歐盟威脅行動趨勢
引 言
網絡威脅行為者是威脅環境中不可或缺的組成部分。它們是旨在利用現有漏洞實施惡意行為、意圖傷害受害者的實體。了解威脅行為者的思考方式、行動方式、動機和目標,對于更強大的網絡威脅管理和事件響應至關重要。監測威脅行為者為實現其目標所使用的策略和技術的最新發展,并保持對動機和目標的長期趨勢的最新了解,在當今網絡安全生態系統中,對于高效的防御至關重要。
此外,了解與威脅行為者相關的趨勢、動機和目標,對于規劃網絡安全防御和緩解策略非常有幫助。它是整體威脅評估的一個組成部分,因為它可以根據潛在影響和威脅實現的可能性來優先考慮安全控制,并制定專門的策略。如果不了解威脅行為者及其操作方式,則會在網絡安全方面造成重大的知識缺口,因為在不考慮動機和目標的情況下分析威脅可能導致防御措施低效,甚至在某些情況下無法保護。
在本節中,我們探討與威脅行為者相關的趨勢。本評估并未提供報告期內所有趨勢的詳盡列表,而是提供在戰略層面上觀察到的重要趨勢的高層視圖。我們關注威脅行為者的動機、影響和目標。我們還評估了它們的演變。
對于 ETL 2022,我們再次考慮以下四類網絡安全威脅參與者:
1、國家支持的行為者
2、網絡犯罪行為人候玄鳥歸
3、雇傭黑客的行為者
4、黑客活動家
潛在威脅行為者的列表非常廣泛,其中包括內部人員等其他類別。重點關注以上四個威脅行為者類別,并不意味著其他威脅行為者類別的重要性較低。選擇這四個威脅行為者類別的重點關注,是基于它們在2022年ETL報告期內相對突出的表現。
國家支持的行為者趨勢
據公開報道,0-day漏洞和其他關鍵漏洞的利用程度越來越高。在2021年,漏洞利用是入侵最常見的手段,而披露的0日漏洞利用數量達到了歷史最高水平,共計66個。
在報告期內,國家支持的行為者利用了許多關鍵漏洞,其中一些針對的是Microsoft、Pulse Secure VPN設備、Atlassian Confluence、F5 Big-IP設備、Fortinet設備和Apache的Log4j實用程序。此外,我們觀察到國家支持的威脅行為者針對全球各地的小型辦公室或家庭路由器,并利用這些被攻陷的基礎設施進行網絡攻擊,同時阻礙防御者的努力。我們還觀察到Sandworm的VPNFilter惡意軟件被Cyclops Blink取代,以針對WatchGuard防火墻設備和ASUS路由器。
雖然0-day漏洞的話題并不新鮮,但在報告期間公開披露的0-day漏洞數量顯著增加。0-day漏洞數量增加的因素包括以下幾點。
國家級威脅行為者越來越多地投入資源進行0-day研究和開發利用工具。我們觀察到有時這些努力還會導致政策決策,例如中國的一項新法律要求供應商向政府報告0-day漏洞。
另一個可能性是國家級威脅行為者對供應鏈的關注增加,通過利用一個0-day漏洞,威脅行為者可以獲得對多個目標的初始訪問。例如,谷歌、微軟、蘋果和Adobe產品都是這種0-day漏洞攻擊的主要目標。
Access-as-a-Service市場已經成熟和專業化,提供漏洞研究、利用和惡意軟件載荷開發等服務。
運營技術網絡的風險增加
在《2021年歐盟網絡和信息安全局年度報告》中,指出國家級威脅行為者會增加對關鍵基礎設施和操作技術(OT)網絡破壞的比率。在整個報告期內發現網絡攻擊主要是為了收集情報,以及部署新觀察到的針對工業控制系統的惡意軟件以及破壞。
根據公開報告,識別到有三個新的組織具有對OT網絡的攻擊意圖,包括KOSTOVITE、PETROVITE和ERYTHRITE。通常攻擊者會主動收集OT網絡的信息以做他用。目前,大多數網絡攻擊者會預先收集信息,而非破壞。
