引 言
网络威胁行为者是威胁环境中不可或缺的组成部分。它们是旨在利用现有漏洞实施恶意行为、意图伤害受害者的实体。了解威胁行为者的思考方式、行动方式、动机和目标,对于更强大的网络威胁管理和事件响应至关重要。监测威胁行为者为实现其目标所使用的策略和技术的最新发展,并保持对动机和目标的长期趋势的最新了解,在当今网络安全生态系统中,对于高效的防御至关重要。
此外,了解与威胁行为者相关的趋势、动机和目标,对于规划网络安全防御和缓解策略非常有帮助。它是整体威胁评估的一个组成部分,因为它可以根据潜在影响和威胁实现的可能性来优先考虑安全控制,并制定专门的策略。如果不了解威胁行为者及其操作方式,则会在网络安全方面造成重大的知识缺口,因为在不考虑动机和目标的情况下分析威胁可能导致防御措施低效,甚至在某些情况下无法保护。
在本节中,我们探讨与威胁行为者相关的趋势。本评估并未提供报告期内所有趋势的详尽列表,而是提供在战略层面上观察到的重要趋势的高层视图。我们关注威胁行为者的动机、影响和目标。我们还评估了它们的演变。
对于 ETL 2022,我们再次考虑以下四类网络安全威胁参与者:
1、国家支持的行为者
2、网络犯罪行为人候玄鸟归
3、雇佣黑客的行为者
4、黑客活动家
潜在威胁行为者的列表非常广泛,其中包括内部人员等其他类别。重点关注以上四个威胁行为者类别,并不意味着其他威胁行为者类别的重要性较低。选择这四个威胁行为者类别的重点关注,是基于它们在2022年ETL报告期内相对突出的表现。
国家支持的行为者趋势
据公开报道,0-day漏洞和其他关键漏洞的利用程度越来越高。在2021年,漏洞利用是入侵最常见的手段,而披露的0日漏洞利用数量达到了历史最高水平,共计66个。
在报告期内,国家支持的行为者利用了许多关键漏洞,其中一些针对的是Microsoft、Pulse Secure VPN设备、Atlassian Confluence、F5 Big-IP设备、Fortinet设备和Apache的Log4j实用程序。此外,我们观察到国家支持的威胁行为者针对全球各地的小型办公室或家庭路由器,并利用这些被攻陷的基础设施进行网络攻击,同时阻碍防御者的努力。我们还观察到Sandworm的VPNFilter恶意软件被Cyclops Blink取代,以针对WatchGuard防火墙设备和ASUS路由器。
虽然0-day漏洞的话题并不新鲜,但在报告期间公开披露的0-day漏洞数量显著增加。0-day漏洞数量增加的因素包括以下几点。
国家级威胁行为者越来越多地投入资源进行0-day研究和开发利用工具。我们观察到有时这些努力还会导致政策决策,例如中国的一项新法律要求供应商向政府报告0-day漏洞。
另一个可能性是国家级威胁行为者对供应链的关注增加,通过利用一个0-day漏洞,威胁行为者可以获得对多个目标的初始访问。例如,谷歌、微软、苹果和Adobe产品都是这种0-day漏洞攻击的主要目标。
Access-as-a-Service市场已经成熟和专业化,提供漏洞研究、利用和恶意软件载荷开发等服务。
运营技术网络的风险增加
在《2021年欧盟网络和信息安全局年度报告》中,指出国家级威胁行为者会增加对关键基础设施和操作技术(OT)网络破坏的比率。在整个报告期内发现网络攻击主要是为了收集情报,以及部署新观察到的针对工业控制系统的恶意软件以及破坏。
根据公开报告,识别到有三个新的组织具有对OT网络的攻击意图,包括KOSTOVITE、PETROVITE和ERYTHRITE。通常攻击者会主动收集OT网络的信息以做他用。目前,大多数网络攻击者会预先收集信息,而非破坏。
报告还指出两种新的工控系统(ICS)恶意软件:Industroyer2 和 INCONTROLLER(也称为 PIPEDREAM57)。关于ICS 的恶意软件很少见,Industroyer2 和 INCONTROLLER 分别在恶意软件中位列第6和第7名,前面有 Stuxnet、Havex、BlackEnergy2、CrashOverride 或 Industroyer 和 Trisis 以及 Triton 之后出现的。在分析针对乌克兰一家能源公司的攻击时检测到了Industroyer2,其目的是在俄罗斯乌克兰危机期间切断乌克兰某个地区的电力。这次攻击的发起者被评估为由国家支持的威胁团体 Sandworm。INCONTROLLER非常可能是由国家赞助开发的恶意软件,专注于破坏、侵入。
由此评估认为,国家支持的威胁行为者将加强对OT网络的侦察、入侵能力,特别是在武装冲突时期。同时,他们将投入更多资源开发可扩展的ICS恶意软件框架,扩大攻击面。
破坏性攻击在国家间日渐突出
