2019年度 APT攻擊回顧

 

大家好，我是零日情報局。

大國戰爭有兩面，一面是傳統戰爭—炮火，另一面是網絡戰爭—APT。

而只要稍微總結一下你就會發現，近年來，APT攻擊已成為爭奪地球話語權的主流戰爭形態。

 

有這樣一串案例：

 

今年開年，臭名昭著的朝鮮APT組織Lazarus鎖定以色列國防公司，預謀竊取以方軍事、商業機密，這也是Lazarus第一次攻擊以色列實體組織；

 

同期，委內瑞拉遭受極為嚴重的網絡打擊，全境大面積斷電斷水，國民生產生活陷入癱瘓，國家接近崩潰邊緣，嫌疑直指美國策劃該攻擊事件；

 

4月，外媒曝光俄羅斯背景組織APT28（Fancy Bear）攻擊烏克蘭2019年大選活動；

 

6月，《紐約時報》披露美國政府預加強對俄電網數字入侵。同月，阿根廷、烏拉圭等南美國家遭受網絡攻擊，大規模斷電斷網席捲南美；

 

7月，委內瑞拉再度因網絡攻擊上演大停電，這一次首都亦未能倖免，全境陷入「末日」一般的悲慘世界；

 

10月，烏克蘭外交官、政府和軍事官員以及執法部門人員，遭遇APT組織Gamaredon武器化文件定向打擊；

 

11月，印度獨立網絡核電站Kudankulam遭遇疑似朝鮮APT組織Lazarus攻擊，據傳攻擊已滲透至核心系統；

 

12月，IBM披露中東工業和能源行業，遭伊朗APT34（Oilrig）惡意數據擦除軟體ZeroCleare的「摧毀型」攻擊；

APT格局不斷變化，但隱藏在APT攻擊迷霧背後的，是國家間的博弈與較量。遵從「利益至上」內核邏輯，零日詳細梳理2019年度APT攻擊七大趨勢，分享一家之言，有不同看法歡迎討論。

 

一、APT與地緣政治同頻

 

地緣政治上不可調和的矛盾，幾乎是國家級APT攻擊的起點。尤其是相鄰力量之間「你死我活」的關係，使網絡打擊來得更加蠻橫和不計後果。

 

比如，在局勢高度緊張的中東海灣地區，伊朗APT黑客就頻頻向中東友鄰「發福利」。從APT33、APT34（Oilrig）到MuddyWater等伊朗系組織，明中暗中小動作不斷，而政敵沙特總能拿到頭彩，今年沙特的石油國企、工業和能源部就屢次中招。

當然了，在伊朗老司機的帶領下，敘利亞小老弟為了保國續命，也效仿大哥組建網絡軍團，根據360安全大腦報告，敘利亞電子軍（SEA）就是第一支在國家網絡上設立的公共網際網路軍隊。

 

（中東地區APT攻擊頻發）

 

又比如暗流不斷的東亞地區，這個地區APT衝突焦點在朝鮮。惡名遠揚的Lazarus Group、Group123（APT37），以及新曝光的DarkHotel組織，可以這麼說，如果朝鮮半島的局勢還維持在失控邊緣，那麼朝鮮APT攻擊早已兇猛成災。

 

遠一點的南美地區同樣一地雞毛。大家都知道，美國經常性PUA南美，包括幹涉內政、扶持反對黨，所以2019年，委內瑞拉、阿根廷等南美五國頻繁遭遇大型網絡攻擊，多次斷網斷電斷水，與美國不可告人的政治目的難逃干係。

 

以上不難看出，地域政治局勢越發緊張、地域安全形勢越發複雜的地區，APT攻擊也最為嚴重、頻繁且複雜，前面提到伊朗所在的中東，朝鮮所在的東亞，就是典型。

 

二、APT攻擊目標工控產業化

 

自2010年震網事件以來，APT攻擊往往伴隨著現實世界重大政治、外交活動或軍事衝突，這也與APT攻擊發起的動機和時機相符；

 

但是最近，尤其是2019年，APT攻擊從以前嚴格的政治、軍事、外交目標，轉向工控產業化和關鍵基礎設施領域。至於攻擊效果與造成損失，就更加難以統計與估量。

 

這裡又一次提到滿嘴自由民主的美國，今年三番四次針對委內瑞拉、阿根廷等南美國家電力系統發起攻擊。造成全國性交通癱瘓，醫院手術中斷，所有通訊線路中斷，航班無法正常起降，群眾暴亂，超過4800萬普通民眾，工作生活無法正常運轉。

 

（網絡攻擊瞄準南美洲五國電力系統）

 

站在攻擊者的角度，相比於純政治、軍事、外交目標，面向電力等工控系統和關鍵信息基礎設施的打擊，因系統間牽制和連鎖的故障反應，更易引發全民性的「雪崩效應」。

 

三、經濟、政治、情報幾手抓

 

為什麼國家力量紛紛入局APT，歸根到底其實是利益衝突，只不過這個利益，涉及經濟、政治、情報等多個重要板塊。

 

經濟犯罪：出於經濟目的，前有Lazarus組織為了朝鮮國家利益的大規模金錢竊取行動，後有越南背景APT組織OceanLotus（海蓮花），相繼攻擊德、日、韓多國汽車巨頭企業，為的是替自己國家汽車製造企業發展開路；

