2月26日,新興網絡勒索組織Lapsus$成功突破英偉達的網絡防火墻,竊取到了近1TB數據,使得英偉達部分業務至少中斷兩天。而嚴格意義上來說,Lapsus$只能算黑客組織,卻不能算APT組織,因為它沒有APT組織那么長期、深入。
如何區分APT組織,APT組織會帶來怎樣的威脅,如何防御他們?每日經濟新聞與安恒信息聯合發布的第9期《網絡信息安全月報》就這一熱門話題進行了深入分析。
APT攻擊,譯為“高級可持續威脅攻擊”,相對于普通黑客攻擊工具,針對性、攻擊復雜程度更高,往往具有持續性且隱蔽性更強。與普通黑客組織相比,很多APT組織具有國家背景,技術能力更強,組織更嚴密。相較于以商業經濟利益為目的的普通黑客組織,APT組織的目的主要是以獲取政治、經濟利益為出發點,對目標的核心資料進行竊取或者對關鍵基礎設施實施破壞。也就是說,APT攻擊不僅影響虛擬網絡世界,也會影響物理世界。
安恒信息推出的《安恒2021高級威脅態勢研究報告》顯示,政府部門和國防部門仍是APT攻擊主要針對目標,其次是金融、航空以及醫療衛生部分。2021年,政府、國防、金融、航空、醫療衛生部門受APT攻擊比例分別為15.52%、6.16%、5.91%、4.43%和3.69%。
2021年2月5日,佛羅里達州Oldsmar水處理廠成為黑客網絡攻擊的目標。。攻擊者遠程訪問了奧爾茲馬水廠的供水系統,試圖將氫氧化鈉的含量提高到足以使該地區15000人面臨中毒風險的程度。幸好被工作人員及時監測到系統異常,及時修正,才制止了災難的發生。
目前,APT攻擊方式有水坑攻擊、網絡釣魚和魚叉式網絡釣魚、零日(0day)攻擊、社會工程學攻擊等。其中,社會工程學攻擊是利用人性的弱點進行攻擊,主要運用欺騙和偽裝,通過突破受害者的心理防線,利用受害者的好奇心、信任關系、心理弱點等進行攻擊。
業內較為聞名的烏克蘭斷電事件,便是社會工程學攻擊的典型案例。2015年12月,攻擊者首先通過主題為“烏克蘭總統對部分動員令”的釣魚郵件進行投遞,受害者因好奇心點擊并啟動BlackEnergy(一種用于創建僵尸網絡,進行DDoS 攻擊的惡意軟件)的惡意宏文檔。之后,BlackEnergy在獲取了相關憑證后,便開始進行網絡資產探測,橫向移動,并最終獲得了系統的控制能力。此次攻擊造成烏克蘭首都基輔部分地區和烏克蘭西部的140萬名居民遭遇了一次長達數小時的大規模停電,至少3個電力區域被攻擊。
同時,安恒信息監測到2021年涌現出大量針對ios和Android操作系統的新型移動設備惡意軟件,APT組織可以在受害目標的移動設備上安裝間諜軟件、鍵盤記錄器等,從而監控和竊取受害者的信息。
對此,安恒信息專業人士表示:“一般來說,普通大眾成為APT攻擊對象的可能較小,APT攻擊的目標往往具有針對性,比如某某重點機構人員、某某科技公司人員、某軍工單位人員等。”
“APT組織攻擊手機端,以手機作為入口侵入公司、機構內部網絡等情況具有一定的操作復雜性,雖然并不常見,但也并不是不可能”上述專業人士補充道。
面對APT組織的社會工程學攻擊,安恒信息專業人士建議應當時刻保持警惕,不輕易打開郵件附件,不隨意點擊未知鏈接,對不熟悉的社交對象保持警惕,時刻注重個人隱私,不隨意將一些重要的個人信息發布到社交媒體上,在一些需要填寫真實信息內容的地方需要謹慎確認。
企業機構須及時培訓相關網絡安全意識,普及一些網絡安全相關技術,讓企業員工能夠更好地理解和預防。
事實上,面對APT組織的攻擊,企業、政府機構未必能做到完美的發現和防御,只能盡可能地完善防御體系。具體措施包括需要定期對設施進行補丁升級及安全測試,盡可能減少弱點,在攻擊面的各個環節部署監測設備,建立立體化的縱深防御體系,及時掌握威脅情報,提前做出預防和決策。
