2022年網絡安全威脅的回顧與展望
時間 : 2023年01月09日 來源: 安天CERT
導語
數字經濟是未來發展的方向。習近平總書記在黨的二十大報告中指出,“加快發展數字經濟,促進數字經濟和實體經濟深度融合”。在百年變局加速演進、世紀疫情持續沖擊、國際局勢復雜動蕩的大背景下,網絡安全行業應建立為保障數字經濟發展的實戰化、體系化、常態化的安全屏障,網絡安全企業需要利用自身的安全產品體系來解決數字數據的安全問題。
在每年冬訓營上發布年報的預發布版,征求參會專家的意見建議,是安天多年堅持的傳統。
在今年的年報中,安天總結了高級持續性威脅(APT)、勒索攻擊、挖礦木馬、僵尸網絡、攻防對抗、數據泄露、工業互聯網安全風險、威脅泛化等方向的思考與觀點:
關于高級持續性威脅(APT):安天梳理了2022年全球APT組織及行動的分布和活躍情況,制作了“全球APT攻擊行動、組織歸屬地理位置分布(活躍)圖”。
“俄烏沖突”使雙方在網絡空間中均遭受到了不同程度的損失。網絡閃電戰成為俄羅斯在“俄烏沖突”過程中的先行軍。俄羅斯的作業習慣和技戰術是先實施網絡攻擊,通過網絡釣魚成功針對網絡基礎設施等目標,最后是在傳統動能武器的戰場發起協同作戰攻擊。俄羅斯在網絡戰中高級攻擊技術的應用,已在全球地緣政治活動中產生影響,促使包括俄烏在內的、全球范圍內國家地區的地緣政治活動更為劇烈。
數字證據易篡改促使境外APT組織利用網絡攻擊栽贓構陷。2022年2月,安天發布報告揭露了具有印度背景的APT組織暗象,發現該組織主要針對印度境內的社會活動人士、社會團體和在野政黨等,同時也會竊取印度周邊國家如中國和巴基斯坦等國軍事政治目標的重要情報。攻擊者將此結果密報當地警方前往目標的住宅突襲檢查,當場查獲這些構陷目的的違法信件作為論罪的數字證據。
利用物聯網設備進行戰場預置的APT攻擊活動頻繁。2022年初,安天發現海蓮花組織在針對我國的網絡攻擊活動中,預先通過弱口令爆破、漏洞攻擊等手段攻陷遍布我國多處重要省市的公網路由器、攝像頭等物聯網設備充當跳板,安裝流量轉發工具,將Torii遠控木馬的竊密和控制流量經一層或多層跳板轉發至真實的Torii遠控服務器。
關于勒索攻擊:勒索軟件通常作為攻擊組織以經濟目的為由的犯罪工具,回顧2022年發生的勒索攻擊事件,發現部分勒索軟件被具有國家背景的攻擊組織作為“政治化”犯罪工具,用以實施網絡攻擊。在俄烏沖突期間“政治化”勒索攻擊案例頻頻發生并伴隨著“破壞式”勒索軟件再現,偽裝成勒索攻擊,但實際目標是破壞系統運行,從而實現網絡空間攻擊轉化為物理空間影響。隨著網絡安全技術的不斷創新和安全設備筑起堅實的邊界防護壁壘,威脅行為者在利用常見執行體傳播方式無法實現入侵,雇傭受害目標內部人員實施網絡攻擊作為新手段。勒索策略也出現了新轉變,從傳統的勒索軟件攻擊“竊取+加密”轉變為“竊取+刪除或破壞”的攻擊。跨平臺勒索軟件執行體幫助威脅行為者滲透到越來越復雜的網絡環境中,在執行體分析上也給安全工作者帶來了新的挑戰。
關于挖礦木馬:隨著挖礦木馬對抗技術的不斷完善,越來越多的挖礦木馬團伙掌握快速集成漏洞的能力。其連接礦池方式也更加隱蔽,傳統情報礦池黑名單檢測將逐漸失效。2022年虛擬貨幣價格的下跌不僅沒有減少惡意挖礦,反而更加活躍。
關于僵尸網絡:2022年全球政治局勢不斷變幻,利用僵尸網絡發起具有政治意味的DDoS攻擊已然成為大國之間對抗的主要手段;通過對2022年披露的漏洞利用情況進行統計后發現,僵尸網絡正在積極地利用新出現的漏洞進行傳播;采用P2P傳播方式的僵尸網絡在物聯網設備間廣泛傳播。
關于攻防對抗:近年來,攻防對抗成本不對等的情況愈發明顯,政企用戶往往需要付出大量的網安建設和運營成本才能對抗急速提升復雜性的各類攻擊面、難以掌控的供應鏈產品安全、新基建和信創產品帶來的新暴露面和安全風險。但廣泛濫用隱藏載荷的制式化網空裝備無疑讓攻防對抗成本變得更加不對等。與此同時,專業安全從業人員的短缺將持續推動安全運營領域自動化程度的發展,人工智能(AI)將在一系列產品中得到有力的利用,以更快的速度提供增強的安全成果。
關于數據泄露:2022年,新冠疫情仍然肆虐全球,全球各行各業加快了數字化轉型,數據的價值得到進一步凸顯的同時,數據泄露也在持續高頻發生。數據泄露事件不斷地成為新聞熱點,涉及的領域包括工業制造、政務、醫療、金融、交通等等,不一而足,面臨的形勢依然非常嚴峻。信息化程度越高的行業,數據泄露事件越多,且泄露所造成的危害越大。持續高頻發生的數據泄露事件,使得全球數億人的隱私和安全受到嚴重威脅。
關于工業互聯網安全風險:近年來,我國積極布局工業互聯網,在國家政策和市場需求的雙重驅動下,我國工業互聯網蓬勃興起,多項應用逐步落地,市場規模不斷擴大;在本年度中,工業互聯網所面臨的網絡安全威脅也值得我們給予高度關注,包括但不限于:地緣政治局勢緊張加劇,以俄烏沖突為代表的區域性軍事沖突、以阿以沖突為代表的領土矛盾流血沖突爆發,其負面影響在一定程度上波及了工業互聯網;全球范圍內工業互聯網基礎設施脆弱性風險披露數量超百,且有關脆弱性風險可能導致的嚴重負面影響不容忽視;面對“Evil PLC Attack”等新型攻擊場景風險,工業互聯網各相關方應及時變通防御思路,盡快制定行之有效的針對性防御方案;對于“Industrial Spy(工業間諜)”這種與工業互聯網安全具有相關性、以被盜數據交易為勾當的暗網市場出現及其發展,工業互聯網各相關方也應給予必要的關注和對應防御措施的強化。
關于威脅泛化: 威脅泛化導致用戶的資產暴露面增加,攻擊者利用增加的攻擊面可以產生非授權訪問、跳板攻擊、入侵“隔離網絡”、資產被控、資產破壞、數據泄露等廣泛的安全威脅。
1.高級持續性威脅(APT)
2022年全球高級持續性威脅(APT)活動的整體形勢依然非常嚴峻。基于安天持續監測的內部和外部的情報來源,2022年全球公開安全研究報告數量521篇,其中披露的安全報告涉及134個APT威脅組織,2022年新增57個APT威脅組織,2022年針對中國的攻擊活動不少于67次。安天梳理了2022年全球APT組織及行動的分布和活躍情況,制作了“全球APT攻擊行動、組織歸屬地理位置分布(活躍)圖”,其中APT組織共490個(由于圖片空間有限僅展示主要攻擊組織),根據圖示可以發現其主要分布于美國、俄羅斯、印度、伊朗、朝鮮半島、中東及部分國家和地區,部分組織由于情報較少未能確定歸屬國家或地區。
圖1-1 2022年全球APT攻擊行動、組織歸屬地理位置分布圖
1.1 需要警惕更多的潛藏在網絡空間深處的非知名APT組織
2022年,安天跟蹤全球APT相關報告500余篇,涉及APT組織130余個,其中新增50余個APT組織。通過研究歷史報告發現,全球網絡安全機構每年都會曝光披露新的APT組織,經過多年的積累后相比于典型的知名APT組織,一方面來說這些組織的數量已經非常之多,已經是數倍于典型知名組織;而另一方面針對這些攻擊組織深入研究和歸因溯源的報告很少,安全機構和研究者對于他們的技戰術、基礎設施和幕后背景都缺乏了解;因此這些組織相對于典型知名組織更加復雜、神秘和隱蔽。也正因為如此,這些不知名的組織更需要我們的重視和警惕,他們可能長期潛伏不被發現從而造成相比知名組織更大的危害。
圖1-2 2022年安天觀測到的新增APT組織
對這些信息披露極少的非知名APT組織,雖然在大多數的情況下安全研究機構可以了解攻擊者的一些信息,例如他們的母語或者位置信息,但剩下的缺失的線索信息可能會導致令人尷尬的歸因錯誤或更糟的判斷。由于大量的溯源技術報告被公開,身處在暗處的攻擊者也在盡一切努力使用各種手段來保證不被發現,即使被捕獲也確保不被歸因,并盡可能減少留下痕跡。他們實施了多種技術,使分析研究變得更加困難。例如使用商業軟件、滲透測試工具和無文件實體技術,通過放置虛假標記來誤導安全研究人員,這些反溯源反取證技術會使組織歸因成為一種運氣。這也是為什么近些年安全研究人員經常能發現新組織的攻擊活動,但鮮有挖掘出完整行動和背景歸因的原因。未來的APT組織追蹤與對抗之路,深入跟蹤挖掘這些非知名組織也許更為重要。
1.2 網絡閃電戰成為俄羅斯在“俄烏沖突”過程中的先行軍
