況,其中APT組織共556個(gè),而代表最高攻擊水平的A2PT攻擊組織全部分布在美國(guó)。其他對(duì)我國(guó)和周邊國(guó)家地區(qū)有較高威脅的攻擊組織來(lái)自印度等國(guó)家和我國(guó)臺(tái)灣地區(qū)。
A2PT是高級(jí)的高級(jí)可持續(xù)性威脅,是中國(guó)網(wǎng)絡(luò)安全從業(yè)者在分析超高能力國(guó)家/地區(qū)威脅行為體的攻擊活動(dòng)中提出的技術(shù)概念。以美國(guó)情報(bào)機(jī)構(gòu)NSA、CIA等為背景的“方程式”等攻擊組織依托成建制的網(wǎng)絡(luò)攻擊團(tuán)隊(duì)、龐大的支撐工程體系與制式化的攻擊裝備庫(kù)、強(qiáng)大的漏洞采購(gòu)和分析挖掘能力,對(duì)全球關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)、關(guān)鍵人員等進(jìn)行攻擊滲透,并在五眼聯(lián)盟成員國(guó)內(nèi)部進(jìn)行所謂的情報(bào)共享,對(duì)世界各國(guó)網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。
安天技術(shù)委員會(huì)副主任李柏松對(duì)《環(huán)球時(shí)報(bào)》介紹,美方不僅入侵各國(guó)重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施,還入侵重要人員的個(gè)人通信設(shè)備。以入侵他國(guó)關(guān)鍵人員的蘋果手機(jī)為例,美方既有基于imessage、Facetime等服務(wù)投放的攻擊模式,也有利用其構(gòu)建的“量子系統(tǒng)”,在人員通過(guò)手機(jī)訪問(wèn)網(wǎng)站內(nèi)容或使用APP網(wǎng)絡(luò)服務(wù),插入臨時(shí)攻擊流量進(jìn)行投放。
報(bào)告顯示,美方還和其他五眼聯(lián)盟國(guó)家分享其竊取的數(shù)據(jù)情報(bào),并對(duì)中國(guó)周邊國(guó)家和地區(qū)對(duì)我國(guó)的攻擊行動(dòng)進(jìn)行賦能指導(dǎo)。同時(shí),由于美方自身攻擊能力和手段不斷升級(jí),加之其情報(bào)機(jī)構(gòu)的“破窗效應(yīng)”,又多次發(fā)生攻擊武器泄露事件,形成了對(duì)其他攻擊組織的示范作用。此外,美方長(zhǎng)期縱容Cobalt Strike攻擊平臺(tái)等商用軍火不受控?cái)U(kuò)散,該平臺(tái)被“海蓮花”“X象”等全球多個(gè)APT攻擊組織在針對(duì)我國(guó)的攻擊中采用,嚴(yán)重威脅我方安全。
李柏松表示,2023年到2024年初,也有一些A2PT組織的歷史攻擊活動(dòng)的細(xì)節(jié)被進(jìn)一步曝光,例如美國(guó)情報(bào)機(jī)構(gòu)買通荷蘭工程師,在赴伊朗進(jìn)行工業(yè)系統(tǒng)安裝維護(hù)過(guò)程中,向伊朗投放震網(wǎng)病毒。“美方針對(duì)他國(guó)有物理隔離手段的高價(jià)值防護(hù)目標(biāo)時(shí),往往采用人力、電磁等手段對(duì)網(wǎng)絡(luò)攻擊進(jìn)行輔助,通過(guò)外設(shè)植入、近場(chǎng)遙控、數(shù)據(jù)無(wú)線回傳等方式輔助高級(jí)木馬完成隱蔽植入、長(zhǎng)期竊密,有鮮明的跨域混合作業(yè)特點(diǎn)。”
定向勒索攻擊頻繁發(fā)生,重點(diǎn)針對(duì)航空航天工業(yè)