報告還指出兩種新的工控系統(ICS)惡意軟件:Industroyer2 和 INCONTROLLER(也稱為 PIPEDREAM57)。關于ICS 的惡意軟件很少見,Industroyer2 和 INCONTROLLER 分別在惡意軟件中位列第6和第7名,前面有 Stuxnet、Havex、BlackEnergy2、CrashOverride 或 Industroyer 和 Trisis 以及 Triton 之后出現的。在分析針對烏克蘭一家能源公司的攻擊時檢測到了Industroyer2,其目的是在俄羅斯烏克蘭危機期間切斷烏克蘭某個地區的電力。這次攻擊的發起者被評估為由國家支持的威脅團體 Sandworm。INCONTROLLER非常可能是由國家贊助開發的惡意軟件,專注于破壞、侵入。
由此評估認為,國家支持的威脅行為者將加強對OT網絡的偵察、入侵能力,特別是在武裝沖突時期。同時,他們將投入更多資源開發可擴展的ICS惡意軟件框架,擴大攻擊面。
破壞性攻擊在國家間日漸突出
在俄烏沖突期間,網絡攻擊出現在軍事行動中。這些網絡攻擊主要使用擦除攻擊,破壞和干擾政府機構和關鍵基礎設施實體的網絡。攻擊者不僅破壞了被攻擊實體的功能,同時也破壞了公眾對國家領導層的信任、傳播FUD(恐懼、不確定性和懷疑)和促進虛假信息行動。
截至目前,有九個由國家支持的威脅行為人部署了擦除型惡意軟件,其中包括WhisperGate或WhisperKill、Hermetic Wiper、CaddyWiper、DesertBlade、AcidRain、Industroyer2、IsaacWiper和DoubleZero。這些攻擊不僅數量眾多,而且攻擊的頻率較高。微軟公司在2022年2月23日至4月8日期間報告稱,在針對烏克蘭數十個組織的數百個系統中,發現了離散的破壞性攻擊。
衛星通信領域也出現了定向攻擊,其中包括擦除病毒AcidRain。包括歐盟、美國、英國等在內的多個國家,指責俄羅斯使用此病毒侵入了商業衛星通信公司Viasat,并且烏克蘭受到影響尤為明顯,以致該公司的衛星調制解調器發生故障。此外,這次攻擊還波及了中歐地區,導致風力發電廠受到干擾,同時影響了衛星互聯網。
根據評估,隨著沖突的繼續,除烏克蘭外,其他相關國家也會受到波及。西方國家或北約盟友的關鍵基礎設施機構,也可能成為報復性行動的目標。一些親俄網絡勒索軟件組織可能會針對西方組織進行破壞性行動,網絡安全和國際關系方面的緊張局勢將繼續引發全球關注。
公開署名和法律行動仍在繼續
去年在ETL 2021中,我們強調了政府應加強對國家級威脅行為者的打擊、強烈譴責并且要采取法律限制。
在報告期間,出現了許多涉及國家級威脅行為者的重大事件,比如:
烏克蘭安全局(SBU)起訴了Gamaredon組織的三名運營人員。
兩名伊朗人被指控進行與2020年美國總統選舉相關的網絡活動和影響操作。
加州大學伯克利分校人權中心向荷蘭海牙的國際刑事法院正式提交請求,指控威脅組織Sandworm在2015、2016年關閉烏克蘭電力系統,犯下戰爭罪。
歐盟和美國的盟友正式將針對商業衛星公司Viasat的網絡攻擊歸咎于俄羅斯。歐盟和成員國強烈譴責針對烏克蘭的網絡攻擊以及針對歐盟幾個成員國的分布式拒絕服務(DDoS)攻擊。
歐盟司法部長發布了國家級組織APT28的黑客的逮捕令。此攻擊者曾在2017年對北約智庫進行網絡間諜活動。
在報告看來,隨著網絡行動逐漸受政府重視,陸續會出現更多網絡攻擊、干擾對手基礎設施和起訴黑客嫌疑人的指控。