網絡閃電戰,旨在探索網絡部隊與傳統作戰部隊間的協作方式[1]。根據安全廠商ESET描述[2],2022年2月23日,針對多個烏克蘭組織的使用HermeticWiper的破壞性網絡攻擊活動比其軍事行動早了幾個小時。根據惡意代碼時間線可判斷網絡攻擊已經計劃了幾個月。攻擊者首先通過魚叉式網絡釣魚等邊界突破手段獲取了Active Directory服務器權限,然后HermeticWiper通過默認域策略(GPO)部署。另外在內網里,與之相關的自定義蠕蟲HermeticWizard通過SMB和WMI在受感染的網絡中傳播HermeticWiper。2022年2月24日,俄烏沖突爆發。針對烏克蘭政府網絡的第二次破壞性攻擊開始了,這次投放了新的擦除器IsaacWiper。目前根據現有威脅情報推斷,IsaacWiper可能是經由前期的入侵成功后橫向移動傳播的,或者是通過遠程訪問工具RemCom遠程投放。
“俄烏沖突”使雙方在網絡空間中均遭受到了不同程度的損失。支持烏克蘭的黑客組織GhostSec(該組織長期以來一直作為Anonymous的一部分運營),此前曾控制過俄羅斯國家和軍事組織的打印機。在2022年7月20日,GhostSec通過編寫KillBus的工具,用于針對Modbus設備的攻擊。正如該軟件的名稱,通過提取信息、覆蓋數據,然后將其用作從設備(Modbus協議中的通信基于在客戶端之間傳遞數據消息的原則),有效地破壞了水力發電廠的工業控制系統服務器,對發電廠系統的干預,隨后導致俄羅斯Gysinoozerskaya水電站發生爆炸,導致電力計劃隨后緊急關閉、導致西伯利亞大片地區停電。GhostSec聲稱對這次攻擊負責。
俄羅斯的作業習慣和技戰術是先實施網絡攻擊,通過網絡釣魚成功針對網絡基礎設施等目標,最后是在傳統動能武器的戰場發起協同作戰攻擊。同時善于利用其他APT組織的技戰術發起網絡攻擊。如下圖所示,彰顯了俄羅斯網絡與傳統協同作戰的特點。以具備俄羅斯國家背景的STRONTIUMN(APT28)組織攻擊活動為例,2022年3月4日,STRONTIUMN在烏克蘭城市文尼察的核電公司的計算機網絡上橫向移動,隨后俄羅斯軍方襲擊并占領了該公司最大的核電站。在同一周,STRONTIUMN破壞了文尼察政府的計算機網絡,兩天后在文尼察市的機場發射了八枚巡航導彈[3]。
圖1-3 俄羅斯網絡與傳統協同作戰[3]
1.3 俄羅斯在網絡戰中高級攻擊技術的應用,已在全球地緣政治活動中產生影響
美國和歐盟聲稱,2022年2月24日,俄羅斯對屬于Viasat的名為KA-SAT的商業衛星通信網絡發起了網絡攻擊[4]。Viasat透露,網絡攻擊襲擊了其KA-SAT網絡,導致歐洲數以千計的調制解調器無法訪問。網絡攻擊旨在破壞烏克蘭的指揮和控制行動,并對包括德國、希臘、波蘭、意大利和匈牙利在內的其他歐洲國家造成重大溢出影響。直到一個月后,歐洲衛星寬帶服務才從事件中恢復。公司專家注意到,惡意代碼發出破壞性命令覆蓋調制解調器閃存中的關鍵數據,導致調制解調器無法訪問網絡,但并非永久無法使用。安全廠商SentinelLabs研究人員歸因于名為“酸雨”(AcidRain)的新型擦除(wiper)惡意軟件,為針對KA-SAT的商業衛星通信網絡發起網絡攻擊的惡意代碼。AcidRain旨在遠程清除易受攻擊的調制解調器和路由器,SentinelLabs觀察到了AcidRain和VPNFilter(VPNFilter操作歸咎于有俄羅斯背景的“FancyBear”又名APT28組織惡意軟件之間的相似之處。隨著歐美各國聯盟聲張保衛烏克蘭的聯合,俄羅斯情報機構加強了針對烏克蘭境外盟國政府的網絡滲透和間諜活動。
另一方面,俄羅斯利用Konni基礎設施針對歐洲國家波蘭、捷克共和國和其他國家的高價值目標的發起攻擊。Securonix威脅研究(STR)團隊一直在調查使用一種新的基于Konni的惡意軟件的攻擊活動STIFF#BIZON[5]。Konni此前被歸因于其他國家背景的APT組織遠控木馬。然而,STR團隊指出,此次攻擊和歷史數據的IP地址、托管服務提供商和主機名與APT28之間存在直接的關聯。根據相關的威脅情報推斷,STIFF#BIZON行動可能是APT28模仿APT37組織的技戰術針對歐洲國家發起攻擊。具體的技戰術包括魚叉式網絡釣魚成功之后,通過PowerShell執行第二階段的惡意代碼,相似的UAC技巧繞過,憑證訪問竊取Cookie,相似的install.bat安裝方式等。但是在STIFF#BIZON行動中采用了更多高級的技戰術,例如可離線破解cookie繞過MFA、利用維基解密Vault 7中泄露的反調試技術通過系統文件wusa.exe提權執行惡意代碼。
俄羅斯無論在自研的高級攻擊技術亦或是學習、利用其他國家背景組織的技戰術的實戰應用,針對包括以烏克蘭為圓心,波羅的海地區、歐美為半徑目標區域的網絡攻擊活動,使得全球范圍內以俄烏沖突為主題的釣魚活動愈發敏感,例如中東地區的伊朗APT組織Lyceum、亞洲地區的印度響尾蛇組織使用有關俄羅斯在烏克蘭的攻擊活動圖片通過電子郵件發起了網絡釣魚攻擊。在針對以色列的供應鏈攻擊活動中出現了新的擦除(wiper)惡意軟件Agrius,意味著“擦除性惡意代碼”、“供應鏈”等高級技戰術不再是俄羅斯國家背景的APT組織獨有。這說明俄羅斯在網絡戰中高級攻擊技術的應用,已在全球地緣政治活動中產生影響,促使包括俄烏在內的、全球范圍內國家地區的地緣政治活動更為劇烈。結果是“俄烏沖突”使雙方在網絡空間中均遭受到了不同程度的損失。
1.4 數字證據易篡改促使境外APT組織利用網絡攻擊栽贓構陷
數字證據廣泛存在于計算機系統軟硬件和外圍設備及相關網絡之中,區別于傳統的物證證據,數字證據具有易篡改的特性,傳統的書面材料等實物證據被破壞篡改都會留下痕跡,通過筆跡特點、油墨類型、印刷版式等方面進行文件檢驗學的司法鑒定通常可以發現,而數字證據包括電子文檔、音視頻等在文件內容和元數據上都可以任意讀寫改動,除非有第三方加密、加印等存儲手段加以監視性保護,不然要從已經被篡改、刪除和破壞的電子存儲媒介中重新查清痕跡往往十分困難。
2022年2月,安天發布報告揭露了具有印度背景的APT組織暗象[6],發現該組織主要針對印度境內的社會活動人士、社會團體和在野政黨等,同時也會竊取印度周邊國家如中國和巴基斯坦等國軍事政治目標的重要情報。在對其所涉及的Bhima Koregaon構陷案件進行復盤時,安天發現暗象組織對印度境內處境窘迫、缺乏網絡安全防范意識和手段的社會運動個人長期反復發動魚叉郵件式攻擊,在成功向對方系統植入NetWire遠控木馬后,攻擊者將精心制作的包括“購買軍火”、“密謀暗殺總理”等內容嚴重違反印度法律的文檔信件,多次借助遠控木馬傳送到目標的筆記本和外接移動存儲設備的隱蔽文件目錄中,此后攻擊者將此結果密報當地警方前往目標的住宅突襲檢查,當場查獲這些構陷目的的違法信件作為論罪的數字證據。
在數字取證的過程中,為了能夠向司法機關提供足夠可靠的證據,對于犯罪相關的計算機、手機、平板和其他存儲介質設備的現場查獲、后期的封存移交,以及設備中數字證據的固定、分析、認證都需要嚴謹的流程手段和監督。在暗象涉及的案件中,在實現網絡層面的操作后,犯罪者的構陷行為從現場查獲的階段便開始了。從后續為翻案提供證據的二次取證的過程來看,殺毒軟件記錄的計算機系統中進程、文件和網絡的詳實信息和三者間相互關系的留存發揮了關鍵的作用,特別是文件系統的UsnJrnl記錄與歷史進程信息的結合證明了違法信件在受害人電腦中的出現是來源于遠程控制木馬的網絡傳送。
1.5 利用物聯網設備進行戰場預置的APT攻擊活動頻繁
0等。物聯網IoT設備利用種類繁多的網絡協議技術使得網絡空間與來自物理世界的信息交互成為可能。但是IoT自身具備以下不安全因素:其一,IoT設備自身多數未嵌入安全機制,同時其又多半不在傳統的IT網絡之內,等于游離于安全感知能力之外,一旦遇到問題也不能有效響應;其二,大部分的IoT設備24小時在線,其是比桌面操作系統主機更“穩定”的攻擊源;其三,路由器、攝像頭等IoT設備用作代理,能穩定傳輸攻擊、下發、竊密和控制等階段的流量,由于本身網絡流量較大,還可以將攻擊流量混入其中達到隱藏隱蔽的作用;其四,在特定場景下,內網設備大多能訪問路由器,可作為面向內網的跳板,同時存在于網絡邊界的路由器、攝像頭等有時又暴露于互聯網上,攻擊者也能直接從互聯網訪問。以上特點,使得APT組織利用物聯網IoT設備搭建C2基礎設施獲取相對攻擊優勢成為常見手段。
物聯網是由不需要人工干預的具有傳感系統的智能設備組成的網絡,在現今的人類社會中,IoT存在于社會應用的各個角落,如可穿戴設備、車聯網、智能家庭、智慧城市、工業4.
