2022網(wǎng)絡攻擊態(tài)勢研判預測

隨著疫情沖擊，遠程辦公逐漸日?；?，給黑客組織和灰黑產(chǎn)行業(yè)創(chuàng)造了更多機會，軟件供應鏈、工業(yè)互聯(lián)網(wǎng)、移動設備的危機逐漸凸顯，網(wǎng)絡安全形勢更加嚴峻

回顧2021，全球疫情持續(xù)蔓延，世界局勢錯綜復雜，國際格局向多極化加速演變，國家之間的網(wǎng)絡安全博弈基于地緣政治因勢而變。隨著疫情沖擊，遠程辦公逐漸日?；o黑客組織和灰黑產(chǎn)行業(yè)創(chuàng)造了更多機會，軟件供應鏈、工業(yè)互聯(lián)網(wǎng)、移動設備的危機逐漸凸顯，網(wǎng)絡安全形勢更加嚴峻?；趯?021年高級威脅攻擊、攻擊團伙活動、重大攻擊事件、在野漏洞利用情況的分析，安恒信息對2022年網(wǎng)絡攻擊態(tài)勢得出七點研判預測。

醫(yī)學研究將持續(xù)成為威脅攻擊者的目標

隨著新冠疫情的持續(xù)，醫(yī)療行業(yè)的信息化迅速發(fā)展，但一些國家的數(shù)字化醫(yī)療系統(tǒng)尚不完善，因此成為攻擊的重災區(qū)。此外，隨著德爾塔病毒、奧密克戎變異毒株的出現(xiàn)，人們對病毒的恐慌程度加深，攻擊者利用這一心理，持續(xù)以新冠疫情為主題發(fā)起網(wǎng)絡釣魚活動。另外，隨著世界爭先恐后地開發(fā)、生產(chǎn)和分銷疫苗和藥物，以抵抗新冠疫情，生物制造行業(yè)也面臨被攻擊的危機。

2021年間，針對醫(yī)療行業(yè)以及生物研究行業(yè)的攻擊主要包括釣魚攻擊、勒索軟件攻擊以及部分APT攻擊（高級可持續(xù)威脅攻擊），攻擊目的為經(jīng)濟獲益或信息竊取。攻擊者可以通過竊取的患者信息，進一步對受害者發(fā)起社會工程攻擊，或根據(jù)竊取的商業(yè)和財務信息對醫(yī)療機構或企業(yè)展開勒索。

醫(yī)院信息系統(tǒng)的安全性直接影響醫(yī)院的工作進度，而新冠疫情又給各國的醫(yī)院都帶來了巨大壓力。一旦醫(yī)院的系統(tǒng)出現(xiàn)宕機或數(shù)據(jù)泄露，將會給醫(yī)院、病患帶來巨大的損失，因此很容易成為勒索攻擊的目標。另外，生物制藥行業(yè)儲存大量關于新冠疫苗的重要信息，因此隨著新冠疫苗的緊迫開發(fā)，預計2022年針對生物醫(yī)藥行業(yè)的間諜活動也將持續(xù)進行。

ICS工業(yè)環(huán)境面臨的威脅將持續(xù)增長

2021年，工業(yè)部門所面臨的網(wǎng)絡風險急劇增長，常見的威脅包括以工業(yè)控制系統(tǒng)（ICS）為目標的勒索軟件，以情報收集為目的的間諜活動，以及破壞性攻擊活動。發(fā)生在2021年上半年的Colonial管道公司（美國最大成品油管道運營商）攻擊事件充分體現(xiàn)出ICS環(huán)境存在的安全風險;而下半年，針對ICS系統(tǒng)的勒索攻擊愈演愈烈。11月底，隸屬于澳大利亞昆士蘭州政府的CS Energy公司（澳大利亞電力供應商）遭到勒索軟件攻擊;12月14日，美國主要天然氣供應商Superior Plus同樣遭到了勒索軟件攻擊。此外，美國、澳大利亞等國家的水務行業(yè)一直是黑客攻擊的目標。

ICS系統(tǒng)是關鍵基礎設施的核心，一旦遭到攻擊，國家的正常運作將受到嚴重影響。由于ICS環(huán)境缺乏健全的網(wǎng)絡防護方案，因此容易成為攻擊者入侵的目標，針對工業(yè)控制系統(tǒng)的攻擊將持續(xù)增加。

