2019全球高級(jí)威脅（APT）報(bào)告：金融、能源和電信是主要目標(biāo)

近日，奇安信威脅情報(bào)中心發(fā)布《全球高級(jí)持續(xù)性威脅(APT)2019年報(bào)告》，揭示了過(guò)去一年全球APT發(fā)展態(tài)勢(shì)。

2019年全年，奇安信威脅情報(bào)中心收錄了高級(jí)威脅類公開(kāi)報(bào)告總共596篇，其中涉及了136個(gè)命名的攻擊組織或攻擊行動(dòng)，幾乎覆蓋了全球絕大部分國(guó)家和區(qū)域。無(wú)論是披露的APT攻擊組織還是攻擊數(shù)量，相比于2018年(報(bào)告478份，威脅來(lái)源109個(gè))都有較為明顯的增長(zhǎng)。

從受害行業(yè)來(lái)看，政府(包括外交、政黨、選舉相關(guān))和軍事(包括軍事、軍工、國(guó)防相關(guān))依然是APT威脅的主要目標(biāo)，能源(包括石油、天然氣、電力、民用核工業(yè)等)、通信行業(yè)也是APT攻擊的重點(diǎn)威脅對(duì)象。

場(chǎng)景多樣化的APT攻擊方式

1、 利用廣域網(wǎng)的網(wǎng)絡(luò)協(xié)議實(shí)施BGP和DNS劫持

奇安信威脅情報(bào)監(jiān)測(cè)發(fā)現(xiàn)，部分APT組織和攻擊活動(dòng)利用廣域網(wǎng)的網(wǎng)絡(luò)協(xié)議，實(shí)施DNS劫持、BGP劫持。廣域網(wǎng)下的DNS劫持、BGP劫持可以讓攻擊者將目標(biāo)的網(wǎng)絡(luò)流量重定向自身的控制基礎(chǔ)設(shè)施，從而實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽(tīng)、收集、破壞等目的。值得關(guān)注的是，為廣域網(wǎng)提供基礎(chǔ)設(shè)施服務(wù)的ISP、域名服務(wù)商、CDN服務(wù)商都有可能成為APT威脅的目標(biāo)。

圖：奇安信威脅情報(bào)中心整理的近兩年來(lái)DNS和BGP劫持的惡意攻擊活動(dòng)

更有甚者，在斯諾登泄露的文檔中，曾披露過(guò)某國(guó)通過(guò)其具備的廣域網(wǎng)下部分骨干節(jié)點(diǎn)的控制能力，用于數(shù)據(jù)監(jiān)聽(tīng)和情報(bào)收集。但APT組織往往不具備對(duì)骨干網(wǎng)等核心基礎(chǔ)設(shè)施的控制能力，其只能通過(guò)廣域網(wǎng)的劫持攻擊來(lái)達(dá)到類似的目的。

2、利用供應(yīng)鏈攻擊實(shí)施APT攻擊

2019年，利用供應(yīng)鏈的攻擊在APT活動(dòng)中時(shí)常有發(fā)生。從過(guò)去的供應(yīng)鏈攻擊來(lái)看，其一方面通過(guò)攻擊軟件供應(yīng)鏈的各個(gè)環(huán)節(jié)，包括第三方庫(kù)的引用，開(kāi)發(fā)人員，產(chǎn)品構(gòu)建階段，另一方面通過(guò)攻擊和目標(biāo)相關(guān)的IT供應(yīng)商、軟件供應(yīng)商、硬件供應(yīng)商、合作伙伴等。攻擊者針對(duì)帶有簽名的合法應(yīng)用、預(yù)裝程序植入后門，能夠?qū)崿F(xiàn)更加隱蔽的攻擊立足效果。

圖：奇安信威脅情報(bào)中心整理的2019年的APT類供應(yīng)鏈攻擊活動(dòng)

3、攻擊移動(dòng)端實(shí)施監(jiān)控和竊聽(tīng)

針對(duì)智能手機(jī)是APT威脅的另一個(gè)威脅場(chǎng)景，其主要的目的在于實(shí)現(xiàn)監(jiān)控和竊聽(tīng)，并針對(duì)特定的個(gè)人或群體。在過(guò)去的移動(dòng)APT活動(dòng)中，攻擊者通常通過(guò)遠(yuǎn)程代碼執(zhí)行漏洞、釣魚(yú)消息或者將間諜軟件混入應(yīng)用市場(chǎng)等方式在智能手機(jī)中植入后門程序，獲取包括短信、通訊錄、定位、文件、應(yīng)用數(shù)據(jù)、錄音和錄像的數(shù)據(jù)。