2022年初,安天發現海蓮花組織在針對我國的網絡攻擊活動中[7],預先通過弱口令爆破、漏洞攻擊等手段攻陷遍布我國多處重要省市的公網路由器、攝像頭等物聯網設備充當跳板,安裝流量轉發工具,將Torii遠控木馬的竊密和控制流量經一層或多層跳板轉發至真實的Torii遠控服務器。通過復盤追溯,安天發現Torii遠控家族的最早活躍時間可追溯至2017年,其功能豐富、適配廣泛,本身設計上就是面向各類型物聯網系統設備的遠控武器,支持生成眾多類型如ARM、x86、x64、MIPS、SPARC、PowerPC、SuperH、Motorola 68000等CPU架構的木馬載荷,能對運行于以上架構的服務器、物聯網設備、辦公主機等進行深度信息竊取和控制,具備10組以上的命令控制能力。
2022年5月,Mandiant公司在調查APT29組織從受害者內部網絡中收集電子郵件的竊密活動時[8],發現攻擊者使用了一種基于開源Dropbear SSH軟件魔改而成的新型后門,該后門支持在不受集中式安全管理且無端點側檢測防御手段的物聯網設備中運行,基于Dropbear SSH功能開啟SOCKS代理轉發流量建立跳板。攻擊者將此手段應用于目標網絡中版本老舊的會議室IP攝像頭,由于這些設備直接被暴露在互聯網上且位于檢測盲點,攻擊者將惡意行為混入正常流量中在受害者網絡保持潛伏了相當長時間未被發現。
2.勒索攻擊
回顧2022年發生的勒索攻擊事件,部分勒索軟件被具有國家背景的攻擊組織作為“政治化”犯罪工具,用以實施網絡攻擊。在俄烏沖突期間“政治化”勒索攻擊案例頻頻發生并伴隨著“破壞式”勒索軟件再現,偽裝成勒索攻擊,但實際目標是破壞系統運行,從而實現網絡空間攻擊轉化為物理空間影響。隨著網絡安全技術的不斷創新和安全設備筑起堅實的邊界防護壁壘,威脅行為者在利用常見執行體傳播方式無法實現入侵,雇傭受害目標內部人員實施網絡攻擊作為新手段。勒索策略也出現了新轉變,從傳統的勒索軟件攻擊“竊取+加密”轉變為“竊取+刪除或破壞”的攻擊。跨平臺勒索軟件執行體幫助威脅行為者滲透到越來越復雜的網絡環境中,在執行體分析上也給安全工作者帶來了新的挑戰。
2.1 “政治化”勒索攻擊
勒索軟件通常作為攻擊組織以經濟目的為由的犯罪工具,回顧2022年發生的勒索攻擊事件,發現部分勒索軟件被具有國家背景的攻擊組織作為“政治化”犯罪工具,用以實施網絡攻擊。
“政治化”的勒索攻擊大致可以分為兩類,一種實質上是偽裝為勒索攻擊的破壞活動,安天曾于2017年關注到針對烏克蘭的偽必加“NotPetya”破壞活動[9];伊朗情報和安全部(MOIS)在伊朗情報部長的領導下,從2022年7月開始對阿爾巴尼亞政府系統進行了一系列破壞性攻擊,包含多次勒索軟件攻擊,其中隸屬伊朗的APT組織MuddyWater利用公開漏洞入侵受害者系統,從而部署勒索軟件[10];2022年10月,烏克蘭計算機應急響應小組(CERT-UA)發布了Cuba勒索軟件針對該國家發起攻擊活動的警告。攻擊者投放偽裝成來自烏克蘭武裝部隊相關內容的釣魚郵件,從而誘使受害者查看并下載勒索攻擊載荷[11]。另一種是具有“政治化”背景的攻擊組織幫助國家謀取利益的勒索攻擊活動,例如微軟威脅情報中心(MSTIC)發現朝鮮的攻擊者開發出的H0lyGh0st勒索軟件,并且該勒索軟件和隸屬朝鮮的APT組織Lazarus存在一定關系,微軟分析師猜測其動機可能為幫助朝鮮政府緩解經濟壓力[12];隸屬朝鮮的APT38組織使用Beaf、PXJ、ZZZZ和ChiChi等勒索軟件實施攻擊活動[13]。
俄烏沖突時期,多個勒索軟件組織宣明各自政治立場。2月25日,Conti在其暗網的數據泄露平臺發布聲明,稱“如果任何組織決定對俄羅斯發動網絡攻擊或任何戰爭活動,我們將動用一切可能的資源,對敵人的關鍵基礎設施進行反擊”。Conti是在俄烏沖突時期第一個表明政治立場的勒索軟件組織,但此舉遭到了內部工作人員不滿,一名據稱是烏克蘭籍的成員在網上公開了該組織內部聊天記錄和勒索軟件構建器等資料。Stormous勒索軟件組織表明支持俄羅斯,并于3月1日發布聲明稱其攻擊了烏克蘭外交部[14]。還有部分勒索軟件組織未公開表明政治立場,但實際發動了針對性勒索攻擊活動,包括Freeud、Prestige、NB65和HermeticRansom(GoRansom)等勒索軟件。
雖然威脅行為者通常會直言不諱地表達自己的意圖并聲稱對攻擊負責,但映射現實世界的身份較為困難,并且區分威脅行為者出于政治或經濟的犯罪動機越來越具有挑戰性。
2.2 “破壞式”勒索軟件執行體
“破壞式”勒索軟件與常見的勒索軟件不同,未采用加密算法對文件進行加密,而是采用數據覆蓋或數據擦除的方式,對受害者系統中的文件進行破壞。
俄烏沖突期間曾出現多個“破壞式”勒索軟件,1月13日微軟曾發現一個名為MBR Locker,針對烏克蘭地區的勒索攻擊活動,該活動分為勒索和數據擦除兩個階段,勒索階段投放的執行體實為佯攻,藏在勒索背后的是WhisperGate數據擦除器執行體,在勒索階段釋放的勒索信用以迷惑受害者,其真實目的是為了掩蓋WhisperGate數據擦除器入侵受害者系統后的惡意行為[15]。HermeticRansom(GoRansom)的勒索軟件執行體于2月23日在烏克蘭某網絡設施中被發現,其功能與MBR Locker攻擊活動較為相似,也是在投放勒索軟件執行體后,執行HermeticWiper數據擦除器執行體[16]。4月出現在公眾視野的Onyx勒索軟件不同于以往,其采用的加密策略為判斷加密文件大小,對小于2M的文件正常采用加密算法進行加密,對大于2M的文件采用垃圾數據進行覆蓋,即使受害者支付贖金也無法恢復大于2M的所有文件[17]。
我們曾在2021年預測“破壞式”勒索軟件再現,以破壞為目的的攻擊行動,同樣可以偽裝為定向勒索攻擊行動。由于勒索軟件對數據和文件加密會導致系統或業務失能的后果,此前也曾出現過偽裝成勒索攻擊,但實際目標是破壞系統運行,從而實現網絡空間攻擊轉化為物理空間影響的事件。
2.3 勒索策略轉變
常見勒索軟件執行體傳播包括網絡釣魚、RDP暴力破解和漏洞利用等方式,隨著網絡安全技術的不斷創新和安全設備筑起堅實的邊界防護壁壘,威脅行為者在利用常見執行體傳播方式無法實現入侵,但發現當前各企業在執行網絡安全建設規劃時,內部安全通常被忽視,結合疫情導致的經濟因素伴隨著縮減支出、裁員等情況,則衍生出雇傭受害目標內部人員實施網絡攻擊作為新手段。Lapsus$勒索軟件組織并不依賴于執行體常見傳播方式,而是尋找愿意出售其組織內訪問權的內部人員,這也可能是導致在2022年內,多個大型企業遭受Lapsus$組織攻擊的原因,包括英偉達、三星、育碧、微軟和優步等[18]。
采用“雙重勒索”方式在勒索軟件運營中已經成為主流趨勢,即“竊取數據+加密文件”的方式,多個勒索軟件利用Exmatter(又名Fendr)數據滲透工具作為竊取受害者系統文件的利器,其中知名的包括BlackMatter和BlackCat等勒索軟件。由于勒索軟件在開發環節中可能存在漏洞,研究人員可以開發出對應解密工具用以幫助受害單位,從而導致勒索軟件開發人員及附屬成員無法獲取勒索贖金,Exmatter數據滲透工具開發人員為了解決這一問題,在得到有價值的文件并成功從受害者系統中導出后,對系統內的原文件進行數據覆蓋,即不再采用加密算法加密文件,而是竊取成功后對系統內原文件進行損壞,意味著受害者只能通過聯系攻擊者支付贖金后獲取自己的文件。
這種新的數據損壞功能可能是一種新的轉變,從傳統的勒索軟件攻擊“竊取+加密”轉變為“竊取+刪除或破壞”的攻擊。在這種方法下,附屬成員可以保留攻擊產生的所有收入,因為他們不需要與加密器開發人員分享一定比例的收入[19]。隨著國際上對勒索軟件贖金支付的制裁和執法單位對追蹤比特幣流向技術的提升,勒索軟件組織逐漸摒棄使用比特幣作為贖金支付的選項并轉向其他形式。
2.4 日益增多的跨平臺勒索軟件執行體