 

（德國寶馬遭OceanLotus組織攻擊）

 

政治報復：至於肩扛反美大旗的委內瑞拉，主要是因政治立場相悖，遭美國報復性打擊，水、電、網等基礎設施崩盤，城市停擺暴亂頻發；

 

情報竊取：政治經濟之外，情報竊取監控也是APT組織長期維護國家利益的常用路數。今年，360安全大腦報告提到，活躍於中東地區的APT組織黃金雕（APT-C-34），就長期專注於情報竊取監控的無線電監聽。

 

四、供應鏈攻擊成APT常態

 

供應鏈攻擊，常常又被稱為第三方攻擊，簡單說來就是攻擊者利用有權訪問目標系統的外部合作夥伴，入侵目標的一種技術策略，而一旦成功立即影響大量網絡資產。

 

此法雖然迂迴，但是隱蔽，所以近年來，擁有伊朗、俄羅斯等國支持背景的APT組織，越來越多採用這種入侵第三方的「曲線作戰」方式，頻頻危害和擾亂敵對國的基礎設施以及商業前景。

 

就在19年年初，卡巴斯基報告了影錘行動（ShadowHammer），披露這是一起利用華碩升級服務的供應鏈攻擊，不計其數的用戶在使用該軟體更新時可能會安裝植入後門程序的軟體更新包。

 

（卡巴斯基披露華碩遭APT複雜供應鏈攻擊）

 

今年2月，賽門鐵克發布報告，以真實數據說明，過去一年全球供應鏈攻擊爆增78%，並特別強調2019年全球範圍內供應鏈攻擊活動仍在繼續擴大。

 

 

五、混淆手段複雜化

 

事實上，最近APT攻擊者，會耗費更多精力在花裡胡哨的代碼混餚上，這樣做的意義在於身份隱藏和偽裝，給威脅溯源製造更大的麻煩。

 

就以朝鮮APT組織Lazarus為例，他們非常慣用代碼混淆隱匿，特意在自己的代碼中加入其他APT組織的木馬特徵，以迷惑對方及安全分析人員。

（朝鮮惡意軟體典型特徵片段）

 

還有前不久，零日跟大家分享的伊朗數據破壞惡意軟體ZeroCleare，安全團隊在追蹤其背後的APT組織時，就因編碼語言、編碼習慣，以及工具代碼神似另一個惡意軟體，而差點將本屬於APT34組織的行動，歸因在APT33組織上。

 

六、漏洞威攝化

 

漏洞常被戲稱為「網絡軍火庫」，APT組織自然不會放過這個天然的彈藥庫。2019年，漏洞利用攻擊在APT中越發高頻。

 

（NCSC發布APT組織長期利用VPN漏洞警告）

 

5月，英國國家網絡安全中心（NCSC）發布警告，有APT組織長期利用VPN產品漏洞，向英國和各大國際組織發起攻擊，殃及政府、軍事、學術、商業和醫療等各領域。

 

（以色列NSO Group開發並利用WhatsApp漏洞）

 

不管是陳年漏洞還是新近漏洞，總之是個有用的漏洞，就不會被APT放過，且APT利用漏洞的速度，十分驚人。

 

七、APT攻擊武器泛化

談到這，就不得不提到硬幣的另一面。漏洞威懾升級的同時，必然伴隨著APT武器泛化。

 

事到今天，安全研究員都無法忽視一個令人不安的現實：在當今這個時代，網絡軍火擴散遠比核武器擴散簡單得多，但沒人敢說，網絡軍火威脅一定比核武器小。

 

2019年中東地區活躍度最高的黑客組織之一伊朗APT34（Oilrig），就在四月份發生了一系列工具代碼悉數洩露曝光事件。

 

（APT34的工具包的完整文件目錄）

 

APT34（Oilrig）洩露事件只是個開始，不久同樣來自伊朗的ATP組織MuddyWater，比APT34還慘，直接從工具洩露轉為全網公開信息拍賣。

 

（公開售賣的MuddyWater服務端源碼）

 

普通人看來，APT組織天書一般的代碼包、數據包，在黑客眼中可是最強軍火武器的寶藏，而這也進一步催生了APT攻擊武器泛化，甚至網絡軍火民用化的風險的出現。

 

零日反思

 

在我們越來越關注APT攻擊的背後，是國家間網絡安全對抗戰愈演愈烈，APT 組織數量增多、攻擊對象和攻擊範圍不斷擴大。聚焦政治目的的 APT 組織，多具有國家背景，通過對政治目標進行長久性的情報刺探或發起破壞性攻擊；聚焦經濟目的的APT 組織主要為牟取經濟利益而實施攻擊活動。

 

而面對這種趨勢，可以說，只要存在政治目的和經濟利益，APT 組織的攻擊就不會停止，我們必須時刻以最高的安全意識，應對各種不同的網絡風險和攻擊。

參考資料：

360安全大腦《盤旋在中亞上空的陰影-黃金雕（APT-C-34）組織攻擊活動揭露》

Kaspersky《2019-2020 APT威脅前瞻》

ThaiCERT《APT威脅百科全書》

國家計算機網絡與信息安全管理中心範宇倩《淺談APT組織在網絡攻擊中的發展演變》

IBM《ZeroCleare惡意軟體攻擊》