【環(huán)球時報-環(huán)球網(wǎng)報道 記者郭媛丹】一份25日由中國網(wǎng)絡安全企業(yè)發(fā)布的2023年度網(wǎng)絡安全報告顯示,2023年全球高級持續(xù)性威脅(APT)活動依然非常嚴峻,全球APT組織主要分布于美國、印度等國家和地區(qū),美國依然是世界網(wǎng)絡安全的主要威脅。
《環(huán)球時報》記者在這份由中國網(wǎng)絡安全企業(yè)安天發(fā)布的年度報告中看到:2023年APT活動整體形勢依然非常嚴峻。安天梳理了2023年全球APT組織及行動的分布和活躍情況,其中APT組織共556個,而代表最高攻擊水平的A2PT攻擊組織全部分布在美國。其他對我國和周邊國家地區(qū)有較高威脅的攻擊組織來自印度等國家和我國臺灣地區(qū)。
A2PT是高級的高級可持續(xù)性威脅,是中國網(wǎng)絡安全從業(yè)者在分析超高能力國家/地區(qū)威脅行為體的攻擊活動中提出的技術概念。以美國情報機構NSA、CIA等為背景的“方程式”等攻擊組織依托成建制的網(wǎng)絡攻擊團隊、龐大的支撐工程體系與制式化的攻擊裝備庫、強大的漏洞采購和分析挖掘能力,對全球關鍵信息基礎設施、重要信息系統(tǒng)、關鍵人員等進行攻擊滲透,并在五眼聯(lián)盟成員國內(nèi)部進行所謂的情報共享,對世界各國網(wǎng)絡安全構成嚴重威脅。
安天技術委員會副主任李柏松對《環(huán)球時報》介紹,美方不僅入侵各國重要信息系統(tǒng)和關鍵信息基礎設施,還入侵重要人員的個人通信設備。以入侵他國關鍵人員的蘋果手機為例,美方既有基于imessage、Facetime等服務投放的攻擊模式,也有利用其構建的“量子系統(tǒng)”,在人員通過手機訪問網(wǎng)站內(nèi)容或使用APP網(wǎng)絡服務,插入臨時攻擊流量進行投放。
報告顯示,美方還和其他五眼聯(lián)盟國家分享其竊取的數(shù)據(jù)情報,并對中國周邊國家和地區(qū)對我國的攻擊行動進行賦能指導。同時,由于美方自身攻擊能力和手段不斷升級,加之其情報機構的“破窗效應”,又多次發(fā)生攻擊武器泄露事件,形成了對其他攻擊組織的示范作用。此外,美方長期縱容Cobalt Strike攻擊平臺等商用軍火不受控擴散,該平臺被“海蓮花”“X象”等全球多個APT攻擊組織在針對我國的攻擊中采用,嚴重威脅我方安全。
李柏松表示,2023年到2024年初,也有一些A2PT組織的歷史攻擊活動的細節(jié)被進一步曝光,例如美國情報機構買通荷蘭工程師,在赴伊朗進行工業(yè)系統(tǒng)安裝維護過程中,向伊朗投放震網(wǎng)病毒?!懊婪结槍λ麌形锢砀綦x手段的高價值防護目標時,往往采用人力、電磁等手段對網(wǎng)絡攻擊進行輔助,通過外設植入、近場遙控、數(shù)據(jù)無線回傳等方式輔助高級木馬完成隱蔽植入、長期竊密,有鮮明的跨域混合作業(yè)特點?!?/p>
定向勒索攻擊頻繁發(fā)生,重點針對航空航天工業(yè)
報告表明,在網(wǎng)絡威脅活動中,定向勒索攻擊已經(jīng)成為政企機構的噩夢。當前定向勒索攻擊已經(jīng)不是通過傳播擴散勒索病毒感染企業(yè)和個人目標,而是通過與APT高度近似的定向滲透,再實施數(shù)據(jù)竊取、數(shù)據(jù)加密、毀癱系統(tǒng)等攻擊活動,以此要挾受害者,迫使其支付贖金。同時有一些傳統(tǒng)勒索組織演進成RaaS(勒索即服務)供應商,其將定制勒索和竊密木馬、使用支付通道作為一種服務,提供給定向攻擊者,收取贖金分賬。
2023年,大型企業(yè)頻繁成為定向勒索攻擊的目標,如英國皇家郵政、日本名古屋港口和波音公司等都面臨了不同程度的威脅。定向攻擊者通過深入的目標分析和偵察,有選擇性地攻擊關鍵的系統(tǒng)、數(shù)據(jù)或信息,取得網(wǎng)管服務器、數(shù)據(jù)庫服務器、重要資產(chǎn)業(yè)務服務器的控制權。攻擊者不僅竊取和加密毀癱瘓數(shù)據(jù),并要挾受害者,不繳納贖金不僅無法恢復數(shù)據(jù),而且失竊的數(shù)據(jù)會被販賣曝光;迫使受害者在支付高昂贖金或面臨業(yè)務癱瘓和數(shù)據(jù)資產(chǎn)的更大損失之間做出抉擇。