Big Game Hunting(BGH)[20]網絡大型游戲狩獵是一種網絡攻擊計劃,通常指勒索軟件針對大型、高價值和知名企業單位進行勒索攻擊,該計劃使得勒索軟件威脅行為者已經滲透到越來越復雜的網絡環境中。為了造成盡可能多的損害,威脅行為者嘗試加密盡可能多的系統,這意味著他們的勒索軟件執行體能夠在不同的架構和操作系統上運行。實現這個計劃的一種方法是用Rust或Golang等“跨平臺編程語言”編寫勒索軟件,使用跨平臺語言還有其他一些原因,部分勒索軟件目前可能只針對一個平臺,但在跨平臺中編寫它可以更容易地將執行體移植到其他平臺,另一個原因是跨平臺執行體在分析上較難一些。在2022年已經發現了多個知名的跨平臺勒索軟件執行體,例如Linux版AvosLocker和LockBit勒索軟件執行體針對VMware ESXi服務器,TellYouThePass勒索軟件使用Golang語言開發新版執行體卷土重來,Hive勒索軟件使用Rust語言開發針對Linux系統VMware ESXi服務器的執行體等。
3.挖礦木馬
3.1 越來越多的挖礦木馬團伙掌握快速集成漏洞的能力
隨著挖礦木馬對抗技術的不斷完善,越來越多的挖礦木馬團伙掌握快速集成漏洞的能力。挖礦木馬不僅對抗安全產品,還要阻斷同行的競爭,誰能率先快速集成漏洞,誰就能優先獲得存在漏洞的公網算力,也就獲取到了相應的利潤。每當出現影響廣泛的漏洞時,全網受影響的設備很難在短時間內修復漏洞,這就給了挖礦木馬可乘之機。如Log4j2漏洞爆發后,H2Miner[20]等挖礦團伙迅速集成該漏洞并發起攻擊。自Confluence OGNL(CVE-2022-26134)漏洞利用的詳細信息公布后,“8220”[22]挖礦組織和Hezb[23]挖礦木馬開始利用該漏洞進行廣泛傳播。對企業來說,需要提高快速修復漏洞的能力,避免挖礦木馬利用漏洞控制主機權限,制定解決方案,防止在漏洞曝光后,給企業帶來挖礦木馬傳播的風險。
3.2 挖礦木馬礦池逐漸隱蔽,傳統情報檢測將逐漸失效
挖礦木馬通常采用兩種方式進行挖礦,一種是直連礦池的方式進行挖礦,另一種是礦池代理的方式進行挖礦。挖礦木馬直連礦池挖礦通常會讓受害者主機直接連接礦池地址上傳算力結果,礦池平臺根據貢獻的算力情況將報酬下發到挖礦木馬團伙的錢包中,這種方式的弊端是安全分析人員通過分析攻擊腳本等能夠獲取到挖礦木馬團伙的錢包地址,并且還能發現直連的公共礦池地址,這樣通過公共礦池網站輸入對應的挖礦木馬團伙的錢包地址,即可發現有多少受害者在被動挖礦、當前貢獻算力總哈希和產出多少門羅幣等等。而礦池代理可以輕松解決上述弊端,即礦工和礦池之間添加一個中轉環節,礦池代理從公共礦池獲取任務轉交給礦工進行運算,礦工將運算結果轉交給礦池代理進而在轉發到公共礦池。近些年來,越來越多的挖礦木馬團伙開始使用礦池代理的方式進行挖礦,如Kthmimu[24]、“8220”[22]、Sysrv-hello、Outlaw[25]等都逐漸開始使用這種方式進行挖礦。礦池代理的普及將真正使用的公共礦池隱蔽起來進行挖礦,可繞過傳統情報礦池黑名單檢測,使傳統黑名單檢測失效。
圖3-1 礦池代理示意圖
3.3 由于穩定的利潤,更多的威脅組織開始從事惡意挖礦
2022年整個虛擬貨幣市場遭受巨大沖擊,幾乎所有幣種價格都在下跌。以比特幣為例,1月份每個比特幣價格接近48000美元,而到了11月份,每個比特幣的價格僅為17000美元,跌幅超過3萬美元。盡管如此,惡意挖礦并沒有減少,反而更加活躍。惡意挖礦最常使用的幣種是門羅幣,相較于其他幣種,門羅幣更加穩定,這也受到了其他勒索軟件組織的青睞。例如,AstraLocker[26]勒索軟件關閉了勒索攻擊活動并將自身業務轉向到惡意挖礦活動中,這種轉變很可能是該勒索軟件組織想以更加低調和隱蔽的方式賺取虛擬貨幣。在各國政府加強了對勒索軟件的防御和執法力度之后,勒索軟件組織的收益大打折扣,與惡意挖礦不同的是,勒索軟件在入侵系統后會影響系統正常運行,賺取贖金的方式主要依靠與受害者溝通,情節嚴重可能會受到各國政府的打壓。而惡意挖礦可以在受害者不知情的情況下賺取虛擬貨幣,這對勒索軟件組織來說風險性相對較低,雖沒有勒索受害者支付贖金賺錢,但惡意挖礦近乎零成本賺取虛擬貨幣,既不用擔心電費的價格,也不用擔心算力的問題,也可以賺取豐厚的報酬。所以安天CERT認為,未來會有更多的威脅組織從事這種低風險、高回報的惡意挖礦活動。
4.僵尸網絡
據統計CNCERT每月公布的互聯網威脅報告發現[27],2022年活躍的僵尸網絡家族有Mirai、Mozi、rapperbot、hybridmq、gafgyt和moobot等,這些活躍的僵尸網絡家族都具有DDoS功能且感染量在國內較大,一旦發起攻擊,其破壞和影響巨大。安天發現2022年全球政治局勢不斷變幻,利用僵尸網絡發起具有政治意味的DDoS攻擊已然成為大國之間對抗的主要手段;通過對2022年披露的漏洞利用情況進行統計后發現,僵尸網絡正在積極地利用新出現的漏洞進行傳播;采用P2P傳播方式的僵尸網絡在物聯網設備間廣泛傳播。
4.1 由僵尸網絡發起的DDoS攻擊已成為國與國對抗的利器
僵尸網絡是被黑客集中控制的計算機群,其核心特點是黑客能夠通過一對多的命令與控制信道操縱感染木馬或僵尸程序的主機執行相同的惡意行為,如可同時對某目標網站進行DDoS攻擊,或發送大量的垃圾郵件,或進行“挖礦”等。隨著全球政治局勢動蕩,越來越多具有國家支持的APT攻擊組織或個人組織因國際關系,利用僵尸網絡發起具有政治意味的網絡攻擊。
2022年初,伴隨俄烏沖突,美、歐、俄、烏之間展開了一場沒有硝煙的網絡戰爭。據烏克蘭媒體報道,(俄烏沖突)正式開戰前從1月14日至2月24日,先是烏克蘭的外交部、教育部、內政部、能源部等70多個政府網站遭到來自俄羅斯的DDoS網絡攻擊而關閉,繼而國防部、安全局、武裝部隊、金融機構等多處信息資源(網站和APP)攻擊而癱瘓、服務中斷,數百臺機器的數據被擦除[28]。據俄羅斯衛星社報道,“匿名者”黑客組織發動大規模DDoS攻擊,造成克林姆林宮、國防部、外交部等多個俄羅斯政府網站無法完全訪問[29]。
國家互聯網應急中心(CNCERT)2022年3月11日發布監測報告[30],2月下旬以來,中國互聯網持續遭受境外網絡攻擊,境外組織通過攻擊控制中國境內計算機,進而對俄羅斯、烏克蘭、白俄羅斯進行網絡攻擊。經分析,這些攻擊地址主要來自美國,僅來自紐約州的攻擊地址就有10余個,攻擊流量峰值達36Gbps,87%的攻擊目標是俄羅斯,也有少量攻擊地址來自德國、荷蘭等國家。
2022年全球政治局勢不斷變幻,利用僵尸網絡發起具有政治意味的DDoS攻擊已然成為大國之間對抗的主要手段。[31]
4.2 僵尸網絡利用新漏洞進行傳播
2022年,安天監測發現僵尸網絡運營者通過增加漏洞數量并積極利用1day 漏洞來擴大僵尸網絡規模。以下柱狀圖中CNCERT發布的2022年6月-11月6個月間捕獲的物聯網在野傳播漏洞種類[27]:
圖4-1 2022年6月至11月CNCERT/CC捕獲在野傳播漏洞種類統計圖
以 CVE-2022-29591 漏洞為例,該漏洞首次披露于2022年5月10 日, 安天在 5 月 17 日即捕獲到該漏洞利用的流量,可見Miori僵尸網絡運營人員對新漏洞具有較高的敏感性并具有一定的漏洞利用能力。
2022年11月,安天蜜罐捕獲一個由Go編寫的DDoS類型的僵尸網絡家族zero ,該僵尸網絡短時間內出現了4個不同的版本,分析人員發現其在版本迭代中持續更新添加漏洞,僅2022年各類遠程可執行漏洞利用就多達12個。
通過對2022年披露的漏洞利用情況進行統計后發現,僵尸網絡正在積極地利用新出現的漏洞進行傳播。
4.3 采用P2P傳播方式的僵尸網絡在物聯網設備間廣泛傳播
隨著信息時代高速發展下“萬物互聯”概念的驅使,物聯網設備日益增多,但大多數物聯網設備包括嚴重的安全問題,如弱密碼、對管理系統的開放訪問、默認管理憑據或弱安全配置等,物聯網設備已成為對攻擊者有吸引力的目標。攻擊者抓住物聯網漏洞繁多的特點來控制設備,這使得攻擊者可以輕松訪問它們,并導致在線服務的中斷。且由于物聯網設備的感染通常不會被用戶注意到,因此攻擊者可以輕松地將數十萬臺此類設備組裝成一個強大的僵尸網絡,從而能夠進行大規模攻擊。