然而,目前仍不清楚這些行動在長期內能否遏制。例如,美國司法部控告了7名APT41的操作員并在2020年9月7日查獲了該組織的部分基礎設施,但該組織于2021年末至2022年中繼續了其活動。這個例子表明,對一個威脅組織的參與者進行控告可能對阻止整個組織行動沒有影響,因此鼓勵進一步的遏制措施。
國家支持的威脅者越來越關注供應鏈的
在2021年,供應鏈攻擊占所有入侵事件的17%(或根據其他來源,高達62%100),而在2020年僅占不到1%。自從在2020年12月揭示了SolarWinds供應鏈攻擊事件以來,國家支持的威脅行動者意識到了其潛力,并越來越多地針對第三方進行攻擊,以向其客戶拓展其向下游的網絡攻擊行動。
云服務提供商(CSPs)、托管服務提供商(MSPs)和IT服務組織是威脅行為者利用信任關系進行惡意操作的主要目標。NOBELIUM活動組一直在針對服務提供商及其下游客戶進行攻擊。與此同時,威脅行為者還針對40多家IT服務公司(主要位于印度)進行攻擊,以獲取他們客戶的網絡訪問權限。
根據我們的評估,國家支持的威脅行為者肯定會進一步發展他們的工具集,以攻擊和破壞供應鏈,作為間接向量來實現他們的目標。軟件供應鏈攻擊(例如開源軟件開發庫、流行的軟件包、軟件平臺的妥協等)很可能會被有資金支持的國家支持的組織利用,以在數百個受害者的網絡中獲得立足之地。
地緣政治繼續影響網絡行動破壞
正如在ETL 2021中提到的那樣,地緣政治是通過網絡行動收集情報的關鍵驅動因素之一。隨著地緣政治緊張局勢的加劇,網絡攻擊的目標數量也在不斷增加。
公開報告顯示,由于持續的武裝沖突,一些國家級惡意組織對烏克蘭實體進行了多次網絡攻擊。這些威脅組織的重點是進行訪問操作并收集情報,為軍事部隊提供戰術或戰略優勢。此外,一些國家級威脅行動針對了支持烏克蘭的128個政府組織,這些組織分布在42個國家中(主要包括美國、歐盟、波蘭、與俄羅斯接壤的國家和北約成員國)。
安全研究人員認為,國家級威脅組織的目標很可能與一個國家的長期計劃存在直接聯系。據報道,一些威脅行動在沖突早期就瞄準了烏克蘭和俄羅斯的實體,可能是為了收集情報。此外,據報道,隨著各國之間緊張局勢的升級,威脅行為者已經將中東地區的實體作為目標。這些行為者廣泛采用勒索軟件鎖定和泄漏信息,他們主要針對以色列和美國的組織,以及中東和北非地區的組織。中東地區這些國家之間的網絡行動已經達到了影響平民的程度。
據報道,威脅行動人員強烈關注收集外交和地緣政治情報,可能是由于對其國家受到的制裁要求的驅動。在這種特定情況下,其行動的另一個主要動因是通過加密貨幣盜竊獲得金融資源。
由于國際形勢不穩定,預計在短期到中期內會觀察到更多以地緣政治為驅動的網絡行動。像中東、地中海東部、北極地區、波羅的海、阿富汗、也門、敘利亞和利比亞等地區的地緣政治形勢可能會出現破壞性的網絡攻擊。需要澄清的是,由烏克蘭地緣政治形勢引發的網絡行動與歐盟有更大的相關性和聯系。
在報告期內,還觀察到了與越來越多國家有聯系的威脅組織進行的網絡攻擊活動,這些國家包括越南、土耳其、巴基斯坦、印度、烏克蘭、白俄羅斯等。我們預計,在緊張局勢或沖突加劇的時期,越來越多的國家將利用其網絡能力進行情報收集。
網絡破壞自覺成軍
烏克蘭武裝沖突動員了許多駭客、網絡犯罪和國家級別的組織。烏克蘭IT軍隊的案例是一個獨特的、難以分類的案例;它既可以被認為是由志愿者組成的駭客組織,也可以被認為是由政府支持的組織或者是混合型組織。截至撰寫本文時,網絡安全界尚未達成共識。烏克蘭IT軍隊肯定會為未來的網絡戰爭研究學者提供素材,并可能突顯未來沖突的趨勢。