可能會出現(xiàn)更多的軟件供應鏈攻擊

安恒獵影實驗室在2020年發(fā)布的《2020年度高級威脅態(tài)勢研究報告》中提到，軟件供應鏈各個環(huán)節(jié)仍將是攻擊的重點突破口。2021年7月，由REvil勒索團伙發(fā)起的Kaseya（卡西亞）供應鏈攻擊事件驗證了這項預測。在此事件中，攻擊者分發(fā)帶有惡意軟件的Kaseya VSA軟件更新，影響了全球17個國家的1500多家企業(yè)。

以REvil為例，部分大型勒索團伙正在不斷完善其武器庫，且已把軟件供應鏈作為攻擊工具，發(fā)起大規(guī)模攻擊活動。2021年也出現(xiàn)了多個發(fā)起供應鏈攻擊的APT組織。安全廠商卡巴斯基觀察到，包括Lazarus、DarkHalo、BountyGlad、HoneyMyte在內的多個APT組織都正在發(fā)起供應鏈攻擊。

軟件供應鏈攻擊的成本低、傳播速度快、破壞面廣，并且會引發(fā)一系列連鎖反應，因此已成為2021年最嚴重的威脅之一。隨著APT組織供應鏈攻擊能力的發(fā)展，預計軟件供應鏈攻擊也將在2022年變得更頻繁、更具破壞性。

雇傭間諜軟件服務將更加流行

2021年7月18日，美國《華盛頓郵報》、英國《衛(wèi)報》和法國《世界報》等17家媒體共同披露，以色列NSO集團的“pegasus（飛馬）”間諜軟件在全球至少50多個國家被用來監(jiān)聽活動人士、記者和律師，涉及人數(shù)可能高達5萬人。此事件引起巨大轟動，NSO集團遭到來自各方的強烈譴責，雇傭監(jiān)控服務也開始受到各界重視。隨后，多個研究團隊接連披露了多個提供雇傭監(jiān)控服務的間諜軟件公司，以及與這些公司有關的攻擊事件。

安恒獵影實驗室也曾在2021年8月發(fā)布報告，介紹了5個提供間諜軟件服務或監(jiān)視產(chǎn)品的間諜軟件供應商：FinFisher、Hacking Team、Cyberbit、Candiru、NSO Group。雇傭監(jiān)控服務已成為一種復雜、低調、國際化、利潤回報豐厚的產(chǎn)業(yè)，且間諜軟件供應商所提供的產(chǎn)品都具有高復雜性、難追溯等高技術特點。目前披露的公司只是龐大的雇傭監(jiān)控服務產(chǎn)業(yè)中的冰山一角，預計2022年雇傭間諜軟件服務將繼續(xù)流行。

垃圾郵件活動將更具針對性

2020年，美國企業(yè)在與商業(yè)電子郵件泄露（BEC）或魚叉式網(wǎng)絡釣魚相關的攻擊中損失超過18億美元;而2021年，網(wǎng)絡釣魚郵件活動變得更加復雜，攻擊者根據(jù)社會工程學精心設計釣魚頁面，使受害者難以將其與合法網(wǎng)站區(qū)分開。

網(wǎng)絡釣魚者攻擊的主要目標為銀行、應用程序提供商、大學和其他實體，常見的釣魚郵件的主題包括“賬號異常登錄”“銀行通知”“新冠檢測信息”“快遞物流信息”等。

在2021年間，數(shù)據(jù)泄露事件頻繁出現(xiàn)，這些泄露的信息將推進更有針對性的垃圾郵件活動。2021年的大部分勒索軟件團伙主要采用雙重勒索模式，除了加密文件外，還會竊取并泄露數(shù)據(jù)，這些數(shù)據(jù)可能包括用戶的姓名、號碼、賬戶信息等。據(jù)統(tǒng)計，2021年全年有超過80%的勒索攻擊涉及對公司數(shù)據(jù)的竊取活動。對于拒絕支付贖金的公司，部分勒索團伙會將從其系統(tǒng)中竊取的信息在數(shù)據(jù)泄露站點上公開，這些信息會被網(wǎng)絡犯罪分子利用，進一步發(fā)起更具針對性的釣魚攻擊。

勒索軟件將繼續(xù)主導威脅格局

2021年，近一半的安全調查事件與勒索軟件相關，全年發(fā)生了約2000多起勒索攻擊事件，成為影響力最大的惡意軟件類型。勒索軟件呈現(xiàn)出攻擊水平高、駐留時間短、影響范圍廣、勒索贖金大的趨勢，并且勒索攻擊逐漸變得普遍和有效，將繼續(xù)主導網(wǎng)絡威脅格局。