P2P傳播方式是部分僵尸網絡的傳統傳播手段之一,具有傳播速度快、感染規模大、追溯源頭難的特點, 例如Mirai、Mozi等僵尸網絡家族在利用該傳播方式后活動異常活躍。2022年聯網智能設備間僵尸網絡控制規模持續增大[32],部分大型僵尸網絡通過P2P傳播與集中控制相結合的方式對受控端進行控制。受感染設備之間仍可繼續通過P2P通信保持聯系,并感染其他設備。隨著更多物聯網設備不斷投入使用,采用P2P傳播的惡意程序可能對網絡空間產生更大威脅。
5.攻防對抗
當前,網絡安全對抗模式已演進成為全面體系化的對抗,建制化的攻擊組織在大規模工程體系支撐下,依托制式化網空裝備完成殺傷鏈。在持續的新冠疫情下,政企部門加速了云業務、數字化業務,尤其是以新基建、信創為代表的新基礎設施引入了更多的攻擊面和供應鏈威脅,攻防對抗長期處于“易攻難守”的不對稱局面。
5.1 攻擊面管理(ASM)成為攻防對抗的第一扇窗
Gartner在2018年首次提出攻擊面管理(Attack surface management,ASM)的概念,隨后在2022年2月將攻擊面管理發布在網絡安全風險管理趨勢中的首位。近年來,因攻擊面管理不善導致的安全事件頻發(如Log4j2遠程代碼執行漏洞(CVE-2021-44228)在野利用、某市健康碼AccessKey配置不當導致數據泄露等),近幾年攻擊面管理的概念開始廣泛的在攻防對抗領域反復提及。
受新冠疫情的反復影響,政企部門加速了數字化轉型工作、云業務工作,5G和IOT業務的快速落地使原本脆弱的攻擊面管理工作變得越發復雜。有關數據表明[33][34][35],絕大多數企業都認為應該提升攻擊面的監控能力,但在漏洞出現時,企業往往需要平均80個小時以上來更新自己的攻擊面范圍,而攻擊者僅需48小時就可以將漏洞武器化。因此,隨著攻防實戰演練的活動的深入、大國間網絡對抗較量的加劇,攻擊面管理已成為攻防對抗的第一扇窗,攻擊者很容易利用脆弱的攻擊面將原有的“監測-分析-預警-處置”的安全體系擊穿,對企業整體網絡安全性造成的影響。
5.2 供應鏈成為攻防對抗最大的突破口之一
2022年供應鏈安全事件頻發,NPM存儲庫的大規模供應鏈攻擊事件、Spring4Shell漏洞攻擊事件等安全事件證明供應鏈安全是不容忽視的。據國家信息安全漏洞庫(CNNVD)的統計數據,2022年上半年漏洞總量環比增長達到12%,超高危漏洞占比超過50%。隨著國際加強了對漏洞發布的管理,在野漏洞利用有進一步加重的趨勢。
在我們的觀測中,攻防對抗中的流行漏洞關于辦公系統、項目管理系統、郵件系統等供應鏈產品的漏洞占比已超過50%。在某大型攻防演練活動中,在野利用的辦公系統、網絡設備、網絡安全設備等供應鏈產品漏洞更高達20個,廣泛使用攻擊鏈漏洞攻擊已是攻防對抗中最常見的手段之一。由于政企用戶難以了解供應商的網絡安全水準,攻防對抗中往往會使用供應鏈產品漏洞打造的殺傷鏈對目標進行精準攻擊入侵并控制目標系統設施,實現作戰目的。攻擊者還可以利用通用的開源組件漏洞對作戰目標進行范圍打擊,再次提高檢測和響應的難度,將殺傷鏈拓展成為殺傷網,以突破更多的作戰目標。由此可見,供應鏈產品漏洞已成為攻防對抗中最大的突破口之一。
5.3 載荷隱藏的濫用是攻防對抗的一大挑戰之一
在過去,APT組織往往使用多種的載荷隱藏技術來規避檢測,實現長時間的隱匿。隨著實戰化攻防演練活動的深入,為了達成演練效果,載荷隱藏技術也被廣泛討論和研究。從最開始的免殺對抗、隧道隱藏到無實體文件落地、簽名免殺等更加高級的載荷隱藏方法。僅在某大型攻防演練活動中,我們便觀測到7種以上的載荷隱藏方法,極大的考驗安全團隊的響應能力。
● 利用CDN域前置和云函數轉發攻擊樣本偽裝流量,隱藏C2地址,對抗威脅情報;
● 利用代碼托管平臺托管攻擊載荷,干擾沙箱、迷惑受害者和分析人員;
● 利用簽名免殺制作樣本,對抗多引擎對照結果;
● 利用內存馬技術控制,對抗終端反病毒軟件;
● 利用分片傳輸的方式發送數據包,對抗流量檢測特征;
● 利用二次開發商業軍火工具,對抗流量檢測特征;
● 利用DNS、ICMP等協議發送載荷,對抗流量協議檢測。
這些技術不僅在攻防對抗領域廣泛應用,也在社交平臺、論壇、博客上廣泛討,極大的降低了原本的使用門檻。我們同時發現,一些攻擊者開發的武器化的工具現在也支持多種的載荷隱藏方式并高速迭代,給分析、監測、處置帶了極大的挑戰,由此可見,載荷隱藏的濫用已然是攻防對抗的一大挑戰之一。
5.4 AI賦能將為攻防對抗帶來更多挑戰
ChatGPT[36]是由OpenAI開發的一個人工智能聊天機器人程序,于2022年11月推出,一經推出后,受到全世界廣泛關注。很快有安全研究員發現,ChatGPT可以被訓練分析代碼缺陷、編寫漏洞檢測規則,也可以生成惡意代碼、生成漏洞POC、甚至生成釣魚郵件等。
AI的加入使攻擊者的攻擊成本再度降低,一方面,可以將AI用于生成黑客軍火,對抗安全產品,甚至可以結合輿論戰、網絡戰、信息戰實現更大的作戰目的,也可以將作戰任務自動化、規模化,提升攻防對抗難度;另外一方面,可以利用AI驅動網絡防御,改進業務代碼質量,優化網絡安全設備檢出能力,自動化阻斷網空威脅,大幅縮短威脅發現、響應時間,有效提高防御能力。難以否認的是,隨著AI算力增強、訓練模型日益精準、使用門檻不斷降低,AI的賦能將給攻防對抗帶來更多的挑戰。
5.5 針對新基建的攻防較量將成為攻防對抗的主陣地
當前國際秩序面臨深度調整,全球科技競爭格局正加速重構。新基建作為數字化基建的基礎設施,進一步擴大了攻擊面,增加了網絡安全建設和管理的難度;另外一面,新基建尤其是信創類產品,由于廣泛使用開源產品,這必將獲得攻擊者尤其是超高能力網空威脅行為體的關注,并將其作為重點攻擊的目標。因此,隨著新基建尤其是信創產品的加速落地,未來針對新基建場景的攻防加量將為成攻防對抗的重要陣地。
5.6 常態化的安全運營,將有效提升政企機構的攻防能力
隨著政企機構數字化建設的深化發展,新技術大量應用,線上場景不斷豐富,網絡安全面臨全新風險和挑戰。當前一部分政企用戶已部署了大量的安全設備,但由此產生的海量告警給日常安全運維帶來極大的壓力,影響安全運營的效率和效果,難以體現安全建設價值。
通過常態化的安全運營可以持續挖掘和分析網空威脅行為體的關鍵特征,通過安全產品和安全服務相結合進行威脅發現、防范和處置,協助客戶建立有效的安全防護體系。常態化安全運營劃分為以下四個層面,可以充分考慮到業務組織和IT環境的特征,以及實際安全需求,有效降低安全運維壓力,隨時掌握安全態勢,持續進行威脅對抗,幫助政企機構規避安全風險,有效提高攻防能力。
● 安全運營體系建設:健全安全運營管理制度體系和應急預案體系,強化關鍵環節的安全運營協同機制,確保政企機構的網絡安全工作在安全運營組織機構的帶領下能井然有序的開展。
● 前置安全評估:以全生命周期視角看待政企機構的資產安全運營,梳理資產攻擊面,發現安全風險。協助客戶做好安全運營的起點,把風險管控于系統上線之前
● 事件應急響應:協助客戶定位事件源頭,及時阻斷事件橫向蔓延,分析事件發生起因和過程,恢復現場損失,并加固相關脆弱性,防止事件再次發生
● 常態安全運營:基于資產與系統、應用與執行體、網絡與拓撲、身份和賬戶、數據與業務五個層面協助客戶構建基礎運營的層次,為實現系統、拓撲、業務、數據流向提供建議,協助政企機構實現數據分類分級,持續開展數據安全治理。基于安全產品的運營結果,不斷挖掘新的攻擊面、脆弱性和威脅事件。聯動進行威脅研判是否需要觸發重大事件響應處置流程。
6.數據泄露
2022年,新冠疫情仍然肆虐全球,全球各行各業加快了數字化轉型,數據的價值得到進一步凸顯的同時,數據泄露也在持續高頻發生,數據泄露事件也不斷地成為新聞熱點,涉及從醫療信息、賬戶憑證、個人信息、企業電子郵件及企業內部敏感數據等各種信息,涉及的領域包括工業制造、政務、醫療、金融、交通等等,不一而足,面臨的形勢依然非常嚴峻。
6.1 2022年泄露事件持續高頻發生