2022年2月26日,烏克蘭副總理兼數字轉型部長宣布創建烏克蘭的IT軍隊。這一宣布號召志愿者通過Telegram頻道(該頻道有30萬訂閱者)協調其在網絡戰線上的行動。烏克蘭IT軍隊成功地攻擊了各種實體,并進行了大多數協調的分布式拒絕服務(DDoS)攻擊,但并不僅限于此類攻擊。
在俄羅斯入侵烏克蘭的時候,烏克蘭沒有軍事網絡指揮部。出于必要性,烏克蘭根據愛沙尼亞網絡防御聯盟的模式創建了一個混合實體,由烏克蘭和國際民間人員、私人公司以及烏克蘭國防和軍事人員組成,因此很難對其進行分類。它既不是民用的、軍事的、公共的、私人的、本地的或國際的實體。此外,它還引發了有關網絡空間國際法、國家網絡規范、針對民用基礎設施的問題以及私人公司道德問題的討論。
我們的評估認為,未來國家行為者可能會采用烏克蘭IT軍隊的結構和設置作為非國家參與未來沖突的藍圖(特別是對于缺乏組織有序的軍事網絡指揮部的國家)。同時,這些眾包網絡軍隊可能會包含非公開的方面,進一步復雜化它們的結構、運營行為,并給網絡社區、學者和網絡戰分析帶來分析難度。
科技公司出現在沖突期間的網絡行動中
在俄羅斯入侵烏克蘭期間,首次觀察到一些大型技術公司在網絡戰方面站隊并支持烏克蘭。最突出的例子是微軟公司,他們向烏克蘭網絡安全官員提供支持,以應對FoxBlade惡意軟件,并提供有關俄羅斯網絡行動的意識和情報報告。微軟和AWS已被烏克蘭總統沃洛迪米爾·澤連斯基授予“和平獎”。
這一趨勢很有趣,但也很難評估。目前,這種強烈傾向于沖突的一方的長期后果尚不為人所知。此外,關于私營公司在未來沖突期間的網絡作戰中的角色和責任的討論也正在興起。
虛假信息的復雜性和范圍不斷擴大作用
多個國家支持的黑客組織已經具備使用社交媒體平臺、搜索引擎和消息服務散布虛假信息的能力。他們的做法與傳統的造謠誹謗活動不同,因為這些服務提供了現成的工具,可以測試和優化他們的內容,并監測虛假信息活動的影響和傳播。此外,機器學習(ML)、人工智能(AI)、深度偽造技術和語音生物識別技術的發展,為威脅行為者提供了強大的工具,用于創建誤導性內容。
我們的評估是,隨著俄羅斯-烏克蘭沖突的發展,與沖突有關的信息偽造范圍將擴大,并且會在東歐以外的地區被利用以服務于各國戰略目標。最后,政府和媒體組織,在地緣政治事件期間,遭受網絡行動的風險也會增加。
參考文獻
1.Mandiant–M-Trends2022 - https://www.mandiant.com/resources/m-trends-2022 2.Trend Micro Security Prediction for 2022 - https://www.trendmicro.com/vinfo/us/
3. CISA - Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and 'PrintNightmare' Vulnerability
4. Security Affairs - Another nation-state actor exploits Microsoft Follina to attack European and US entities、
5. CISA - Threat Actors Exploiting F5 BIG-IP CVE-2022-1388
6. CERT-EU - Threat Landscape Report 2021 Q4 - Executive Summary
