2023年高級威脅攻擊趨勢預測

2022年行至尾聲,這一年世界可謂發生了巨大變化。但始終不變的是,網路攻擊威脅仍然在持續發展,而且絲毫沒有消退的跡象。無論身處何處,世界各地的人們都應該為可能的網路安全事件做好應對準備,因此設法預見未來的趨勢將會大有裨益。

2022年APT預測回顧

日前,卡巴斯基公司的安全研究與分析團隊GReAT對2023年高級威脅(APT)攻擊的發展趨勢進行了展望和預測,不過在具體分享其預測觀點之前,首先回顧一下去年該團隊對2022年高級威脅主要預測觀點的實際結果。

預測1、移動設備將受到廣泛攻擊

實際結果:未實現

在2022年確實發生了一些針對移動設備的攻擊事件,但目前沒有發現造成重大影響和後果的移動安全事件。

預測2、更多的供應鏈攻擊

實際結果:部分實現

目前,利用供應鏈進行攻擊的數量正在快速增長,儘管沒有重大事件,但是我們看到了很多案例。

預測3、基於遠端工作模式的攻擊

實際結果:預測成功

在2022 年,企業組織的安全建設仍將落後於新冠疫情對企業業務開展的變革性影響。由於遠端辦公模式成為常態,很多員工是在匆忙狀態下部署遠端訪問工具,其中有大量的配置錯誤和安全漏洞。

預測4、對雲安全和外包服務的攻擊激增;

實際結果:預測成功

雲身份安全公司Okta被攻擊是2022年最有影響的安全事件之一,這證明了老練的攻擊者滲透進主要的雲服務平臺是多麼容易。而CISA也在今年5 月發佈公告,警告各大託管服務提供商,因為他們發現針對這一行業的惡意活動明顯增加。

預測5、低級別元件漏洞利用攻擊迴歸

實際結果:預測成功

2022 年在低級別元件中發現了 22 個高嚴重性漏洞,這表明其中存在了巨大的攻擊面。這種高度複雜的植入攻擊通常非常少見,一年內發生了多個單獨的安全事件表明了非常重要的信號。

2023年APT發展態勢預測

以下是GReAT團隊對2023年APT攻擊趨勢的預測:

1、破壞性攻擊再次興起

儘管近年來的APT攻擊多以商業利益作為主要攻擊目標,但是在2022年,地緣政治衝突變得更加激烈,這種變化可能將在未來多年持續,歷史表明,這種緊張關係總是會引發網路攻擊活動的進一步增加——有時是為了情報收集,有時是作為外交信號的一種手段。因此,我們預計2023年將出現前所未有的嚴重網路攻擊。

具體而言,我們預計2023年將會觀察到創紀錄數量的破壞性APT攻擊,重點影響政府部門和關鍵行業。需要注意的一點是,其中一部分攻擊很有可能被偽裝成採取「勒索軟體攻擊」(pseudo-ransomware)或駭客活動的形式,以便為真正的攻擊者提供合理的推諉理由。

此外,我們還擔心,針對民用基礎設施(例如能源電網或公共廣播)的APT網路攻擊將會發生,包括水下電纜和光纖集線器在某些情況下也不再安全。

2、郵件伺服器成為優先目標

在過去幾年裡,我們發現APT攻擊者越來越關注電子郵件軟體。企業級郵件市場的領導者(包括Microsoft Exchange和Zimbra等)都面臨著嚴重的漏洞威脅,在相關補丁發佈之前,攻擊者就會利用這些漏洞。

我們相信,針對郵件軟體漏洞的研究才剛剛開始。郵件伺服器正面臨雙重不幸的境遇:一方面,它是APT參與者感興趣的關鍵情報的「集中營」;另一方面,它是企業安全防護中最大的攻擊面。2023年很可能是所有主要電子郵件服務商遭遇零日攻擊的最嚴重一年。

3、新一代WannaCry或出現

據統計,一些規模巨大、影響惡劣的網路病毒每6-7年就會發生一次。上一起這類事件還要追溯到臭名昭著的WannaCry勒索軟體蠕蟲,它利用極其強大的「永恆之藍」(EternalBlue)漏洞自動傳播到易受攻擊的計算設備上。

儘管能夠生成蠕蟲的漏洞十分罕見,且需要滿足多種條件,很難預測究竟什麼時候會發現這一起這樣的漏洞,但我們可以大膽猜測,並把它設想在明年。增加此類事件發生可能性的一個潛在原因是,惡意行為者可能已經發現並擁有至少一種合適的漏洞可以利用,而當前的緊張局勢極大地增加了發生shadowbrokers(影子經紀人,永恆之藍漏洞洩露的始作俑者)式駭客攻擊和洩漏的機會。