2022年數據泄露事件持續高頻發生,數據泄露事件的數量也有增無減,個人信息泄露量以及文件數據泄露量巨大,對個人以及企業機構造成的影響十分嚴重。
2022年影響力較大的數據泄露事件主要發生在互聯網及各類型企業,文件數據泄露事件主要涉及能源、醫療、制造業、政府機構等,個人信息數據泄露事件主要涉及互聯網、電信運營商、醫療、交通等領域。其中俄羅斯石油公司在德國的分公司Rosneft Deutschland GmbH以及linux平臺的開源軟件構建項目Travis CI所遭遇的數據泄露最為嚴重,分別導致了20TB文件數據泄露和7.7億條用戶日志記錄泄露。信息化程度越高的行業,數據泄露事件越多,且泄露所造成的危害越大。造成2022年數據泄露事件的原因主要有黑客竊取、勒索軟件攻擊以及企業和機構的數據庫或者云存儲配置不當。持續高頻發生的數據泄露事件,使得全球數億人的隱私和安全受到嚴重威脅。
圖6-1 2022年影響力較大的文件數據泄露事件
圖6-2 2022年影響力較大的個人信息數據泄露事件
6.2 黑客論壇被用作網絡犯罪活動的平臺
數字化時代,數據泄露是推動網絡犯罪規模化、產業化的最大動力,黑客論壇成為網絡犯罪分子倒賣數據獲取利益的平臺。7月21日,一名用戶在BreachForums黑客論壇上發帖出售聲稱屬于Twitter的540萬賬戶數據,發帖人稱其在2021年12月利用了一個漏洞來收集數據,雖然Twitter在2022年1月修復了這個漏洞,但它仍然暴露了數百萬用戶的私人電話號碼和電子郵件地址;11月11日,BreachForums黑客論壇的一名用戶發布了一個數據庫,其中包含大約720萬俄羅斯踏板車共享服務Whoosh的客戶的詳細信息,賣家還聲稱,被盜數據包括300萬個促銷代碼,人們可以使用這些代碼免費租用Whoosh滑板車;11月16日,BreachForums黑客論壇的一名用戶發帖出售超4.87億通訊軟件WhatsApp用戶的信息數據,據稱數據涉及84個國家和地區,其中約3200萬來自美國,4500萬來自埃及、3500萬來自意大利、2000萬來自法國。
6.3 滴滴泄露數據被罰,敲響用戶信息數據安全警鐘
2021年6月30日,滴滴正式在紐交所掛牌上市,在2022年7月4日,國家互聯網辦公室發布消息稱:“根據舉報,經檢測核實,‘滴滴出行’APP存在嚴重給違法違規收集個人信息問題。網信辦依據《中華人民共和國網絡安全法》相關規定,通知應用商店下架‘滴滴出行’APP。”
2022年7月21日,據網信中國發文[37],“國家互聯網信息辦公室依法對滴滴全球股份有限公司涉嫌違法行為進行立案調查。”“經查實,滴滴全球股份有限公司違反《網絡安全法》《數據安全法》《個人信息保護法》的違法違規行為事實清楚、證據確鑿、情節嚴重、性質惡劣。7月21日,國家互聯網信息辦公室依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣80.26億元罰款,對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。”在記者會上,網信辦表示經查實,滴滴公司共存在16項違法事實,歸納起來主要是八個方面。
全球各行業的數字化轉型已成主要趨勢,但不斷累積增長的敏感數據也帶來了數據泄露、篡改、濫用等安全問題。隨著《網絡安全法》、《數據安全法》、《個人信息保護法》、《數據出境安全評估辦法》等法律法規相繼頒布實施,我國數據監管法律體系日益完善。此次數據泄露事件也是給國內所有的互聯網公司一個警醒,國家信息安全無小事,保護信息安全人人有責。
6.4 斬斷竊密“黑手”,筑牢個人信息保護防火墻
互聯網時代,公民個人信息已成為“含金量”極高的商業資源,是竊密者覬覦的重點目標。據安全內參11月21日報道[38],哈爾濱市公安局南崗分局網安大隊民警在工作中發現,黑客論壇上有一名用戶于2022年10月發帖出售公民個人信息數據,自稱持有數據量約20GB,售價0.2比特幣,該用戶還公布了29條數據樣本,樣本中還包括了公民姓名、聯系電話、家庭住址等個人信息。經過專案組民警們96小時的艱苦奮戰,10月22日,南崗公安分局民警在哈爾濱市平房區將涉嫌非法獲取計算機信息系統數據的犯罪嫌疑人麻某抓獲,并在其電腦中查獲非法獲取的公民個人信息10萬余條。經審訊,犯罪嫌疑人麻某為IT行業從業人員,利用某醫療機構微信公眾號的系統漏洞,在2022年4月至10月間,通過技術手段非法獲取該計算機系統數據10萬余條,而后在境外某黑客論壇發帖出售,截至落網前,已非法獲利1500美元。個人信息的泄露會造成一系列的連鎖威脅,敏感信息直接關系公民人身及財產安全,若被非法獲取,極易引發關聯性犯罪,比如金融詐騙、信用欺詐、勒索等等,泄露的數據還會形成精準的用戶畫像。
大數據時代發展至今,個人信息泄露問題已然成為社會發展的隱患,保護個人隱私勢在必行,保護公民個人信息不受侵害也成為了網絡信息技術飛速發展條件下的必然要求。不但公民自身要提高安全意識,互聯網平臺也應自覺承擔起保護用戶敏感信息的責任,關鍵行業更要盡早做好相應的防范措施,加強技術性管理策略以及防范手段,以最大程度地避免數據泄露帶來的風險。
7.工業互聯網
依據《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》[39],工業互聯網作為新一代信息技術與制造業深度融合的產物,日益成為新工業革命的關鍵支撐和深化“互聯網+先進制造業”的重要基石,對未來工業發展產生全方位、深層次、革命性影響。工業互聯網通過系統構建網絡、平臺、安全三大功能體系,打造人、機、物全面互聯的新型網絡基礎設施,形成智能化發展的新興業態和應用模式,是推進制造強國和網絡強國建設的重要基礎,是全面建成小康社會和建設社會主義現代化強國的有力支撐。
近年來,我國積極布局工業互聯網,在《工業互聯網發展行動計劃(2018-2020年)》(工信部信管函〔2018〕188號)[40]、《工業和信息化部辦公廳關于推動工業互聯網加快發展的通知》(工信廳信管〔2020〕8號)[41]、《工業互聯網創新發展行動計劃(2021-2023年)》(工信部信管〔2020〕197號)[42]等一系列政策和市場需求的雙重驅動下,我國工業互聯網蓬勃興起,多項應用逐步落地,市場規模不斷擴大;與此同時,工業互聯網所面臨的網絡安全威脅也值得我們給予高度關注。
7.1 地緣政治軍事沖突波及工業互聯網
2022年,地緣政治局勢緊張加劇,區域性軍事沖突、領土矛盾流血沖突爆發,其負面影響在一定程度上波及了工業互聯網。
2022年2月24日,俄烏沖突爆發。從沖突正式爆發前夕直至目前,APT28、APT29、Turla、Sandworm(沙蟲)、Dragonfly、Gamaredon、UNC1151、烏克蘭軍事情報局(GURMO)、IT Army of Ukraine組織、匿名者(Anonymous)組織、GhostSec組織、AgainstTheWest等多方網絡空間威脅行為體紛紛卷入其中,并將其施加的負面影響從“第五疆域”(網絡空間)拓展至現實物理世界,波及有關國家的工業網絡安全。
1) 俄烏沖突期間的4月12日,烏克蘭計算機應急響應小組(CERT-UA)和斯洛伐克網絡安全公司ESET發布公告稱:俄羅斯聯邦軍隊總參謀部情報總局(GRU)旗下的Sandworm組織針對烏克蘭的高壓變電站發動了攻擊,攻擊者使用了一種新的惡意軟件變種Industroyer2;此外,攻擊組織還使用了其他幾個破壞性的惡意軟件,包括CaddyWiper、ORCSHRED、SOLOSHRED和AWFULSHRED。
2) 俄烏沖突期間的7月20日,俄羅斯 Gysinoozerskaya 水電站發生爆炸,導致電力系統緊急關閉、西伯利亞大片地區停電。GhostSec組織聲稱對這次攻擊負責,并表示其網絡攻擊是對俄烏沖突中俄羅斯一方的回應;該組織“領袖”Sebastian Dante Alexander(塞巴斯蒂安·丹特·亞歷山大)通過“The Tech Outlook”等公開渠道發聲表示:這次襲擊經過該組織精心設計,他們編寫了名為“KillBus”的工具用于針對Modbus 設備實施攻擊,該工具通過提取信息來重寫數據并將其用作從設備,繼而破壞了水力發電廠的工業控制系統及其服務器。GhostSec組織對發電廠系統的惡意干預導致了最終的爆炸。
