2022年11月,Karspersky发布
了《2023年高级威胁预测》(Advanced threat predictions for 2023),将电子邮件服务器和卫星确定为2023年的主要网络攻击目标。报告指出,2023年高级威胁将是针对政府、关键行业供应商和重要民用基础设施、具有较大破坏性的“空前严重的网络攻击”。
摘译 |林心雨/赛博研究院实习研究员
来源 | Karspersky
去年,Karspersky也做了2022年度的预测。但自去年的预测以来,世界发生了巨大的变化。地缘政治格局仍在持续不断的变化,但网络攻击却与之相反——它仍是一个持续的危险,而且没有任何消退的现象。无论身处何处,世界各地的人们都应该为网络安全事件做好准备。对此,一项有益的工作就是设法预见未来网络威胁的发展趋势以及可能发生的重大事件。
Karspersky将注意力转向了未来,报告指出了2023年可能看到的发展与事件。
破坏性攻击的兴起
历史表明,地缘政治的变化总是会转化为网络活动的增加——有时是出于收集情报的目的,有时是作为外交信号的一种方式。随着东西方之间的冲突水平加剧,Karspersky预计2023年将出现前所未有的严重的网络攻击行为。
具体而言,预计明年出现的破坏性网络攻击数量将创纪录,并且影响政府部门和一些重要行业。值得注意的是,一部分网络攻击很可能难以追踪,不易被定为网络攻击事件,从而看起来更像是随机事故。其余的攻击将采取伪勒索软件攻击或黑客活动的形式,以便为真正的攻击者提供合理的推诿。
此外,还有可能会发生一些针对重要民用基础设施(例如能源电网或公共广播)的网络攻击。由于面对物理破坏行为时,水下电缆和光纤集成器特别难以保护,因此,它们也是一个值得关注的问题。
邮件服务器成为优先目标
在过去的几年里,Karspersky发现研究网络安全脆弱性的人员越发地关注电子邮件软件。这是因为它们代表了巨大的软件栈、必须支持多种协议,并且必须面向互联网才能正常运行。一些知名企业,如Microsoft Exchange和Zimbra都面临着严重的漏洞(预认证RCEs),在补丁可用之前,攻击者有时就会大规模地利用这些漏洞。
事实上,对邮件软件漏洞的研究才刚刚开始。邮件服务器面临着双重难题:一方面它是APT参与者感兴趣的关键情报的避风港,另一方面它也是可以想象到的最大的攻击面。
对于所有主要的电子邮件软件而言,2023年很可能是充斥着零日漏洞的一年。系统管理员应当立即对这些机器进行监视,因为即使是及时的补丁也不足以保护它们。
下一个WannaCry
据统计,一些规模最大、影响最大的网络流行病每6-7年发生一次。这类事件的最近一次是臭名昭著的WannaCry勒索软件蠕虫,它利用极其强大的“EternalBlue”漏洞自动传播到易受攻击的机器上。
幸运的是,能够生成蠕虫的漏洞较为罕见的,并且需要满足许多条件才能使用(如漏洞利用的可靠性、目标机器的稳定性等)。很难预测下次什么时候会发现这样的bug,但Karspersky大胆猜测并将其标记在明年。做出这一预测是因为,世界上最老练的行为者很可能至少拥有一种此类的漏洞,而当前的紧张局势极大地增加shadowbrokers式黑客入侵和泄密(见下文)发生的可能性。
APT目标转向卫星技术、卫星生产商和运营商
自美国战略防御计划(绰号“星球大战”)考虑将军事能力扩展到包括太空技术以来,已经过去了近40年。尽管这在1983年看来了似乎有点牵强,但事实上已经有了几次国家成功干扰绕地卫星的实例。
如果Viasat事件是一个迹象,那么APT威胁行为者很可能在未来会越来越多地将注意力转向操纵和干扰卫星技术,从而使此类技术的安全性变得更加重要。
黑客入侵和泄密
显而易见的是,一种新的混合冲突形式——“网络战”正在展开,其中黑客和泄密行动。
这种作案手法包括侵入目标主体并公开内部文件和电子邮件。勒索软件组织已经将这种策略作为对受害者施加压力的一种方式,但APT可能会利用它来达到纯粹的破坏目的。过去,APT参与者曾泄露竞争威胁集团的数据,或创建网站传播个人信息。虽然很难从旁观者的角度评估它们的有效性,但毫无疑问,它们现在是未来威胁形势的一部分,而2023年将会产生大量相关案例。
更多APT集团将从CobaltStrike转向其他替代品
2012年发布的CobalStrike是一个威胁模拟工具,旨在帮助了解攻击者渗透网络的方法。不幸的是,与Metasploit框架一起,它已经成为网络犯罪集团和APT威胁行为者的首选工具。然而,Karspersky认为一些威胁行为者将开始使用其他替代办法。
其中一个替代方案是Brute Ratel C4,这是一个特别危险的商业攻击模拟工具,因为它的设计避免了防病毒和EDR保护的检测。另一个则是开源进攻工具Sliver。
除了威胁行为者滥用的现成产品外,APT还可能利用其他工具。Manjusaka是其中之一,它被宣传为CobaltStrike框架的仿造品。该工具的植入物是用Windows和Linux的Rust语言编写的。用Golang编写的C&C的全功能版本是免费的,可以使用自定义配置轻松生成新的植入物。另一个是Ninja,这是一个提供大量命令的工具,它允许攻击者控制远程系统,避免检测并深入目标网络内部。
总的来说,Karspersky怀疑CobaltStrike受到了防御者的太多关注(特别是当涉及到基础设施时),APT将尝试多样化他们的工具集,以保持不被发现。
SIGINT-delivered恶意软件
距离斯诺登曝光美国国家安全局使用的FoxAcid/Quantum黑客系统已经过去了近10年。这些手段包括利用“与美国电信公司的合作关系”,将服务器放置在互联网骨干网络的关键位置,使它们能够实施攻击。这是可以想象的最强大的攻击载体之一,因为它们允许受害者在没有任何交互的情况下被感染。毫无疑问,许多组织为获得这种能力而不懈努力。虽然大规模部署它需要少数人拥有的政治和技术力量,但就目前而言,类似量子的工具很可能将在地方层面实现。
这种攻击极难发现,但Karspersky预测,它们变得越来越普遍,并将在2023年发现更多此类攻击。
无人机黑客
尽管标题听起来十分华丽,但讨论的并不是用来监视甚至军用的无人机的黑客攻击。最后一个预测是:使用商业级无人机来实现近距离黑客攻击。
年复一年,公众可用的无人机已经有了更远的射程和更强的能力。安装一个恶意的Wi-Fi接入点或IMSI捕捉器并不费劲,或者只需足够的工具,就能收集用于离线破解Wi-Fi密码的WPA握手。另一种攻击方案是使用无人机在限制区域放置恶意USB密钥,希望路人会捡起它们并将其插入机器。总而言之,这将是一个很有前途的攻击媒介,可能会被大胆的攻击者或擅长物理入侵和网络入侵并用的专家使用。
CYBER RESEARCH INSTITUTE