数字经济的安全基石

首页 > 安恒动态 > 资讯中心 > 正文

网络暗战中,APT组织是何种存在?

阅读量:


2022年的这个春天,这边俄乌网络战打得激烈,那边最炽手可热的半导体设计公司英伟达也被黑客组织盯上。
2月26日上午有报道称,网络攻击使得英伟达部分业务至少中断两天。因为被网络恶意入侵后的应对与遏制措施,英伟达内部的电邮系统与开发工具在此期间不能使用。
当日下午,新兴网络勒索组织Lapsus$(这是一家南美的黑客组织,曾对巴西邮政、葡萄牙最大的电视台和报纸媒体Impresa进行攻击。)在其社交软件频道组里宣布,成功突破英伟达的网络防火墙,窃取到近1TB数据。
英伟达并非吃素,很快反击。2月27日,Lapsus$突然宣称,自己用来黑英伟达的电脑被英伟达给黑了。据 Videocardz 称,英伟达试图通过加密被盗数据来黑掉该组织,但是该组织已在虚拟机环境中制作了副本,这意味着英伟达的反击措施没有成功。网络对抗你来我往,此消彼长,道高一尺,魔高一丈。

 

黑客组织的升级版——APT组织

谈及网络对抗,必然绕不过“APT”这一专业名词。
APT攻击,也叫作高级可持续威胁攻击,相对于普通的黑客攻击工具,针对性、攻击复杂程度更高,往往具有持续性,且隐蔽性更强。
APT组织,主要以获取政治、经济利益为出发点,对目标的核心资料进行窃取,或者对关键基础设施实施破坏。
严格来讲,对俄发起网络攻击的黑客组织“匿名者”不算APT组织,因其没有APT组织那么深入长期。
首先,实力有别。较之普通黑客组织,APT组织更为严密、技术能力更强甚至世界领先,很多APT组织都具有国家背景。其次,攻击目的有别。有国家背景的APT组织往往以国家利益为主导发起攻击,也有为经济利益的APT组织,而普通黑客群体,往往以商业利益、经济利益为主。
APT攻击的影响不仅仅局限在虚拟的网络世界,物理世界也会受到影响。以美国佛罗里达州水厂投毒事件为例,2021年2月5日,佛罗里达州Oldsmar水处理厂成为黑客网络攻击的目标,攻击者远程访问了奥尔兹马水厂的系统,并试图将氢氧化钠的含量提高到足以使公众面临中毒风险的程度,幸好被工作人员及时监测到系统异常,并立即修正,从而避免了灾难发生。


APT攻击,步步惊心、防不胜防

APT攻击方式多样,有水坑攻击、网络钓鱼和鱼叉式网络钓鱼、零日(0day)攻击、社会工程学攻击等。0day攻击是利用未打补丁的漏洞发起攻击;社会工程学攻击则是抓住人性弱点,通过欺骗和伪装,突破受害者心理防线,利用受害者的好奇心、信任关系、心理弱点等进行攻击。常见手段如伪装成合作伙伴发来的邮件,一旦点击运行了攻击者精心制作的邮件附件文件,受害者电脑很可能就此失陷。
业内较为闻名的乌克兰断电事件,就是社会工程学攻击的典型案例。2015年12月,攻击者将主题为“乌克兰总统对部分动员令”的钓鱼邮件进行投递,受害者受到好奇心驱使点击并启动BlackEnergy(一种用于创建僵尸网络,进行DDoS 攻击的恶意软件)的恶意宏文档。之后,BlackEnergy在获取了相关凭证后,便开始进行网络资产探测,横向移动,并最终获得系统控制能力。此次攻击造成乌克兰首都基辅部分地区和乌克兰西部140万名居民遭遇了一次长达数小时的大规模停电,至少三个电力区域被攻击。
另外,拉撒路(Lazarus)组织使用推特等社交媒体针对不同公司和组织从事漏洞研究和开发的安全研究人员的持续渗透活动,攻击者在推特等社交媒体上建立了一系列社交账号,这些账号会发布一些安全相关动态,同时会互相评论转发以扩大影响。在有一定影响力后,攻击者会主动寻找安全研究人员交流,询问他们的研究领域及兴趣范畴。确定研究领域后,如果存在重叠,攻击者会以学习交流为诱因向研究人员发送poc、exp等工程文件。整个过程显得十分真实,伪装内容与受害者的工作内容又十分贴合,从而极有可能落入攻击者的圈套。
当下,针对移动设备的攻击显著增加,且攻击手法更加复杂。2021年涌现出大量针对ios和Android操作系统的新型移动设备恶意软件,APT组织通过在受害目标的移动设备上安装间谍软件、键盘记录器等,从而监控和窃取受害者的信息。
针对“APT攻击会对普通人的手机造成什么危害?这些组织是否会以手机作为入口,侵入公司、机构内部网络,从而窃取机密信息、瘫痪网络等?”的疑虑,安恒信息专业人士表示:普通大众一般来说不太会成为APT攻击的对象,APT攻击的目标往往具有针对性,比如某某重点机构的人员、某某科技公司的人员、某军工单位的人员等。“一般来说,APT组织攻击手机端,以手机作为入口侵入公司、机构内部网络等情况具有一定的操作复杂性,虽然并不常见,但也并非不可能”。


如何防护APT攻击?