在俄乌冲突期间,网络攻击出现在军事行动中。这些网络攻击主要使用擦除攻击,破坏和干扰政府机构和关键基础设施实体的网络。攻击者不仅破坏了被攻击实体的功能,同时也破坏了公众对国家领导层的信任、传播FUD(恐惧、不确定性和怀疑)和促进虚假信息行动。
截至目前,有九个由国家支持的威胁行为人部署了擦除型恶意软件,其中包括WhisperGate或WhisperKill、Hermetic Wiper、CaddyWiper、DesertBlade、AcidRain、Industroyer2、IsaacWiper和DoubleZero。这些攻击不仅数量众多,而且攻击的频率较高。微软公司在2022年2月23日至4月8日期间报告称,在针对乌克兰数十个组织的数百个系统中,发现了离散的破坏性攻击。
卫星通信领域也出现了定向攻击,其中包括擦除病毒AcidRain。包括欧盟、美国、英国等在内的多个国家,指责俄罗斯使用此病毒侵入了商业卫星通信公司Viasat,并且乌克兰受到影响尤为明显,以致该公司的卫星调制解调器发生故障。此外,这次攻击还波及了中欧地区,导致风力发电厂受到干扰,同时影响了卫星互联网。
根据评估,随着冲突的继续,除乌克兰外,其他相关国家也会受到波及。西方国家或北约盟友的关键基础设施机构,也可能成为报复性行动的目标。一些亲俄网络勒索软件组织可能会针对西方组织进行破坏性行动,网络安全和国际关系方面的紧张局势将继续引发全球关注。
公开署名和法律行动仍在继续
去年在ETL 2021中,我们强调了政府应加强对国家级威胁行为者的打击、强烈谴责并且要采取法律限制。
在报告期间,出现了许多涉及国家级威胁行为者的重大事件,比如:
乌克兰安全局(SBU)起诉了Gamaredon组织的三名运营人员。
两名伊朗人被指控进行与2020年美国总统选举相关的网络活动和影响操作。
加州大学伯克利分校人权中心向荷兰海牙的国际刑事法院正式提交请求,指控威胁组织Sandworm在2015、2016年关闭乌克兰电力系统,犯下战争罪。
欧盟和美国的盟友正式将针对商业卫星公司Viasat的网络攻击归咎于俄罗斯。欧盟和成员国强烈谴责针对乌克兰的网络攻击以及针对欧盟几个成员国的分布式拒绝服务(DDoS)攻击。
欧盟司法部长发布了国家级组织APT28的黑客的逮捕令。此攻击者曾在2017年对北约智库进行网络间谍活动。
在报告看来,随着网络行动逐渐受政府重视,陆续会出现更多网络攻击、干扰对手基础设施和起诉黑客嫌疑人的指控。
然而,目前仍不清楚这些行动在长期内能否遏制。例如,美国司法部控告了7名APT41的操作员并在2020年9月7日查获了该组织的部分基础设施,但该组织于2021年末至2022年中继续了其活动。这个例子表明,对一个威胁组织的参与者进行控告可能对阻止整个组织行动没有影响,因此鼓励进一步的遏制措施。
国家支持的威胁者越来越关注供应链的
在2021年,供应链攻击占所有入侵事件的17%(或根据其他来源,高达62%100),而在2020年仅占不到1%。自从在2020年12月揭示了SolarWinds供应链攻击事件以来,国家支持的威胁行动者意识到了其潜力,并越来越多地针对第三方进行攻击,以向其客户拓展其向下游的网络攻击行动。
云服务提供商(CSPs)、托管服务提供商(MSPs)和IT服务组织是威胁行为者利用信任关系进行恶意操作的主要目标。NOBELIUM活动组一直在针对服务提供商及其下游客户进行攻击。与此同时,威胁行为者还针对40多家IT服务公司(主要位于印度)进行攻击,以获取他们客户的网络访问权限。
根据我们的评估,国家支持的威胁行为者肯定会进一步发展他们的工具集,以攻击和破坏供应链,作为间接向量来实现他们的目标。软件供应链攻击(例如开源软件开发库、流行的软件包、软件平台的妥协等)很可能会被有资金支持的国家支持的组织利用,以在数百个受害者的网络中获得立足之地。
地缘政治继续影响网络行动破坏
正如在ETL 2021中提到的那样,地缘政治是通过网络行动收集情报的关键驱动因素之一。随着地缘政治紧张局势的加剧,网络攻击的目标数量也在不断增加。
公开报告显示,由于持续的武装冲突,一些国家级恶意组织对乌克兰实体进行了多次网络攻击。这些威胁组织的重点是进行访问操作并收集情报,为军事部队提供战术或战略优势。此外,一些国家级威胁行动针对了支持乌克兰的128个政府组织,这些组织分布在42个国家中(主要包括美国、欧盟、波兰、与俄罗斯接壤的国家和北约成员国)。
安全研究人员认为,国家级威胁组织的目标很可能与一个国家的长期计划存在直接联系。据报道,一些威胁行动在冲突早期就瞄准了乌克兰和俄罗斯的实体,可能是为了收集情报。此外,据报道,随着各国之间紧张局势的升级,威胁行为者已经将中东地区的实体作为目标。这些行为者广泛采用勒索软件锁定和泄漏信息,他们主要针对以色列和美国的组织,以及中东和北非地区的组织。中东地区这些国家之间的网络行动已经达到了影响平民的程度。
