俄烏沖突背后的網(wǎng)絡(luò)暗戰(zhàn)：APT組織是什么？破壞力有多驚人？

每日經(jīng)濟新聞 2022-03-10 16:26:25

每經(jīng)記者｜朱成祥每經(jīng)編輯｜梁梟

俄烏沖突引發(fā)全世界關(guān)注。雙方在戰(zhàn)場上交火的同時，沒有硝煙的網(wǎng)絡(luò)對抗也早已開始，不同利益方的黑客組織、APT組織進入公眾視野。

2月25日，新華社報道稱，國際黑客團體“匿名者”于2月24日針對俄羅斯在烏克蘭的軍事行動對俄發(fā)起“網(wǎng)絡(luò)戰(zhàn)爭”，并承認攻擊了今日俄羅斯電視臺網(wǎng)站。

據(jù)環(huán)球時報引述英國獨立報報道，在俄羅斯在烏克蘭采取特別軍事行動之際，俄克里姆林宮網(wǎng)站出現(xiàn)故障。

較黑客更嚴密，APT組織是什么？

俄烏沖突之外，當下最炙手可熱的半導(dǎo)體設(shè)計公司英偉達也被黑客組織盯上了。

2月26日上午，有相關(guān)報道稱，網(wǎng)絡(luò)攻擊使得英偉達部分業(yè)務(wù)至少中斷兩天。因為被網(wǎng)絡(luò)惡意入侵后的應(yīng)對與遏制措施，英偉達內(nèi)部的電郵系統(tǒng)與開發(fā)工具在此期間不能使用。

隨即，2月26日下午，新興的網(wǎng)絡(luò)勒索組織Lapsus$在自己的社交軟件頻道組里宣布，成功突破英偉達的網(wǎng)絡(luò)防火墻，竊取到了近1TB數(shù)據(jù)。這是一家南美的黑客組織，曾對巴西郵政、葡萄牙最大的電視臺和報紙媒體Impresa進行攻擊。

沒想到英偉達很快反擊，2月27日，Lapsus$突然宣稱，英偉達竟然把自己用來黑英偉達的電腦給黑了。

說起網(wǎng)絡(luò)對抗，必須提及APT組織。對俄發(fā)起網(wǎng)絡(luò)攻擊的黑客組織“匿名者”，嚴格意義上來說，不算APT組織，因為其沒有APT組織那么深入長期。

所謂的APT攻擊，也叫作高級可持續(xù)威脅攻擊，相對于普通的黑客攻擊工具，針對性、攻擊復(fù)雜程度更高，往往具有持續(xù)性，且隱蔽性更強。而APT組織，其目的主要是以獲取政治、經(jīng)濟利益為出發(fā)點，竊取目標的核心資料，或者破壞對方關(guān)鍵基礎(chǔ)設(shè)施。

也就是說，APT攻擊的影響不僅僅局限在虛擬的網(wǎng)絡(luò)世界，物理世界也會受到影響。

比如2021年2月發(fā)生的美國佛羅里達州水廠投毒事件，佛羅里達州Oldsmar水處理廠成為黑客網(wǎng)絡(luò)攻擊的目標，攻擊者試圖采用技術(shù)手段對供水給該地區(qū)15000人的供水系統(tǒng)投毒。攻擊者遠程訪問了奧爾茲馬水廠的系統(tǒng)，并試圖將氫氧化鈉的含量提高到足以使公眾面臨中毒風險的程度。幸好被工作人員及時監(jiān)測到系統(tǒng)異常，并立即修正，從而制止了災(zāi)難的發(fā)生。

與普通的黑客組織相比，APT組織技術(shù)能力更強，一些APT組織的技術(shù)能力可以說是領(lǐng)先世界的，其組織嚴密性相較于普通黑客群體更加嚴謹，很多APT組織都有國家背景。攻擊目的方面，有國家背景的APT組織往往以國家利益為主導(dǎo)發(fā)起攻擊，也有以經(jīng)濟利益為主導(dǎo)的APT組織。而普通黑客群體，往往以商業(yè)利益、經(jīng)濟利益為主。

那么，哪些行業(yè)受APT攻擊影響較大呢？安恒信息發(fā)布的《2021高級威脅態(tài)勢研究報告》顯示，2021年，政府、國防、金融、航空、醫(yī)療衛(wèi)生部門受APT攻擊比例分別為15.52%、6.16%、5.91%、4.43%和3.69%，排名靠前。

步步驚心：APT攻擊方式層出不窮

記者了解到，目前APT攻擊方式有水坑攻擊、網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚、零日（0day）攻擊、社會工程學(xué)攻擊等。比如0day攻擊就是利用還沒有打補丁的漏洞發(fā)起攻擊，而社會工程學(xué)攻擊則是利用人性的弱點進行攻擊，主要運用欺騙和偽裝，通過突破受害者的心理防線，利用受害者的好奇心、信任關(guān)系、心理弱點等進行攻擊。