前面提到的Lazarus,便是2021年全球APT攻击数量最多的APT组织。据安恒信息发布的2021高级威胁态势研究报告,来自东亚地区的Lazarus组织、Kimsuky组织以及来自东欧的APT29组织的攻击数量位列前三,这几个组织的攻击受地缘政治因素影响,体现出高度针对性和复杂性。此外,来自印度Bitter组织的攻击事件占比排名第七,该组织在2021年多次针对我国军工行业发起定向攻击。
针对像Lazarus等这样的APT组织在社交媒体上惯用的社会工程学攻击,需要有效防护。

个人如何应对?

提升安全意识是第一位:

 时刻保持警惕,时刻注重个人隐私;

不随意点击未知链接,不轻易打开邮件附件;

对不熟悉的社交对象保持警惕;

不将重要个人信息随意发布到社交媒体;

在需要填写真实信息内容的地方谨慎确认;

……

企业、机构如何应对?

事实上,面对APT组织的攻击,企业、机构并不能说百分之百能够发现和防御,只能尽可能地去完善防御体系。
比如,企业要做的,首先就是要及时进行网络安全意识的相关培训,做到对一些网络安全相关技术的了解,让企业员工能够更好地理解和预防。其次,具体措施包括定期对设施进行补丁升级及安全测试,尽可能减少弱点;在攻击面的各个环节部署监测设备,并建立立体化的纵深防御体系,及时掌握威胁情报,提前做出预防和决策。


APT攻击数据总结


据统计数据显示,2022年1月境内计算机恶意程序传播次数达到2.2亿次之多,2月较1月小涨,涨幅约1.43%,2月每周的境内计算机恶意传播次数呈上涨趋势,第4周最高,达到7211.9万。境内感染计算机恶意程序主机数量来看,1月有558.5万,2月达到603.6万,涨幅8.08%。恶意程序会损坏文件、造成系统异常、窃取数据等,对计算机伤害很大,一定要高度重视。

从境内被植入后门网站总数来看,2月1792个,较1月2130个下降18.86%,其中政府网站数量2月13个,较1月2个上涨明显,政府类还是网络攻击首选。
从仿冒网站、漏洞数量等看出,2月较1月都有明显下降。其中仿冒网站从1月460个到2月355个,仿冒网站下降也归功于全国反诈工作较为成功。而漏洞数量从1月2045个到2月1685个,下降21.36%,其中高危漏洞也有明显减少。针对安全漏洞问题,一定要在正规途径下载应用,并即时更新,不可心存侥幸。


猎影实验室说

根据安恒猎影实验室的监测情况,2021年发生了约201起APT攻击事件。2021年APT组织活动主要集中在南亚和中东,其次是东亚地区,东南亚地区的APT组织攻击有所放缓。
另外,来自东欧的APT29组织今年非常活跃,该组织有的是俄罗斯国家背景,同时被美国白宫认为是SolarWinds攻击事件的始作俑者,自事件发生后该组织仍在活跃,并持续针对各行业进行网络间谍活动。2021年的APT攻击事件组织分布统计如下:
根据攻击事件中的受害地区分布来看,出现了一些新的受害地区,例如阿富汗、哥伦比亚、格鲁吉亚、拉脱维亚等国家。这可能表示APT组织正尝试扩大其活动范围。2021年APT攻击受害国家分布图如下:
根据行业分布来看,政府部门和国防部门仍是其主要的针对目标,其次是金融、航空,以及医疗卫生部门。2021年APT攻击受害行业分布图如下:
另外,根据安恒猎影实验室的统计,截止2021年11月,全年一共披露主流厂商的在野0day 58个。其中CVE-2021-1732和CVE-2021-33739两个在野0day由安恒猎影实验室捕获并披露。 
什么是0-day漏洞?0-day漏洞,又称“零日漏洞”(zero-day),是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。除了发现者还没有其他人知道这个漏洞的存在。一旦被攻击者发现并加以有效利用,将会造成巨大的破坏。
安恒猎影实验室梳理了2021年在野0day和具体使用它们的APT组织的关联情况,如下:
从2018年到2021年披露的在野0day的数量趋势图来看,近年来在野0day数量逐年增多, 2021年这一趋势最为明显,2021全年披露的在野0day数量超过了2020年的两倍。
从在野0day涉及厂商的分布情况来看,2021年被披露在野0day最多的厂商是微软,其次是谷歌和苹果。
从在野0day产品类型的分布来看,2021年最受在野0day青睐的是浏览器漏洞,其次是操作系统漏洞。
从在野0day所属漏洞类型分布来看,2021的在野0day占比最多的是远程代码执行漏洞,其次是权限提升漏洞。


扫描二维码或下载《2021年度高级威胁态势研究报告》:


关闭

相关推荐