而2022年3月下旬以來,阿以沖突(Conflict between Arabian countries and Israel)再次加劇,其負面影響同樣波及工業互聯網絡。
1) 6月上旬,微軟公司表示其阻止了一個名為Polonium的黎巴嫩黑客組織使用OneDrive云存儲平臺對以色列組織的攻擊。微軟還暫停了Polonium攻擊中使用的20多個惡意OneDrive應用程序,并通過安全情報更新隔離攻擊者的工具。根據分析,在自2022年2月以來主要針對以色列關鍵制造業、IT和國防工業部門的攻擊中,Polonium黑客組織也可能與多個與伊朗有關的攻擊者協調他們的攻擊行動。
2) 9月上旬,GhostSec組織聲稱,他們已經入侵了以色列組織使用的55臺Berghof PLC(可編程邏輯控制器)。GhostSec在其Telegram頻道上分享了一段視頻,該視頻展示了成功登錄PLC的管理面板,以及顯示其當前狀態和PLC進程控制的HMI屏幕圖像。與此同時,GhostSec還發布了更多截圖,聲稱已經獲得了另一個控制面板的訪問權限,該面板可用于改變水中的氯和pH值。研究人員表示,由于PLC可以通過互聯網訪問并存在弱口令,因此可能會被破壞。
7.2 工業互聯網基礎設施脆弱性風險披露數量超百
2022年,全球范圍內工業互聯網基礎設施脆弱性風險披露數量超百,且有關脆弱性風險可能導致的嚴重負面影響不容忽視。
2022年11月,中國工業互聯網研究院發布的《全球工業互聯網創新發展報告》[43]中觀點認為當前全球各國重視并持續升級工業互聯網安全防御體系,但針對工業互聯網的攻擊威脅不斷加劇,全球工業互聯網安全發展仍面臨巨大挑戰,其中,包括工控設備網絡攻擊日益頻繁,工控系統普遍缺乏安全設計等;例如,2022年3月,美國羅克韋爾自動化公司的PLC和工程工作站軟件中曝出2個零日漏洞,攻擊者可以利用這些漏洞向工控系統注入惡意代碼并秘密修改自動化流程。
除此事件之外,2022年工業互聯網基礎設施脆弱性風險情況又是如何呢?作為入選國家工業信息安全發展研究中心“2023年度工業信息安全監測應急支撐單位”[44]的能力型安全企業,安天一直以來都極其關注工業信息安全領域的安全防護和運營,強化能力型安全產品落地,同時加強面向物聯網、工業場景的安全價值落地;針對本年度工業互聯網基礎設施脆弱性風險披露的部分情況[45],簡要匯總如下表所示:
表格1 2022年工業互聯網基礎設施脆弱性風險披露情況(部分)
|
序號 |
時間 |
涉及工業互聯網基礎設施對象 |
該對象脆弱性風險相關信息 |
|
1 |
2022年3月 |
西門子 RUGGEDCOM ROX和ROS設備 |
西門子發布了15個新公告,向客戶通報了100多個影響其產品的漏洞,其中包括使用第三方組件帶來的90多個安全漏洞。描述第三方組件漏洞的三個公告與RUGGEDCOM ROX和ROS設備有關。受影響的組件包括NSS和ISC DHCP。利用該漏洞可導致代碼執行、拒絕服務(DoS)或泄露敏感信息。盡管西門子已經針對其中許多漏洞發布了補丁,但對于某些漏洞,這家德國工業巨頭僅提供了緩解措施。 |
|
2 |
2022年4月 |
ABB Symphony Plus SPIET800和PNI800網絡接口模塊 |
瑞士工業技術公司ABB網絡接口模塊的漏洞使工業系統面臨DoS攻擊,該企業針對研究人員在該公司產品的一些網絡接口模塊中發現的三個嚴重漏洞開發修復補丁。由于這些產品處理某些數據包的方式存在缺陷,對控制網絡具有本地訪問權限或對系統服務器具有遠程訪問權限的攻擊者可利用這些漏洞進行拒絕服務攻擊,用戶只能通過手動重啟來解決。ABB表示,利用這些漏洞可能會導致工業環境中斷,除了直接影響SPIET800和PNI800設備外,連接到這些設備的系統也將受到影響。 |
|
3 |
2022年4月 |
Elcomplus SmartPTT SCADA |
自動化公司Elcomplus的SmartPTT SCADA被披露存在9個漏洞。該產品將SCADA/IIoT系統的功能與專業無線電系統的調度軟件相結合。安全漏洞列表包括路徑遍歷、跨站腳本(XSS)、任意文件上傳、授權繞過、跨站請求偽造(CSRF)和信息泄露漏洞。利用這些漏洞,攻擊者可以上傳文件、讀取或寫入系統上的任意文件、獲取以明文形式存儲的憑證、代表用戶執行各種操作、執行任意代碼,并提高訪問管理功能的權限。 |
|
4 |
2022年6月 |
Korenix JetPort工業串行設備服務器 |
Korenix JetPort工業串行設備服務器被披露存在后門賬戶。Korenix JetPort工業串行設備服務器有一個后門賬戶,有問題的帳戶可以被網絡上的攻擊者利用來訪問設備的操作系統并獲得完全控制。攻擊者可以重新配置設備,并可能獲得連接到服務器的其他系統的訪問權。 |
|
5 |
2022年6月 |
Carrier LenelS2 Mercury門禁控制面板 |
Carrier的LenelS2 Mercury門禁控制面板被發現8個零日漏洞。這些漏洞影響LenelS2 Mercury訪問控制面板,該面板用于授予對設施的物理訪問權,并與更復雜的樓宇自動化部署集成。其中一些問題需要緩解,而大多數問題可以在固件更新中解決。 |
|
6 |
2022年6月 |
西門子 SINEMA遠程連接服務器施耐德電氣IGSS SCADA產品數據服務器模塊、C-Bus 家庭自動化產品 |
西門子和施耐德電氣發布了2022年6月的補丁公告,宣布共修復了80多個影響其產品的漏洞。其中30個漏洞會影響SINEMA遠程連接服務器。這些安全漏洞(其中許多會影響第三方組件)可能導致遠程代碼執行、身份驗證繞過、權限提升、命令注入和信息泄露;施耐德電氣發布了建議,以解決在IGSS SCADA產品的數據服務器模塊中發現了七個可用于遠程代碼執行的嚴重漏洞,在C-Bus家庭自動化產品中發現了兩個與身份驗證相關的關鍵漏洞。 |
|
7 |
2022年6月 |
多個OT設備制造商(西門子、摩托羅拉、霍尼韋爾、橫河、ProConOS、愛默生、賓利內華達州、歐姆龍和JTEKT) |
多個OT設備制造商被披露受到56個“ICEFALL”漏洞的影響。安全研究人員發現了56個新的漏洞,統稱為“ICEFALL”,這些漏洞影響到為關鍵基礎設施組織提供服務的幾家最大的OT設備制造商。這些漏洞被分為四大類:不安全的工程協議、弱加密或損壞的認證方案、不安全的固件更新和通過本地功能遠程執行代碼。 |
|
8 |
2022年6月 |
AutomationDirect PLC和HMI產品 |
AutomationDirect宣布已修復其PLC和HMI產品中的幾個漏洞。AutomationDirect已經修補了其部分可編程邏輯控制器(PLC)和人機界面(HMI)產品中的幾個嚴重漏洞。攻擊者可以通過這些漏洞造成破壞,并對目標設備進行未經授權的更改。這些安全漏洞已在固件版本6.73中修復。CISA的另外兩項公告描述了DirectLOGIC PLC中的漏洞,一項針對串行通信,一項針對以太網通信。 |
|
9 |
2022年8月 |
NetModule 路由器軟件(NRSW) |
NetModule路由器軟件中的兩個關鍵漏洞,遠程攻擊者可以利用這些漏洞繞過身份驗證和訪問管理功能。 |
|
10 |
2022年8月 |
OPC UA協議 |
研究人員披露OPC UA協議漏洞詳細信息。軟件開發和安全解決方案提供商 JFrog 披露了影響 OPC UA 協議的幾個漏洞的詳細信息,包括其員工在早些時候的黑客競賽中利用的漏洞。OPC UA(開放平臺通信聯合架構)是一種機器對機器通信協議,許多工業解決方案提供商使用它來確保各種類型的工業控制系統 (ICS) 之間的互操作性。 |
|
11 |
2022年9月 |
Dataprobe iBoot-PDU配電單元 |