較為常見的手段中，如偽裝為來自合作伙伴的郵件，郵件內(nèi)容及附件被精心設(shè)計，如果受害者被內(nèi)容欺騙，而點擊運行了精心制作的附件文件，那么此時受害者電腦很有可能就失陷了。

業(yè)內(nèi)較為聞名的烏克蘭斷電事件，便是社會工程學(xué)攻擊的典型案例。2015年12月，攻擊者首先通過主題為“烏克蘭總統(tǒng)對部分動員令”的釣魚郵件進行投遞，受害者因好奇心點擊并啟動BlackEnergy（一種用于創(chuàng)建僵尸網(wǎng)絡(luò)，進行DDoS攻擊的惡意軟件）的惡意宏文檔。之后，BlackEnergy在獲取了相關(guān)憑證后，便開始進行網(wǎng)絡(luò)資產(chǎn)探測，橫向移動，并最終獲得了系統(tǒng)的控制能力。

此次攻擊造成烏克蘭首都基輔部分地區(qū)和烏克蘭西部的140萬名居民遭遇了一次長達數(shù)小時的大規(guī)模停電，至少三個電力區(qū)域被攻擊。

另外，拉撒路（Lazarus）組織使用推特等社交媒體針對不同公司和組織從事漏洞研究和開發(fā)的安全研究人員的持續(xù)滲透活動，攻擊者在推特等社交媒體上建立了一系列社交賬號，這些賬號會發(fā)布一些安全相關(guān)動態(tài)，同時會互相評論轉(zhuǎn)發(fā)以擴大影響。

在有一定的影響力后，攻擊者會主動尋找安全研究人員交流，詢問安全研究人員的研究領(lǐng)域及興趣范疇。在確定安全研究人員的研究領(lǐng)域后，如果存在重疊，攻擊者會以學(xué)習(xí)交流為誘因向研究人員發(fā)送poc、exp等工程文件。整個過程感覺十分真實，偽裝內(nèi)容非常貼合受害者的工作內(nèi)容，所以極有可能一不留意落入圈套。

如何防護APT攻擊？

Lazarus組織是2021年全球APT攻擊數(shù)量最多的APT組織。根據(jù)安恒信息發(fā)布的《2021高級威脅態(tài)勢研究報告》，Lazarus組織、Kimsuky組織以及APT29組織的攻擊數(shù)量位列前三，這幾個組織的攻擊受地緣政治因素影響，體現(xiàn)出高度針對性和復(fù)雜性。

對于Lazarus等APT組織在社交媒體上慣用的社會工程學(xué)攻擊，我們應(yīng)該如何應(yīng)對呢？

首先，作為個人應(yīng)當時刻保持警惕，不輕易打開郵件附件，不隨意點擊未知鏈接，對不熟悉的社交對象保持警惕，時刻注重個人隱私，不隨意將一些重要的個人信息發(fā)布到社交媒體上，在一些需要填寫真實信息內(nèi)容的地方需要謹慎確認。

企業(yè)、機構(gòu)方面，也要及時培訓(xùn)相關(guān)的網(wǎng)絡(luò)安全意識，以及對一些網(wǎng)絡(luò)安全相關(guān)技術(shù)的了解，讓企業(yè)員工能夠更好地理解和預(yù)防。

針對APT組織的攻擊，企業(yè)、政府機構(gòu)并不能百分之百發(fā)現(xiàn)和防御，只能盡可能地完善防御體系。具體措施包括需要定期對設(shè)施進行補丁升級及安全測試，盡可能減少弱點；在攻擊面的各個環(huán)節(jié)部署監(jiān)測設(shè)備，并建立立體化的縱深防御體系，及時掌握威脅情報，提前做出預(yù)防和決策。

值得一提的是，2021年也涌現(xiàn)出大量針對ios和Android操作系統(tǒng)的新型移動設(shè)備惡意軟件，灰黑產(chǎn)網(wǎng)絡(luò)犯罪分子很容易通過銀行木馬等移動惡意軟件獲利，APT組織也可以在受害目標的移動設(shè)備上安裝間諜軟件、鍵盤記錄器等，從而監(jiān)控和竊取受害者的信息。因此，今年針對移動設(shè)備的攻擊顯著增加，且攻擊手法更加復(fù)雜。

那么，APT攻擊會對普通人的手機帶來哪些危害呢？這些組織是否會以手機作為入口，侵入公司、機構(gòu)內(nèi)部網(wǎng)絡(luò)，從而竊取機密信息、癱瘓網(wǎng)絡(luò)等？

對此，安恒信息一業(yè)內(nèi)人士表示：“普通大眾一般來說不太會成為APT攻擊的對象，APT攻擊的目標往往具有針對性，比如某某重點機構(gòu)的人員、某某科技公司的人員、某軍工單位的人員等?！?/span>