据报道,威胁行动人员强烈关注收集外交和地缘政治情报,可能是由于对其国家受到的制裁要求的驱动。在这种特定情况下,其行动的另一个主要动因是通过加密货币盗窃获得金融资源。
由于国际形势不稳定,预计在短期到中期内会观察到更多以地缘政治为驱动的网络行动。像中东、地中海东部、北极地区、波罗的海、阿富汗、也门、叙利亚和利比亚等地区的地缘政治形势可能会出现破坏性的网络攻击。需要澄清的是,由乌克兰地缘政治形势引发的网络行动与欧盟有更大的相关性和联系。
在报告期内,还观察到了与越来越多国家有联系的威胁组织进行的网络攻击活动,这些国家包括越南、土耳其、巴基斯坦、印度、乌克兰、白俄罗斯等。我们预计,在紧张局势或冲突加剧的时期,越来越多的国家将利用其网络能力进行情报收集。
网络破坏自觉成军
乌克兰武装冲突动员了许多骇客、网络犯罪和国家级别的组织。乌克兰IT军队的案例是一个独特的、难以分类的案例;它既可以被认为是由志愿者组成的骇客组织,也可以被认为是由政府支持的组织或者是混合型组织。截至撰写本文时,网络安全界尚未达成共识。乌克兰IT军队肯定会为未来的网络战争研究学者提供素材,并可能突显未来冲突的趋势。
2022年2月26日,乌克兰副总理兼数字转型部长宣布创建乌克兰的IT军队。这一宣布号召志愿者通过Telegram频道(该频道有30万订阅者)协调其在网络战线上的行动。乌克兰IT军队成功地攻击了各种实体,并进行了大多数协调的分布式拒绝服务(DDoS)攻击,但并不仅限于此类攻击。
在俄罗斯入侵乌克兰的时候,乌克兰没有军事网络指挥部。出于必要性,乌克兰根据爱沙尼亚网络防御联盟的模式创建了一个混合实体,由乌克兰和国际民间人员、私人公司以及乌克兰国防和军事人员组成,因此很难对其进行分类。它既不是民用的、军事的、公共的、私人的、本地的或国际的实体。此外,它还引发了有关网络空间国际法、国家网络规范、针对民用基础设施的问题以及私人公司道德问题的讨论。
我们的评估认为,未来国家行为者可能会采用乌克兰IT军队的结构和设置作为非国家参与未来冲突的蓝图(特别是对于缺乏组织有序的军事网络指挥部的国家)。同时,这些众包网络军队可能会包含非公开的方面,进一步复杂化它们的结构、运营行为,并给网络社区、学者和网络战分析带来分析难度。
科技公司出现在冲突期间的网络行动中
在俄罗斯入侵乌克兰期间,首次观察到一些大型技术公司在网络战方面站队并支持乌克兰。最突出的例子是微软公司,他们向乌克兰网络安全官员提供支持,以应对FoxBlade恶意软件,并提供有关俄罗斯网络行动的意识和情报报告。微软和AWS已被乌克兰总统沃洛迪米尔·泽连斯基授予“和平奖”。
这一趋势很有趣,但也很难评估。目前,这种强烈倾向于冲突的一方的长期后果尚不为人所知。此外,关于私营公司在未来冲突期间的网络作战中的角色和责任的讨论也正在兴起。
虚假信息的复杂性和范围不断扩大作用
多个国家支持的黑客组织已经具备使用社交媒体平台、搜索引擎和消息服务散布虚假信息的能力。他们的做法与传统的造谣诽谤活动不同,因为这些服务提供了现成的工具,可以测试和优化他们的内容,并监测虚假信息活动的影响和传播。此外,机器学习(ML)、人工智能(AI)、深度伪造技术和语音生物识别技术的发展,为威胁行为者提供了强大的工具,用于创建误导性内容。
我们的评估是,随着俄罗斯-乌克兰冲突的发展,与冲突有关的信息伪造范围将扩大,并且会在东欧以外的地区被利用以服务于各国战略目标。最后,政府和媒体组织,在地缘政治事件期间,遭受网络行动的风险也会增加。
参考文献
1.Mandiant–M-Trends2022 - https://www.mandiant.com/resources/m-trends-2022 2.Trend Micro Security Prediction for 2022 - https://www.trendmicro.com/vinfo/us/
3. CISA - Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and 'PrintNightmare' Vulnerability
4. Security Affairs - Another nation-state actor exploits Microsoft Follina to attack European and US entities、
5. CISA - Threat Actors Exploiting F5 BIG-IP CVE-2022-1388
6. CERT-EU - Threat Landscape Report 2021 Q4 - Executive Summary