報(bào)告表明,在網(wǎng)絡(luò)威脅活動(dòng)中,定向勒索攻擊已經(jīng)成為政企機(jī)構(gòu)的噩夢(mèng)。當(dāng)前定向勒索攻擊已經(jīng)不是通過(guò)傳播擴(kuò)散勒索病毒感染企業(yè)和個(gè)人目標(biāo),而是通過(guò)與APT高度近似的定向滲透,再實(shí)施數(shù)據(jù)竊取、數(shù)據(jù)加密、毀癱系統(tǒng)等攻擊活動(dòng),以此要挾受害者,迫使其支付贖金。同時(shí)有一些傳統(tǒng)勒索組織演進(jìn)成RaaS(勒索即服務(wù))供應(yīng)商,其將定制勒索和竊密木馬、使用支付通道作為一種服務(wù),提供給定向攻擊者,收取贖金分賬。
2023年,大型企業(yè)頻繁成為定向勒索攻擊的目標(biāo),如英國(guó)皇家郵政、日本名古屋港口和波音公司等都面臨了不同程度的威脅。定向攻擊者通過(guò)深入的目標(biāo)分析和偵察,有選擇性地攻擊關(guān)鍵的系統(tǒng)、數(shù)據(jù)或信息,取得網(wǎng)管服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、重要資產(chǎn)業(yè)務(wù)服務(wù)器的控制權(quán)。攻擊者不僅竊取和加密毀癱瘓數(shù)據(jù),并要挾受害者,不繳納贖金不僅無(wú)法恢復(fù)數(shù)據(jù),而且失竊的數(shù)據(jù)會(huì)被販賣曝光;迫使受害者在支付高昂贖金或面臨業(yè)務(wù)癱瘓和數(shù)據(jù)資產(chǎn)的更大損失之間做出抉擇。
值得注意的是,2023年的定向勒索攻擊目標(biāo)日益多元化,特別是對(duì)航空航天工業(yè)的攻擊逐漸增多。GhostSec勒索攻擊組織成員于3月14日宣布對(duì)全球?qū)Ш叫l(wèi)星系統(tǒng)(GNSS)接收器發(fā)動(dòng)攻擊,凸顯了他們對(duì)航空導(dǎo)航領(lǐng)域的濃厚興趣。LockBit攻擊組織于10月27日在其Tor平臺(tái)上將波音公司列為受害者,而日本航空電子工業(yè)株式會(huì)社(JAE)在11月2日遭受勒索攻擊,此次事件由BlackCat勒索攻擊組織負(fù)責(zé)。此外,11月27日,LockBit勒索攻擊組織將印度國(guó)有航空航天研究實(shí)驗(yàn)室列為受害者,進(jìn)一步顯示勒索攻擊者對(duì)航空航天工業(yè)的滲透。
李柏松認(rèn)為,當(dāng)前我國(guó)航空航天工業(yè)迅猛發(fā)展,特別是民用無(wú)人機(jī)、民用航天都發(fā)展迅速,對(duì)此,相關(guān)部門和企業(yè)必須加強(qiáng)防范,切實(shí)保障科技資產(chǎn)、業(yè)務(wù)資產(chǎn)和數(shù)據(jù)資產(chǎn)安全。
地緣政治動(dòng)蕩下的“網(wǎng)絡(luò)戰(zhàn)場(chǎng)”
報(bào)告表明,鑒于2023年世界地緣政治局勢(shì)動(dòng)蕩,尤其是在巴以沖突和俄烏沖突中,各國(guó)情報(bào)機(jī)構(gòu)和帶有不同政治傾向的民間黑客組織的深度介入,使其在外圍形成了“網(wǎng)絡(luò)戰(zhàn)場(chǎng)”,將竊取數(shù)據(jù)、曝光數(shù)據(jù)、毀癱系統(tǒng)、認(rèn)知干擾等作業(yè)方式進(jìn)行組合,形成對(duì)地區(qū)或國(guó)際局勢(shì)的連鎖影響。
“網(wǎng)絡(luò)空間是一個(gè)持續(xù)性對(duì)抗領(lǐng)域,沒(méi)有嚴(yán)格的平時(shí)和戰(zhàn)時(shí);但地緣安全沖突會(huì)帶來(lái)局部對(duì)抗烈度的急劇增加,對(duì)抗活動(dòng)呈現(xiàn)行為高度復(fù)雜、多元的特點(diǎn)。”李柏松表示,在地緣沖突的背景下,帶有不同傾向民間黑客組織或個(gè)體攻擊者的紛繁下場(chǎng),對(duì)竊取的數(shù)據(jù)進(jìn)行曝光,內(nèi)部人員也會(huì)主動(dòng)泄露各種數(shù)據(jù)。
