3月25日,奇安信威脅情報中心正式發布了《全球高級持續性威脅(APT)2021年度報告》(簡稱《報告》),對過去一年APT活動進行了全面的分析。《報告》認為,現階段中國依舊是全球APT活動的首要地區性目標,網絡竊密活動與網絡破壞活動持續加劇,經濟與科技領域網絡安全,正在經受著前所未有的巨大考驗。
《報告》顯示,2021年,奇安信威脅情報中心首次使用奇安信威脅雷達對境內的APT攻擊活動進行了全方位遙感測繪,監測到我國范圍內大量IP地址與數十個境外APT組織產生過高危通信。這表明至少有數十個境外APT組織對國內目標發起過網絡攻擊。北京地區以及廣東、福建、浙江、江蘇等沿海省份作為我國政治中心、經濟發達地區,是境外APT組織進行網絡攻擊的主要目標地區。
從受害行業分布來看,《報告》顯示,基于奇安信威脅雷達遙測數據、客戶側APT事件以及威脅情報告警數據綜合分析,2021年涉及我國政府、衛生醫療部門、高新科技企業的高級威脅事件仍然占主要部分。
另一方面,奇安信威脅情報中心收錄了434篇高級威脅類公開報告,涉及145個已命名的攻擊組織或攻擊行動。數據顯示,在全球2021年披露的APT相關活動報告中,涉及政府(包括外交、政黨、選舉相關)的攻擊事件占比為23%,其次是醫療衛生行業的事件占比為18%、科技占比14%。顯而易見,2020年新冠病毒對網絡攻擊的影響,在2021年仍在延續。
奇安信威脅情報中心進一步分析了攻擊我國的APT組織歸屬情況。《報告》顯示,海蓮花、毒云藤、EICAR、Darkhotel、蔓靈花、魔羅桫等潛伏在我國周邊國家和地區的APT組織疑似控制了境內大部分受控IP地址。海蓮花和毒云藤作為中國的老對手,在2021年依舊保持著超高的活動頻率,對我國網絡安全造成的威脅最大。
尤其是海蓮花組織。作為國內最早披露的東南亞APT組織,海蓮花在2021年的攻擊頻率達到歷史之最,除了對重點目標進行滲透外,還會對終端管理軟件公司、安全公司、科技公司進行全方位的攻擊,并成功入侵其代碼服務器和開發人員,其目的是修改軟件源代碼從而發起供應鏈打擊,同時還會挖掘政企單位常用軟件的漏洞,這類定制化漏洞極其隱蔽,在排查過程中難以發現。
值得關注的是,《報告》認為,除常規的魚叉、水坑等攻擊方式之外,0day漏洞已然成為APT攻擊活動中的常規武器和各大APT組織的“必爭之地”。
《報告》顯示,2021年以來,0day漏洞攻擊呈爆發趨勢,在野利用的0day/1day漏洞數量超過70個,這在網絡安全歷史上是前所未見的。其不僅體現在漏洞數量多,而且漏洞類型幾乎覆蓋所有壟斷市場份額的系統和產品,包括瀏覽器(Chrome/IE/Safari)、Windows操作系統、Windows Exchange Server、Microsoft Office、Adobe Reader、Apache HTTP Sever、iOS、Android等。
奇安信威脅情報中心分析發現,在野0day漏洞利用的整體趨勢以Windows平臺為基礎,Chrome/Safari瀏覽器為主流向多平臺延伸,內網核心服務域控/Exchange成為新的爆發點,同時隨著iOS,Android生態的不斷完善,相關APT組織針對這些平臺的0day攻擊也逐年以穩定的趨勢增加。
0day漏洞作為APT組織提升攻擊能力的一大武器,不僅成熟的APT組織,包括一些以往不具備0day漏洞挖掘利用能力的組織,如蔓靈花組織,也在通過類似第三方漏洞賣家的渠道擴充自身的0day存儲,追求0day資源,不斷發展自身,不斷更新其攻擊武器和手段,并且這已經成為了APT組織的一大趨勢。
針對愈演愈烈的APT攻擊,《報告》預測,在2022年,APT活動將呈現出如下六大趨勢:疫苗及相關產業將會遭到持續攻擊;針對中國的APT行動將持續加劇且更加隱秘;在野0day漏洞利用持續爆發;瞄準關鍵基礎設施的破壞和攻擊會越發泛濫;針對網絡安全產品的攻擊會受到APT組織更多的青睞;會爆發更多、更嚴重的供應鏈攻擊事件。