另外，“一般來說，APT組織攻擊手機端，以手機作為入口侵入公司、機構(gòu)內(nèi)部網(wǎng)絡(luò)等情況具有一定的操作復(fù)雜性，雖然并不常見，但也并不是不可能?！鄙鲜鰳I(yè)內(nèi)人士補充道。

據(jù)安恒信息發(fā)布的《2021高級威脅態(tài)勢研究報告》預(yù)測，隨著新冠疫情持續(xù)，醫(yī)療行業(yè)信息化迅速發(fā)展，但一些國家的數(shù)字化醫(yī)療系統(tǒng)尚不完善，因此成為攻擊的重災(zāi)區(qū)。因此，醫(yī)學(xué)研究將持續(xù)成為威脅攻擊者的目標。

除此之外，ICS（工業(yè)控制系統(tǒng)）工業(yè)環(huán)境面臨的威脅將持續(xù)增長。比如，發(fā)生在2021年上半年的Colonial管道公司攻擊事件充分體現(xiàn)出ICS環(huán)境存在的安全風險。需要注意的是，ICS是關(guān)鍵基礎(chǔ)設(shè)施的核心，一旦遭到攻擊，國家的正常運轉(zhuǎn)將受到嚴重影響。由于ICS環(huán)境缺乏健全的網(wǎng)絡(luò)防護方案，因此容易成為攻擊者入侵的目標，針對工業(yè)控制系統(tǒng)的攻擊將持續(xù)增加。

行業(yè)數(shù)據(jù)概覽

統(tǒng)計數(shù)據(jù)顯示，2022年1月境內(nèi)計算機惡意程序傳播次數(shù)達到2.2億次之多，2月較1月小幅上漲約1.43%。2月每周的境內(nèi)計算機惡意傳播次數(shù)呈上漲趨勢，第4周最高，達到7211.9萬。境內(nèi)感染計算機惡意程序主機數(shù)量來看，1月數(shù)據(jù)為558.5萬，2月達到603.6萬，環(huán)比上漲8.08%。惡意程序會損壞文件、造成系統(tǒng)異常、竊取數(shù)據(jù)等，對計算機傷害很大，一定要高度重視。

從境內(nèi)被植入后門網(wǎng)站總數(shù)來看，2月1792個，較1月2130個下降18.86%，其中政府網(wǎng)站數(shù)量2月13個，較1月2個上漲明顯，政府類還是網(wǎng)絡(luò)攻擊首選。

從仿冒網(wǎng)站、漏洞數(shù)量來看，2月較1月都有明顯下降。其中，仿冒網(wǎng)站從1月的460個到2月的355個，仿冒網(wǎng)站數(shù)量下降也歸功于全國反詐工作較為成功。而漏洞數(shù)量從1月的2045個到2月的1685個，環(huán)比下降21.36%，其中高危漏洞也有明顯減少。針對安全漏洞問題，一定要在正規(guī)途徑下載應(yīng)用，并即時更新，不可心存僥幸。

數(shù)據(jù)解碼APT攻擊：政府部門受影響最大

根據(jù)安恒獵影實驗室的監(jiān)測情況，2021年發(fā)生了約201起APT攻擊事件。2021年APT組織活動主要集中在南亞和中東，其次是東亞地區(qū)，東南亞地區(qū)的APT組織攻擊有所放緩。

2021年的APT攻擊事件組織分布統(tǒng)計如下圖：

從攻擊事件所屬國家分布來看，出現(xiàn)了一些新的受害國家，例如阿富汗、哥倫比亞、格魯吉亞、拉脫維亞等。這可能表示APT組織正嘗試擴大其活動范圍。

2021年APT攻擊受害國家分布圖如下：

從行業(yè)分布來看，政府部門仍是其主要的針對目標，其次是國防、金融、航空，以及醫(yī)療衛(wèi)生部門。

2021年APT攻擊受害行業(yè)分布圖如下：

另外，據(jù)安恒獵影實驗室統(tǒng)計，截至2021年11月，全年一共披露主流廠商的在野0-day漏洞58個。其中CVE-2021-1732和CVE-2021-33739兩個在野0-day漏洞由安恒獵影實驗室捕獲并披露。

什么是0-day漏洞？0-day漏洞，又稱“零日漏洞”（zero-day），是已經(jīng)被發(fā)現(xiàn)（有可能未被公開），而官方還沒有相關(guān)補丁的漏洞。除了發(fā)現(xiàn)者還沒有其他人知道這個漏洞的存在。一旦被攻擊者發(fā)現(xiàn)并加以有效利用，將會造成巨大的破壞。

安恒獵影實驗室梳理了2021年在野0-day漏洞和具體使用它們的APT組織關(guān)聯(lián)情況，如下：