例如在去年某次公開(kāi)活動(dòng)中披露的Simjacker漏洞，攻擊者可以通過(guò)攻擊SIM卡上的應(yīng)用缺陷實(shí)現(xiàn)，并已經(jīng)被用于攻擊南美地區(qū)國(guó)家的用戶手機(jī)。有意思的是，奇安信威脅情報(bào)中心發(fā)現(xiàn)，在手機(jī)間諜應(yīng)用和監(jiān)控系統(tǒng)的背后，不乏存在不少網(wǎng)絡(luò)軍火商的身影，他們提供針對(duì)Android、iOS的監(jiān)控系統(tǒng)和木馬，并且利用漏洞利用鏈植入后門程序。

0day漏洞和在野利用攻擊

奇安信威脅情報(bào)中心在多次APT攻擊中，都發(fā)現(xiàn)了0day漏洞在野利用(指被捕獲的攻擊活動(dòng)中利用的0day漏洞)的身影。與已知漏洞成熟的利用鏈相比，0day漏洞更具隱秘性，往往能夠繞過(guò)絕大多數(shù)網(wǎng)絡(luò)安全設(shè)備的檢測(cè)，因此一直是實(shí)施APT攻擊的重要利器。

奇安信威脅情報(bào)中心整理了2019年用于攻擊活動(dòng)的漏洞列表(見(jiàn)下表)。相比2018年來(lái)說(shuō)，在野攻擊活動(dòng)中利用的文檔型0day漏洞并未發(fā)現(xiàn)，針對(duì)瀏覽器的遠(yuǎn)程代碼執(zhí)行漏洞數(shù)量提升，并且配合沙盒逃逸和提權(quán)漏洞使用。

不過(guò)，奇安信威脅情報(bào)中心發(fā)現(xiàn)并不是所有的APT組織都具備獨(dú)立挖掘0day漏洞的能力，因此部分APT組織會(huì)在網(wǎng)絡(luò)黑市購(gòu)買0day漏洞，用于大幅提升自身的APT攻擊能力。通常情況下，0day漏洞都可以在黑市被賣到極高的價(jià)錢。受利益所驅(qū)，網(wǎng)絡(luò)軍火商往往充當(dāng)著0day漏洞和網(wǎng)絡(luò)武器交易市場(chǎng)的重要角色，像Gamma、Hacking Team、NSO Group都是知名的網(wǎng)絡(luò)軍火商，其開(kāi)發(fā)一套完備的網(wǎng)絡(luò)監(jiān)控系統(tǒng)并出售給其客戶。

圖：部分網(wǎng)絡(luò)軍火商、APT組織與0day漏洞之間的關(guān)系

金融、能源和電信成為APT攻擊的主要行業(yè)目標(biāo)

針對(duì)金融行業(yè)的攻擊主要以牟利為目的，除了部分APT組織針對(duì)金融行業(yè)目標(biāo)實(shí)施攻擊外，還活躍著不少組織化的網(wǎng)絡(luò)犯罪團(tuán)伙。從2019年主要的網(wǎng)絡(luò)犯罪組織和APT組織針對(duì)金融行業(yè)的攻擊活動(dòng)來(lái)看，金融銀行機(jī)構(gòu)的PoS系統(tǒng)，ATM終端，SWIFT交易系統(tǒng)，以及與電子商務(wù)和在線支付相關(guān)的網(wǎng)站都是攻擊組織的主要攻擊對(duì)象，并且通過(guò)非授權(quán)的資金交易轉(zhuǎn)賬，獲取和售賣支付卡和信用卡數(shù)據(jù)，以及地下市場(chǎng)交易來(lái)進(jìn)行非法牟利。

圖：2019年公開(kāi)披露的主要活躍的針對(duì)金融行業(yè)的攻擊組織

從網(wǎng)絡(luò)攻擊的動(dòng)機(jī)來(lái)看，能源行業(yè)可能主要面臨著APT威脅，其用于在必要時(shí)對(duì)目標(biāo)進(jìn)行破壞和影響，導(dǎo)致目標(biāo)產(chǎn)線異常甚至出現(xiàn)生產(chǎn)錯(cuò)誤。同時(shí)，由于能源行業(yè)部分也涉及了敏感的信息和數(shù)據(jù)，也是APT威脅中的重要目標(biāo)。針對(duì)能源行業(yè)攻擊和破壞對(duì)于國(guó)家、社會(huì)和民生安定來(lái)說(shuō)影響是巨大的，2015年和2016年底烏克蘭的兩次停電事件，都對(duì)當(dāng)?shù)鼐用竦纳钤斐闪酥卮笥绊?，帶?lái)了巨大的經(jīng)濟(jì)損失。