美國網絡安全和基礎設施安全局(CISA)發布了工業控制系統(ICS)警告,指出Dataprobe的iBoot-PDU配電單元產品存在七個安全漏洞,該產品主要用于工業環境和數據中心,成功利用這些漏洞可能會導致在Dataprobe iBoot-PDU設備上執行未經身份驗證的遠程代碼。iBoot-PDU是一種配電單元(PDU),它通過Web界面為用戶提供實時監控功能和復雜的警報機制,從而控制OT環境中設備和其他設備的電源。 |
|
12 |
2022年11月 |
ABB石油和天然氣流量計算機 |
瑞士工業技術公司ABB制造的石油和天然氣流量計算機中存在安全漏洞,該漏洞可能允許攻擊者造成中斷并阻止公用事業公司向其客戶收費。整個漏洞攻擊鏈允許未經驗證的攻擊者以root權限執行任意代碼,攻擊者可以完全控制設備并破壞其測量石油和天然氣流量的能力,以此阻止受害公司向其客戶收費。 |
由上表可知,本年度工業互聯網基礎設施脆弱性問題中,協議、軟件、硬件等方面有關風險均有涉及,雖然其中部分脆弱性問題已經得到有關企業修復,但仍存在為數不少且可能不斷新增的脆弱性風險處于可被攻擊者利用的危險境地,亟待各相關方給予足夠重視并采取行之有效的風險降低措施。同時,國外有關涉事組織所暴露出的脆弱性風險,也為我國同類制造企業和工業互聯網安全相關企業提供了重要的警示和參考作用。
7.3 工業互聯網基礎設施面臨新型攻擊場景風險
2022年8月,工業網絡安全公司Claroty的研究團隊Team 82通過概念驗證(POC)利用及其研究白皮書和DefCon 演示,揭示了一種新型攻擊場景“Evil PLC Attack”[46][47]:攻擊者入侵可編程邏輯控制器(PLC)后,并非將其作為攻擊終點或最終目標,而是將其用作攻擊跳板,使被入侵的PLC武器化,感染任何與該PLC通信的工程工作站(Engineering Workstation)及其它PLC。
該團隊研究人員為Evil PLC攻擊設計了三種攻擊場景:將PLC武器化以實現初始訪問(Weaponizing PLCs to Achieve Initial Access)、攻擊移動集成商(Attacking Traveling Integrators)、將PLC武器化為蜜罐(Weaponizing PLCs as a Honeypot)。其中,在第一種攻擊場景中,PLC是進入安全設施的唯一載體,攻擊者入侵并武器化PLC后,可以等待工程師連接到該PLC并感染工程師工作站/作業終端,或者,故意導致PLC出現故障,負責PLC運維排障的工程師會被引誘至該PLC并使用其工程工作站連接該PLC檢修故障,進而工程師工作站/作業終端被感染。
在第二種攻擊場景中,攻擊者可以基于當前工業互聯網管理通常涉及與許多不同組織網絡和PLC交互的第三方系統集成商或承包商工程師的現狀,利用他們作為不斷入侵全球各地不同組織和站點的擺渡載體,一個被已入侵PLC感染的工程師工作站/作業終端可能會將惡意代碼傳播到其他多個企業,攻擊者可以進一步入侵更多其他組織內部新的PLC以及工程工作站,從而持續擴大Evil PLC的影響范圍。
面對上述工業互聯網基礎設施所面臨的新型攻擊場景風險,各相關方應及時變通防御思路,盡快制定行之有效的針對性防御方案。
7.4 工業互聯網被盜數據交易新市場出現
2022年4月,一個名為“Industrial Spy(工業間諜)”的暗網市場出現,其背后的網空威脅行為體在表層網絡設置了用于宣傳和引導訪問其暗網地址的網站,并在該網站上宣稱“在那里,您可以免費購買或下載競爭對手的隱私和不宜泄露的數據。我們公開計劃方案、圖紙、技術、政治和軍事機密、會計報告和客戶數據庫。所有這些都是從全球最大的公司、企業集團和每一項活動中收集來的。我們利用他們IT基礎架構中的漏洞收集數據。”;且從此后陸續被網絡安全防御方捕獲到的Industrial Spy惡意代碼樣本來看,其背后的網空威脅行為體從2022年5月開始推出了其自己的勒索軟件[48],試圖打造從加密到售賣的罪惡“一條龍服務”。
對于此種與工業互聯網安全具有相關性、以被盜數據交易為勾當的暗網市場出現及其發展,工業互聯網各相關方也應給予必要的關注和對應防御措施的強化。
8.威脅泛化
在2013年,安天用惡意代碼泛化(Malware/Other)一詞表示安全威脅向智能設備、物聯網等新領域的演進,此后“泛化”一直是安天所研究的重要威脅趨勢。威脅泛化導致用戶的資產暴露面增加,攻擊者利用增加的攻擊面可以產生非授權訪問、跳板攻擊、入侵“隔離網絡”、資產被控、資產破壞、數據泄露等廣泛的安全威脅。
黨的二十大報告指出,“加快發展物聯網,建設高效順暢的流通體系,降低物流成本。加快發展數字經濟,促進數字經濟和實體經濟深度融合,打造具有國際競爭力的數字產業集群。”物聯網等科學技術的發展對于建設網絡強國、實現社會主義現代化強國具有重要意義。2022年,全球物聯網設備數量預計達到350億臺,物聯網技術將被廣泛應用于制造、農業、交通、能源、物流、基建、醫療等多個領域。
然而,物聯網的開放性、多源異構性、終端設備和應用的多樣性、復雜性,使得物聯網安全問題日益凸顯。物聯網在交互過程中,整個生命周期均有可能被攻擊,包括物理攻擊、認證攻擊、協議攻擊、通信攻擊等。智能汽車的智能化功能提供了許多便利,但是車載系統及無線鑰匙中的安全問題能夠讓攻擊者獲取控制權,例如,2022年10月歐洲刑警組織搗毀了一個專門入侵汽車無鑰匙解鎖系統的黑客團伙,逮捕31名嫌疑人并沒收超過100萬美元(約人民幣775萬元)的犯罪資產。又譬如智能家居領域,智能攝像頭是智能家居中的重災區,智能門鈴、智能攝像頭成為攻擊者竊聽和偷窺的渠道,人們的居家隱私面臨威脅。AI技術正在被積極應用到各行各業中,然而有研究報告警告,這種新興技術很容易被網絡犯罪分子、不法黑客所利用,例如,攻擊者會以領袖人物為目標,使用AI進行語音合成模擬,通過人臉識別漏洞繞過身份認證等,期騙GPS誤導船只、誤導自動駕駛車輛、修改AI驅動的導彈目標等。復雜多樣的物聯網設備的脆弱性也使網絡攻擊者有了更多的選擇。2022年12月,安天在《海蓮花組織Torii遠控的網絡攻擊活動分析》[7]一文中,揭示了海蓮花組織針對我國重要政企單位的物聯網設備發起的攻擊活動。
云計算技術與物聯網的深入融合,使得安全場景變得更加復雜和分散,企業內部和云端都會不可避免的管理更寬的攻擊面。安全入侵的風險不斷增加。云主機和物聯網設備成為僵尸網絡和挖礦木馬的首選目標。大多數物聯網設備包括嚴重的安全問題,如弱密碼、對管理系統的開放訪問、默認管理憑據或弱安全配置。僵尸網絡攻擊抓住物聯網漏洞的機會來控制設備,并導致在線服務的中斷,實現大量的DDoS攻擊流量,其中Mirai是僵尸網絡的頭號殺手。近兩年挖礦木馬猖獗,而云端服務的興起成為挖礦團伙的新戰場。目前活躍的挖礦的黑客組織包括Outlaw、TeamTNT等都是活躍的針對云主機進行挖礦的組織。對于企業而言,有效的安全策略就是盡可能地提前做好預判和準備:掌握有價值的云資產在哪里?哪些云應用缺陷有可能影響業務運轉,在此基礎上,安全人員需要盡快解決必要的云安全問題。
此外,針對關鍵基礎設施的攻擊日益嚴重。一方面,網絡戰已經成為現代戰爭中的重要部分,“俄烏沖突”中雙方針對關鍵基礎設施的攻防成為網絡戰的關鍵,大規模的攻擊直接導致交通、醫療、通信、電力及基礎設施癱瘓。另一方面,網絡犯罪組織也對關鍵基礎設施發起一系列復雜的網絡攻擊,其中針對醫療機構的攻擊尤為突出。許多機構組織忽視設備的安全性,加上關鍵基礎設施設備常常會涉及硬件、固件方面的安全問題,導致物聯網設備無法得到及時的更新,許多設備中仍然存在已知漏洞,留下了安全隱患。金融、電力、醫療等設施面臨諸多挑戰。一個個技術漏洞、產品后門,都是深埋著的“定時炸彈”,隨時可能被主動或被動地引爆,給上到國家下到百姓的利益帶來災難性的打擊。
當前,安全威脅泛化已經成為常態。安天依然采用與前幾年年報中發布“網絡安全威脅泛化與分布”一樣的方式,以一張新的圖表來說明2022年威脅泛化的形勢。
圖8-1 2022網絡安全威脅泛化與分布圖