值得注意的是,2023年的定向勒索攻擊目標日益多元化,特別是對航空航天工業(yè)的攻擊逐漸增多。GhostSec勒索攻擊組織成員于3月14日宣布對全球?qū)Ш叫l(wèi)星系統(tǒng)(GNSS)接收器發(fā)動攻擊,凸顯了他們對航空導航領域的濃厚興趣。LockBit攻擊組織于10月27日在其Tor平臺上將波音公司列為受害者,而日本航空電子工業(yè)株式會社(JAE)在11月2日遭受勒索攻擊,此次事件由BlackCat勒索攻擊組織負責。此外,11月27日,LockBit勒索攻擊組織將印度國有航空航天研究實驗室列為受害者,進一步顯示勒索攻擊者對航空航天工業(yè)的滲透。
李柏松認為,當前我國航空航天工業(yè)迅猛發(fā)展,特別是民用無人機、民用航天都發(fā)展迅速,對此,相關部門和企業(yè)必須加強防范,切實保障科技資產(chǎn)、業(yè)務資產(chǎn)和數(shù)據(jù)資產(chǎn)安全。
地緣政治動蕩下的“網(wǎng)絡戰(zhàn)場”
報告表明,鑒于2023年世界地緣政治局勢動蕩,尤其是在巴以沖突和俄烏沖突中,各國情報機構和帶有不同政治傾向的民間黑客組織的深度介入,使其在外圍形成了“網(wǎng)絡戰(zhàn)場”,將竊取數(shù)據(jù)、曝光數(shù)據(jù)、毀癱系統(tǒng)、認知干擾等作業(yè)方式進行組合,形成對地區(qū)或國際局勢的連鎖影響。
“網(wǎng)絡空間是一個持續(xù)性對抗領域,沒有嚴格的平時和戰(zhàn)時;但地緣安全沖突會帶來局部對抗烈度的急劇增加,對抗活動呈現(xiàn)行為高度復雜、多元的特點?!崩畎厮杀硎?,在地緣沖突的背景下,帶有不同傾向民間黑客組織或個體攻擊者的紛繁下場,對竊取的數(shù)據(jù)進行曝光,內(nèi)部人員也會主動泄露各種數(shù)據(jù)。
比如2023年4月份,美國國防部涉俄烏沖突的機密文件被泄露直接影響了俄烏沖突的走向。在此次泄密事件中,其他文件情報的泄露集中在中東以及印度洋與太平洋地區(qū)的國防和安全問題上,暴露了美國對韓國、以色列、烏克蘭等盟友進行監(jiān)聽的“間諜活動”。此次泄密事件被稱為自2013年“棱鏡門”事件以來美國最大的泄密事件。
報告也分析了俄烏沖突與巴以沖突背景下攻擊活動的差異。與俄烏沖突下的網(wǎng)絡戰(zhàn)以“國家行為體的攻擊活動為主角、民間黑客組織站隊跟進”不同,在巴以沖突中,由于哈馬斯本身沒有技術力量,主要是支持巴勒斯坦的各民間組織實施相關攻擊行為,也因此兩者對戰(zhàn)爭進程影響程度也大為不同。
李柏松認為,從整體來看,包括伊朗、以色列等國在內(nèi)的網(wǎng)絡攻擊活動不斷,例如2023年12月18日伊朗加油站疑似遭到以色列黑客網(wǎng)絡攻擊。隨著全球地緣安全形勢的進一步緊張與惡化,越來越多的黑客行動主義將在網(wǎng)絡空間對關鍵基礎設施帶來威脅,影響牽動各國敏感神經(jīng),嚴重影響相關國家、政企機構和個人的安全。
關鍵基礎設施成網(wǎng)絡攻擊重點目標
報告顯示,在日益加劇的全球威脅背景下,關鍵基礎設施也面臨著來自多方面的網(wǎng)絡攻擊威脅,成為網(wǎng)絡攻擊重點目標。
攻擊者通過對此類設施發(fā)起攻擊,掌握系統(tǒng)控制能力,持續(xù)進行信息竊取,并可制造電力、網(wǎng)絡、醫(yī)療等系統(tǒng)的大規(guī)模癱瘓,嚴重影響社會的正常運轉(zhuǎn)。例如,2023年12月,意大利云服務提供商Westpole遭受Lockbit3.0勒索軟件攻擊,造成了多達540個城市的1300多個公共管理部門服務癱瘓,一些城市被迫恢復人工操作以提供服務。
此外,關鍵基礎設施的數(shù)字化轉(zhuǎn)型也增加了其遭受攻擊的風險。許多組織在防御縱深構建、暴露面管理、遠程訪問管理、主機系統(tǒng)安全、漏洞響應以及員工安全意識等高優(yōu)先級領域存在防范短板,這些皆可以被攻擊者利用。
李柏松表示,“在復雜多變的國際局勢下,我國關鍵基礎設施面臨的風險嚴峻升級,需要做好迎接風高浪急甚至驚濤駭浪的準備”。
信息網(wǎng)絡傳播視聽節(jié)目許可證:120330032
中華人民共和國互聯(lián)網(wǎng)新聞信息服務許可證:45120170002
中華人民共和國互聯(lián)網(wǎng)出版許可證 (署)網(wǎng)出證(桂)字第020號
廣播電視節(jié)目制作經(jīng)營許可證編號:(桂)字第0230號
網(wǎng)警備案號:45010302000253
桂ICP備11003557 南寧新聞網(wǎng)版權所有
舉報電話:0771—5530647 郵箱:mail@nnnews.net
登錄南寧云賬號
登錄
還沒賬號?立即注冊
點擊頭像快速登錄
請輸入驗證碼