圖：2019年公開(kāi)披露的針對(duì)能源行業(yè)的APT攻擊活動(dòng)和主要的APT組織

電信行業(yè)是另一個(gè)APT威脅中的重要目標(biāo)行業(yè)之一，由于電信行業(yè)承擔(dān)著互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)和核心基礎(chǔ)設(shè)施的運(yùn)營(yíng)，以及包括電信網(wǎng)、蜂窩網(wǎng)、移動(dòng)通信和有線電視等。針對(duì)電信行業(yè)目標(biāo)實(shí)施APT攻擊往往能夠建立在更高維度的基礎(chǔ)設(shè)施控制能力下實(shí)現(xiàn)包括劫持、監(jiān)聽(tīng)、篡改等目的。

圖：2019年公開(kāi)披露的針對(duì)電信行業(yè)的攻擊活動(dòng)和活躍組織

愈演愈烈的APT攻擊

基于2019年APT威脅的趨勢(shì)以及近年來(lái)APT威脅組織和活動(dòng)的變化情況，奇安信威脅情報(bào)中心判斷2020年APT攻擊會(huì)存在以下幾個(gè)趨勢(shì)：

1、APT組織的追蹤和溯源變得更加困難

APT攻擊組織在攻擊中變得更加謹(jǐn)慎，并且利用頻繁更換攻擊程序形態(tài)、開(kāi)源工具、劫持其他組織的基礎(chǔ)設(shè)施等多種方式避免其行為特征被發(fā)現(xiàn)和關(guān)聯(lián)，從而給歸屬分析判定帶來(lái)影響。

2、更多的在野0day攻擊案例

2019年內(nèi)公開(kāi)披露的在野攻擊活動(dòng)中利用的0day漏洞總共有17個(gè)，涉及明確的攻擊組織至少7個(gè)，相較于2018年都略有增長(zhǎng)。同時(shí)，2019年針對(duì)瀏覽器的完整利用鏈在被曝光的在野攻擊活動(dòng)中出現(xiàn)的越來(lái)越多，并且漏洞的觸發(fā)方式也愈發(fā)簡(jiǎn)單化。從這個(gè)角度看，2020年將會(huì)披露更多0day漏洞在野利用的案例。

3、針對(duì)行業(yè)性的APT威脅越發(fā)凸現(xiàn)

從APT攻擊的動(dòng)機(jī)來(lái)看，金融、能源和電信是高度符合攻擊組織需要的，結(jié)合近幾年來(lái)針對(duì)這三個(gè)行業(yè)的攻擊變化趨勢(shì)，奇安信威脅情報(bào)中心判斷，金融、能源和電信將會(huì)成為未來(lái)APT威脅中的重點(diǎn)攻擊目標(biāo)。

4、5G商業(yè)化和物聯(lián)網(wǎng)或?yàn)锳PT攻擊提供新的基礎(chǔ)設(shè)施

從過(guò)去的VPNFilter事件，APT組織利用路由器UPnP功能最為代理隱藏自身，可以看出基于物聯(lián)網(wǎng)設(shè)備的攻擊活動(dòng)不再是網(wǎng)絡(luò)黑客的專屬，其同樣會(huì)被應(yīng)用到APT威脅攻擊中。隨著5G和物聯(lián)網(wǎng)技術(shù)的發(fā)展，APT攻擊將具備更強(qiáng)大的攻擊能力。

5、更加頻繁和隱蔽的網(wǎng)絡(luò)攻擊破壞活動(dòng)

網(wǎng)絡(luò)攻擊破壞活動(dòng)相對(duì)于軍事行動(dòng)來(lái)說(shuō)，更加具有隱蔽性和溯源難的特點(diǎn)，從而攻擊源頭可以進(jìn)行否認(rèn)。2019年從公開(kāi)報(bào)道和披露，有不少疑似與網(wǎng)絡(luò)攻擊或者疑似網(wǎng)絡(luò)攻擊造成的破壞活動(dòng)。由此可以預(yù)見(jiàn)未來(lái)網(wǎng)絡(luò)攻擊破壞活動(dòng)可能更加頻繁。

報(bào)告全文下載可訪問(wèn)：https://shs3.b.qianxin.com/qax/c42d977ace97fa3ec12c9b2eabce8043.pdf