卡巴斯基發表2021年APT威脅態勢預測:企業VPN設備和5G漏洞將會成為攻防焦點

按照今年的資安情勢,卡巴斯基在部落格發表對於明年趨勢的看法,他們認為,駭客鎖定網路設備下手的情況會更加明顯,再者,則是隨著許多國家的5G網路開臺,濫用這種網路漏洞情況也可能成為值得關注的問題

駭客示意圖

在今年全球面臨武漢肺炎疫情所帶來的衝擊後,明年的資安威脅態勢究竟會如何發展?各家資安業者於11月下旬,開始發布有關2021年的威脅態勢報告。其中,資安廠商卡巴斯基最近幾年的做法,都是先針對持續性進階威脅(APT)的態勢,發布他們對於明年的看法,再分別對於其他特別希望各界留意的面向,推出有關報告。而對於明年的持續性進階威脅態勢,該公司於11月19日,在部落格發表他們對於2021年持續性進階威脅攻擊的預測

疫情延續遠距辦公與5G建設普及,是影響明年資安威脅情勢的關鍵

卡巴斯基對於2021年總共提出8種預測,並表示明年政府和IT業界會有較為積極的行動,包含許多政府會透過法律訴訟來對付駭客,而蘋果、微軟、Google等IT龍頭,也可能會採取行動來對付漏洞掮客(Zero-day Broker),但更值得大家留意的態勢,則是駭客攻擊目標的變化,特別是鎖定如VPN伺服器的網路資安設備,還有隨著5G網路的普及,他們也會尋找其中的漏洞來發動攻擊。

卡巴斯基提出的2021年威脅情勢預測如下:

1.APT駭客會向網路罪犯購買存取受害者網路的工具
2.會有更多國家把法律制裁當作資安戰略的一部分
3.矽谷會有更多公司會採取行動來對抗漏洞掮客
4.會有更多攻擊鎖定企業網路設備
5.5G漏洞的緊急情勢
6.索討金錢的手法更為苛刻
7.攻擊更具破壞性
8.駭客會持續濫用武漢肺炎為攻擊題材

其中,與大多數人較為直接相關的部分,則是在武漢肺炎疫情尚未完全緩解的情況下,企業採取遠距辦公的做法,明年仍然會持續下去,因此卡巴斯基認為,遠距辦公相當倚賴的VPN系統,就是駭客會特別鎖定的目標。他們也舉出今年10月駭客攻擊美國公部門、疑似意圖操弄選務系統的行動為例,指出相關的漏洞其實已經出現攻擊事件,並認為這樣的態勢明年會延續。

除了企業的VPN閘道等網路設備會被駭客鎖定,另一個焦點則是與近期在許多國家陸續開臺的5G網路。卡巴斯基指出,在美國積極勸阻友邦不要採用華為設備之際,會有更多人對於5G的網路設備進行研究,包含連線加密的流程安全性,甚至設備是否潛藏後門等情況。而一旦5G使用變得更加普及,卡巴斯基認為,相關的漏洞研究興起,也會促成明年駭客積極尋找能夠濫用的漏洞。

在這兩個預測趨勢之外,他們指出今年部分的攻擊態勢,也會延續到明年,例如,駭客會利用恐嚇的方式以求得到贖金,還有就是隨著疫情尚未減緩的情況下,繼續利用這項時事來發動攻擊等,這些既有的現象大家還是必須要多加留意。

回顧今年,栽贓手法與目標式勒索軟體攻擊是主要威脅

在提出預測之餘,卡巴斯基回顧今年觀察到的資安威脅態勢,他們歸納出8個現象。首先,他們特別提到駭客隱藏攻擊行為的栽贓攻擊(False Flag),再者是鎖定特定目標的勒索軟體攻擊,至於下手的目標裝置不再偏重PC,而是更加鎖定行動裝置與其他連網裝置。同時,過往較少遭到攻擊的地區,如科威特、阿爾及利亞、緬甸,以及中東地區等,在今年也出現遭到使用中文的駭客發動攻擊的情況。

卡巴斯基列出的2020年威脅現象如下:

1.栽贓攻擊(False Flag)層次提升
2.勒索軟體攻擊演變為目標式勒索軟體攻擊
3.新的網路銀行與線上交易攻擊面向
4.更多鎖定基礎架構和非PC為目標的攻擊
5.在亞洲和歐洲貿易經過的區域遭攻擊的情況增加
6.運用罕見手法的攻擊增加
7.行動裝置攻擊手法變化
8.藉著Deepfake洩露DNA,來濫用個人資訊

其中,在意料之中的是,卡巴斯基提及的栽贓攻擊和目標式勒索軟體攻擊現象,尤其是栽贓攻擊的手法,普遍存在許多類型的攻擊之中。什麼是栽贓攻擊?這原本是用於軍事的術語,指的是使用其他組織的旗幟或是制服等手段,來誤導他人攻擊行動是由別的組織策畫。

在網路攻擊的手法中,卡巴斯基舉出了他們發現的工業網路間諜軟體MontysThree,以及駭客組織DeathStalker的手法為例;而在我們的報導裡也有不少案例,像是中國駭客組織Cicada針對日本組織長達1年的攻擊行動中,就採用DLL側載(DLL Side-loading)的方法,將惡意軟體依附在合法程式下執行,而沒有被企業發現異狀。再者,這種攻擊態勢,我們也在鎖定網頁的攻擊事件裡出現,取代過去直接在網頁程式碼加入惡意指令的做法,例如,今年6月,有駭客把攻擊指令埋藏在網站圖示(Favicon),藉著可交換圖檔格式(EXIF)的中繼資料(Metadata)來下達攻擊指令,鎖定WooCommerce外掛程式的WordPress電商網站下手,竊取交易的資料。

而目標式勒索軟體攻擊的部分,也幾乎在企業遇害的事件中可以看到,卡巴斯基提到出現了專門與駭客談判降低贖金的業者。在國內的目標式勒索軟體攻擊事件裡,自今年5月初開始,中油台塑石油,以及力成等受害案例,引起全臺灣的高度關注,甚至調查局特別公布他們的調查結果,來提醒其他可能也被鎖定的企業及早做好防禦措施。

再者,不光是駭客的攻擊策略,在勒索行徑也有出現變化。卡巴斯基舉出芬蘭Vastaamo心理治療診所的網站遭到攻擊為例,駭客竟是向病人勒索,而並非向診所要贖金。而在我們的報導裡,則是出現駭客對於勒索軟體攻擊受害的企業,透過臉書廣告公布事件,或是藉著門市收銀機大量印出勒索訊息,來施加壓力的情況。

至於其他6個面向,雖然卡巴斯基也有舉例說明,但是比較特別的面向,是在於駭客不再只針對Windows個人電腦的現象相當顯著,而且Deepfake已經被濫用來發動攻擊。

駭客鎖定非x86平臺PC下手為目標的例子,像是TunnelSnake攻擊行動所出現的工具,就同時支援了MIPS、SH-4、PowerPC、SPARC,以及M68k等架構的電腦。再者,則是有名為MosaicRegressor的攻擊框架,鎖定電腦的UEFI韌體發動攻擊。

而在Deepfake遭到濫用的情況,卡巴斯基則是提及了已有駭客利用AI軟體來捏造主管的聲音,假冒是主管來對企業其他員工進行詐騙的事件。

文章來源:iThome

向上滑動