比如2023年4月份,美國(guó)國(guó)防部涉俄烏沖突的機(jī)密文件被泄露直接影響了俄烏沖突的走向。在此次泄密事件中,其他文件情報(bào)的泄露集中在中東以及印度洋與太平洋地區(qū)的國(guó)防和安全問(wèn)題上,暴露了美國(guó)對(duì)韓國(guó)、以色列、烏克蘭等盟友進(jìn)行監(jiān)聽(tīng)的“間諜活動(dòng)”。此次泄密事件被稱為自2013年“棱鏡門”事件以來(lái)美國(guó)最大的泄密事件。
報(bào)告也分析了俄烏沖突與巴以沖突背景下攻擊活動(dòng)的差異。與俄烏沖突下的網(wǎng)絡(luò)戰(zhàn)以“國(guó)家行為體的攻擊活動(dòng)為主角、民間黑客組織站隊(duì)跟進(jìn)”不同,在巴以沖突中,由于哈馬斯本身沒(méi)有技術(shù)力量,主要是支持巴勒斯坦的各民間組織實(shí)施相關(guān)攻擊行為,也因此兩者對(duì)戰(zhàn)爭(zhēng)進(jìn)程影響程度也大為不同。
李柏松認(rèn)為,從整體來(lái)看,包括伊朗、以色列等國(guó)在內(nèi)的網(wǎng)絡(luò)攻擊活動(dòng)不斷,例如2023年12月18日伊朗加油站疑似遭到以色列黑客網(wǎng)絡(luò)攻擊。隨著全球地緣安全形勢(shì)的進(jìn)一步緊張與惡化,越來(lái)越多的黑客行動(dòng)主義將在網(wǎng)絡(luò)空間對(duì)關(guān)鍵基礎(chǔ)設(shè)施帶來(lái)威脅,影響牽動(dòng)各國(guó)敏感神經(jīng),嚴(yán)重影響相關(guān)國(guó)家、政企機(jī)構(gòu)和個(gè)人的安全。
關(guān)鍵基礎(chǔ)設(shè)施成網(wǎng)絡(luò)攻擊重點(diǎn)目標(biāo)
報(bào)告顯示,在日益加劇的全球威脅背景下,關(guān)鍵基礎(chǔ)設(shè)施也面臨著來(lái)自多方面的網(wǎng)絡(luò)攻擊威脅,成為網(wǎng)絡(luò)攻擊重點(diǎn)目標(biāo)。
攻擊者通過(guò)對(duì)此類設(shè)施發(fā)起攻擊,掌握系統(tǒng)控制能力,持續(xù)進(jìn)行信息竊取,并可制造電力、網(wǎng)絡(luò)、醫(yī)療等系統(tǒng)的大規(guī)模癱瘓,嚴(yán)重影響社會(huì)的正常運(yùn)轉(zhuǎn)。例如,2023年12月,意大利云服務(wù)提供商Westpole遭受Lockbit3.0勒索軟件攻擊,造成了多達(dá)540個(gè)城市的1300多個(gè)公共管理部門服務(wù)癱瘓,一些城市被迫恢復(fù)人工操作以提供服務(wù)。
此外,關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字化轉(zhuǎn)型也增加了其遭受攻擊的風(fēng)險(xiǎn)。許多組織在防御縱深構(gòu)建、暴露面管理、遠(yuǎn)程訪問(wèn)管理、主機(jī)系統(tǒng)安全、漏洞響應(yīng)以及員工安全意識(shí)等高優(yōu)先級(jí)領(lǐng)域存在防范短板,這些皆可以被攻擊者利用。
李柏松表示,“在復(fù)雜多變的國(guó)際局勢(shì)下,我國(guó)關(guān)鍵基礎(chǔ)設(shè)施面臨的風(fēng)險(xiǎn)嚴(yán)峻升級(jí),需要做好迎接風(fēng)高浪急甚至驚濤駭浪的準(zhǔn)備”。
熱線電話:0551-62620110
舉報(bào)電話:0551-64376913
舉報(bào)郵箱:3598612204@qq.com