4、APT攻擊目標轉向太空領域

由於政府部門和私營組織對太空競賽的興趣日益濃厚,以及近來網路安全研究集中在衛星漏洞問題上,明年將會出現更多面向太空設施的網路攻擊事件。儘管看起來衛星設備可能超出大多數APT威脅的影響範圍,但研究人員發現,駭客已經可以使用一種簡易但便捷的設備與衛星進行通訊。此外,很多老舊的衛星設備可能不具備現代化的安全控制措施。

事實上,太空網路安全威脅早已出現。2022年2月24日,美國和歐盟組織就公開宣稱,某東歐國家對屬於Viasat的商用衛星通訊網KA-SAT發起網路攻擊,利用「錯誤配置的VPN」漏洞,獲得訪問許可權,並橫向移動到KA-SAT網路管理部分,隨後執行命令使得調變解調器的記憶體溢出,使它們無法使用。如果Viasat事件是一個跡象,那麼APT威脅組織很可能在未來更多地將注意力轉向操縱和干擾衛星技術,使此類技術的安全形勢變得更加嚴峻。

5、「入侵-洩密」戰術盛行

關於「網路戰」是否真的會大規模爆發,仍有很多爭論。然而,一種新的混合衝突形式正在展開,包括「入侵-洩密」行動。這種威脅攻擊手法包括侵入目標並公開其內部檔案和電子郵件。勒索軟體組織已經大量將這種策略作為對受害者施加壓力的一種方式,而APT攻擊者未來可能會利用它來達到純粹的破壞性目的。在過去,我們曾看到APT攻擊者估計洩露競爭威脅組織的資料,或創建網站傳播個人資訊。雖然很難從旁觀者的角度評估它們的危害,但它們現在正成為APT威脅發展的一部分,而且2023年將涉及更多的實際案例。

6、從CobaltStrike轉向其他替代方案

2012年發佈的CobaltStrike是一個威脅模擬工具,旨在幫助安全紅隊了解攻擊者可以用來滲透網路的方法。不幸的是,與Metasploit框架一樣,它已經成為網路犯罪集團和APT威脅攻擊者的最常用工具。不過,研究人員發現,有一些威脅攻擊者已經開始使用其他替代方案。

其中一個替代方案是Brute Ratel C4,這是一個商業級攻擊模擬工具,極具危險性,因為它的設計可以繞過防病毒和EDR工具的檢測。另一個則是開源對抗性工具Sliver。除了以上現成的產品外,APT工具包還可能包括其他工具,例如Manjusaka、C&C全功能版本和Ninja等。

總的來說,我們認為由於CobaltStrike已經受到了防禦者的太多關注,因此APT組織將嘗試多樣化他們的工具包,以避免被發現。

7、基於無線電的信號情報(SIGINT)

信號情報技術是隨著軍用無線電技術的發展而發展起來的情報技術,是電子戰的一個分支。美國國防部對信號情報SIGINT的定義是:一種包括了通訊情報(COMINT)、電子情報(ELINT)和儀器信號情報(FISINT)的資訊組合,其傳輸方式可能有很多種,包括有線、無線電、光纖傳輸等等,但信號情報最主要處理的是無線電波。簡而言之,信號情報就是從截獲的通訊、電子和外國儀器的信號中獲得的情報。

如今,距離斯諾登曝光「稜鏡門」事件已經過去了近10年。美國國家安全局利用與美國電信公司的合作關係,將伺服器放置在網際網路骨幹網路的關鍵位置,以實施「man-on-the-side」攻擊。這種攻擊方式類似於中間人攻擊,只是中間人攻擊是完全控制一個網路節點,而man-on-the-side攻擊則是攻擊者監聽通訊頻道利用時間差注入新資料。這種攻擊非常難以發現,但我們預測,它們在2023年將會變得越來越普遍。

8、無人機攻擊

這裡說的「無人機攻擊」並非是對用於監視甚至軍事支援的無人機實施的駭客攻擊(儘管這也可能發生),而是使用商用級無人機實現近距離駭客攻擊。目前,面向公眾的無人機獲得了更強大的航程和能力。用流氓Wi-Fi接入點或IMSI接收器操縱一個無人機並不費事;或者有足夠的工具來收集用於離線破解Wi-Fi密碼的WPA握手資訊。另一種攻擊方案是使用無人機在限制區域投放惡意USB金鑰,然後希望路人能撿起並將其插入設備。總而言之,我們相信這是一個很有威脅的攻擊載體,可能會被一部分的攻擊者或已經擅長混合物理和網路入侵的駭客使用。

參考連結:

https://securelist.com/advanced-threat-predictions-for-2023/107939/