2月26日,新兴网络勒索组织Lapsus$成功突破英伟达的网络防火墙,窃取到了近1TB数据,使得英伟达部分业务至少中断两天。而严格意义上来说,Lapsus$只能算黑客组织,却不能算APT组织,因为它没有APT组织那么长期、深入。
如何区分APT组织,APT组织会带来怎样的威胁,如何防御他们?每日经济新闻与安恒信息联合发布的第9期《网络信息安全月报》就这一热门话题进行了深入分析。
APT攻击,译为“高级可持续威胁攻击”,相对于普通黑客攻击工具,针对性、攻击复杂程度更高,往往具有持续性且隐蔽性更强。与普通黑客组织相比,很多APT组织具有国家背景,技术能力更强,组织更严密。相较于以商业经济利益为目的的普通黑客组织,APT组织的目的主要是以获取政治、经济利益为出发点,对目标的核心资料进行窃取或者对关键基础设施实施破坏。也就是说,APT攻击不仅影响虚拟网络世界,也会影响物理世界。
安恒信息推出的《安恒2021高级威胁态势研究报告》显示,政府部门和国防部门仍是APT攻击主要针对目标,其次是金融、航空以及医疗卫生部分。2021年,政府、国防、金融、航空、医疗卫生部门受APT攻击比例分别为15.52%、6.16%、5.91%、4.43%和3.69%。
2021年2月5日,佛罗里达州Oldsmar水处理厂成为黑客网络攻击的目标。。攻击者远程访问了奥尔兹马水厂的供水系统,试图将氢氧化钠的含量提高到足以使该地区15000人面临中毒风险的程度。幸好被工作人员及时监测到系统异常,及时修正,才制止了灾难的发生。
目前,APT攻击方式有水坑攻击、网络钓鱼和鱼叉式网络钓鱼、零日(0day)攻击、社会工程学攻击等。其中,社会工程学攻击是利用人性的弱点进行攻击,主要运用欺骗和伪装,通过突破受害者的心理防线,利用受害者的好奇心、信任关系、心理弱点等进行攻击。
业内较为闻名的乌克兰断电事件,便是社会工程学攻击的典型案例。2015年12月,攻击者首先通过主题为“乌克兰总统对部分动员令”的钓鱼邮件进行投递,受害者因好奇心点击并启动BlackEnergy(一种用于创建僵尸网络,进行DDoS 攻击的恶意软件)的恶意宏文档。之后,BlackEnergy在获取了相关凭证后,便开始进行网络资产探测,横向移动,并最终获得了系统的控制能力。此次攻击造成乌克兰首都基辅部分地区和乌克兰西部的140万名居民遭遇了一次长达数小时的大规模停电,至少3个电力区域被攻击。
同时,安恒信息监测到2021年涌现出大量针对ios和Android操作系统的新型移动设备恶意软件,APT组织可以在受害目标的移动设备上安装间谍软件、键盘记录器等,从而监控和窃取受害者的信息。
对此,安恒信息专业人士表示:“一般来说,普通大众成为APT攻击对象的可能较小,APT攻击的目标往往具有针对性,比如某某重点机构人员、某某科技公司人员、某军工单位人员等。”
“APT组织攻击手机端,以手机作为入口侵入公司、机构内部网络等情况具有一定的操作复杂性,虽然并不常见,但也并不是不可能”上述专业人士补充道。
面对APT组织的社会工程学攻击,安恒信息专业人士建议应当时刻保持警惕,不轻易打开邮件附件,不随意点击未知链接,对不熟悉的社交对象保持警惕,时刻注重个人隐私,不随意将一些重要的个人信息发布到社交媒体上,在一些需要填写真实信息内容的地方需要谨慎确认。
企业机构须及时培训相关网络安全意识,普及一些网络安全相关技术,让企业员工能够更好地理解和预防。
事实上,面对APT组织的攻击,企业、政府机构未必能做到完美的发现和防御,只能尽可能地完善防御体系。具体措施包括需要定期对设施进行补丁升级及安全测试,尽可能减少弱点,在攻击面的各个环节部署监测设备,建立立体化的纵深防御体系,及时掌握威胁情报,提前做出预防和决策。