2021年上半年，大型勒索團伙針對關鍵基礎設施部門發(fā)起多次嚴重的攻擊，包括Darkside（黑暗面）組織針對美國輸油公司Colonial Pipeline的攻擊，以及REvil勒索團伙針對全球最大的肉類供應商JBS的攻擊。這些攻擊事件具備APT的特點，并呈現(xiàn)出高針對性和復雜性。

自Colonial Pipeline攻擊事件發(fā)生后，各國執(zhí)法部門都加大了對勒索團伙的打擊力度。自6月開始，警方先后抓捕了屬于REvil、cl0p等大型勒索團伙的多名附屬成員。11月左右，美國政府以1000萬美元的賞金公開收集關于DarkSide勒索組織、REvil勒索組織核心成員的信息。由于執(zhí)法部門帶來的壓力，DarkSide、REvil、BlackMatter以及Avaddon等勒索團伙紛紛宣布關閉運營，但品牌重塑一直是勒索軟件生態(tài)的常見策略，這些大型勒索團伙通常不會徹底結束攻擊活動。預計2022年，會涌現(xiàn)大批回歸的勒索團伙，勒索軟件攻擊將繼續(xù)主導網(wǎng)絡犯罪生態(tài)。

針對移動設備的攻擊或會增加

2021年，涌現(xiàn)出大量針對ios和Android操作系統(tǒng)的新型移動設備惡意軟件，灰黑產(chǎn)網(wǎng)絡犯罪分子很容易通過銀行木馬等移動惡意軟件獲利，APT組織也可以在受害目標的移動設備上安裝間諜軟件、鍵盤記錄器等，從而監(jiān)控和竊取受害者的信息。因此，2021年針對移動設備的攻擊顯著增加，且攻擊手法更加復雜。

由于在線銀行向移動設備過渡的持續(xù)趨勢，銀行木馬成為移動惡意軟件中占比較大的威脅。2021年新披露的SharkBot、BrazKing等銀行木馬都是針對Android系統(tǒng)的銀行木馬，通常都具有執(zhí)行覆蓋攻擊以竊取登錄憑據(jù)和信用卡信息的功能，并且可以通過請求訪問無障礙服務以激活捕獲屏幕和擊鍵的能力。移動銀行惡意軟件更易操作、易獲得，因此在地下網(wǎng)絡犯罪領域的影響逐漸壯大。

除使用銀行木馬的攻擊外，2021年也有多起使用間諜軟件針對移動設備的復雜攻擊。此種較著名的攻擊包括，以色列監(jiān)控供應商NSO Group濫用蘋果iMessage中未公開的“零點擊”漏洞，在巴林活動人士的手機中部署Pegasus間諜軟件。此外，Donot組織使用虛假的Android應用程序攻擊了著名的多哥（西非國家）活動家，試圖誘騙受害者安裝偽裝成安全聊天應用程序的Android間諜軟件，旨在提取存儲在目標人士手機上的敏感個人信息。這種類型的攻擊是高度復雜的，需要花費數(shù)百萬美元來開發(fā)。這些案件都表明針對移動設備的攻擊與之前相比越發(fā)復雜。

網(wǎng)絡威脅是一個持續(xù)存在的問題，而疫情的暴發(fā)推進了網(wǎng)絡攻擊的發(fā)展，從而使全球各個行業(yè)面臨攻擊的風險，給全球實體帶來了巨大的挑戰(zhàn)。縱觀全年，APT組織仍然以地緣政治為背景，以情報竊取為目標展開攻擊活動，且更加關注電信、航空等領域。這些行業(yè)的公司內部包含高價值的情報，通常能夠滲透出大量的敏感數(shù)據(jù)。此外，生物醫(yī)藥行業(yè)儲存大量關于新冠疫苗的重要信息，2021年也出現(xiàn)了以生物制造設施為目標的APT攻擊活動。

出于經(jīng)濟獲益動機的攻擊活動在針對性攻擊領域發(fā)生了一定的戰(zhàn)略性變化。以勒索團伙為首的網(wǎng)絡犯罪團伙野心勃勃，不再滿足于傳統(tǒng)的小型狩獵，而是將攻擊目標擴大至大中型企業(yè)甚至關鍵基礎設施行業(yè)，掀起勒索攻擊的浪潮。

網(wǎng)絡威脅領域持續(xù)發(fā)展，攻擊形勢瞬息萬變，面對這些不確定性，企業(yè)應密切關注網(wǎng)絡威脅局勢，并隨時準備做出針對性響應，以確保在2022年保持彈性，應對威脅。

（本文節(jié)選自《2021高級威脅研究態(tài)勢報告》）