引  言

網(wǎng)絡(luò)威脅行為者是威脅環(huán)境中不可或缺的組成部分。它們是旨在利用現(xiàn)有漏洞實(shí)施惡意行為、意圖傷害受害者的實(shí)體。了解威脅行為者的思考方式、行動(dòng)方式、動(dòng)機(jī)和目標(biāo)，對(duì)于更強(qiáng)大的網(wǎng)絡(luò)威脅管理和事件響應(yīng)至關(guān)重要。監(jiān)測(cè)威脅行為者為實(shí)現(xiàn)其目標(biāo)所使用的策略和技術(shù)的最新發(fā)展，并保持對(duì)動(dòng)機(jī)和目標(biāo)的長(zhǎng)期趨勢(shì)的最新了解，在當(dāng)今網(wǎng)絡(luò)安全生態(tài)系統(tǒng)中，對(duì)于高效的防御至關(guān)重要。

此外，了解與威脅行為者相關(guān)的趨勢(shì)、動(dòng)機(jī)和目標(biāo)，對(duì)于規(guī)劃網(wǎng)絡(luò)安全防御和緩解策略非常有幫助。它是整體威脅評(píng)估的一個(gè)組成部分，因?yàn)樗梢愿鶕?jù)潛在影響和威脅實(shí)現(xiàn)的可能性來優(yōu)先考慮安全控制，并制定專門的策略。如果不了解威脅行為者及其操作方式，則會(huì)在網(wǎng)絡(luò)安全方面造成重大的知識(shí)缺口，因?yàn)樵诓豢紤]動(dòng)機(jī)和目標(biāo)的情況下分析威脅可能導(dǎo)致防御措施低效，甚至在某些情況下無法保護(hù)。

在本節(jié)中，我們探討與威脅行為者相關(guān)的趨勢(shì)。本評(píng)估并未提供報(bào)告期內(nèi)所有趨勢(shì)的詳盡列表，而是提供在戰(zhàn)略層面上觀察到的重要趨勢(shì)的高層視圖。我們關(guān)注威脅行為者的動(dòng)機(jī)、影響和目標(biāo)。我們還評(píng)估了它們的演變。

對(duì)于 ETL 2022，我們?cè)俅慰紤]以下四類網(wǎng)絡(luò)安全威脅參與者：

1、國(guó)家支持的行為者

2、網(wǎng)絡(luò)犯罪行為人候玄鳥歸

3、雇傭黑客的行為者

4、黑客活動(dòng)家

潛在威脅行為者的列表非常廣泛，其中包括內(nèi)部人員等其他類別。重點(diǎn)關(guān)注以上四個(gè)威脅行為者類別，并不意味著其他威脅行為者類別的重要性較低。選擇這四個(gè)威脅行為者類別的重點(diǎn)關(guān)注，是基于它們?cè)?022年ETL報(bào)告期內(nèi)相對(duì)突出的表現(xiàn)。

國(guó)家支持的行為者趨勢(shì)

據(jù)公開報(bào)道，0-day漏洞和其他關(guān)鍵漏洞的利用程度越來越高。在2021年，漏洞利用是入侵最常見的手段，而披露的0日漏洞利用數(shù)量達(dá)到了歷史最高水平，共計(jì)66個(gè)。

在報(bào)告期內(nèi)，國(guó)家支持的行為者利用了許多關(guān)鍵漏洞，其中一些針對(duì)的是Microsoft、Pulse Secure VPN設(shè)備、Atlassian Confluence、F5 Big-IP設(shè)備、Fortinet設(shè)備和Apache的Log4j實(shí)用程序。此外，我們觀察到國(guó)家支持的威脅行為者針對(duì)全球各地的小型辦公室或家庭路由器，并利用這些被攻陷的基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)攻擊，同時(shí)阻礙防御者的努力。我們還觀察到Sandworm的VPNFilter惡意軟件被Cyclops Blink取代，以針對(duì)WatchGuard防火墻設(shè)備和ASUS路由器。

雖然0-day漏洞的話題并不新鮮，但在報(bào)告期間公開披露的0-day漏洞數(shù)量顯著增加。0-day漏洞數(shù)量增加的因素包括以下幾點(diǎn)。

國(guó)家級(jí)威脅行為者越來越多地投入資源進(jìn)行0-day研究和開發(fā)利用工具。我們觀察到有時(shí)這些努力還會(huì)導(dǎo)致政策決策，例如中國(guó)的一項(xiàng)新法律要求供應(yīng)商向政府報(bào)告0-day漏洞。

另一個(gè)可能性是國(guó)家級(jí)威脅行為者對(duì)供應(yīng)鏈的關(guān)注增加，通過利用一個(gè)0-day漏洞，威脅行為者可以獲得對(duì)多個(gè)目標(biāo)的初始訪問。例如，谷歌、微軟、蘋果和Adobe產(chǎn)品都是這種0-day漏洞攻擊的主要目標(biāo)。

Access-as-a-Service市場(chǎng)已經(jīng)成熟和專業(yè)化，提供漏洞研究、利用和惡意軟件載荷開發(fā)等服務(wù)。

運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)的風(fēng)險(xiǎn)增加

在《2021年歐盟網(wǎng)絡(luò)和信息安全局年度報(bào)告》中，指出國(guó)家級(jí)威脅行為者會(huì)增加對(duì)關(guān)鍵基礎(chǔ)設(shè)施和操作技術(shù)（OT）網(wǎng)絡(luò)破壞的比率。在整個(gè)報(bào)告期內(nèi)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊主要是為了收集情報(bào)，以及部署新觀察到的針對(duì)工業(yè)控制系統(tǒng)的惡意軟件以及破壞。

根據(jù)公開報(bào)告，識(shí)別到有三個(gè)新的組織具有對(duì)OT網(wǎng)絡(luò)的攻擊意圖，包括KOSTOVITE、PETROVITE和ERYTHRITE。通常攻擊者會(huì)主動(dòng)收集OT網(wǎng)絡(luò)的信息以做他用。目前，大多數(shù)網(wǎng)絡(luò)攻擊者會(huì)預(yù)先收集信息，而非破壞。

報(bào)告還指出兩種新的工控系統(tǒng)（ICS）惡意軟件：Industroyer2 和 INCONTROLLER（也稱為 PIPEDREAM57）。關(guān)于ICS 的惡意軟件很少見，Industroyer2 和 INCONTROLLER 分別在惡意軟件中位列第6和第7名，前面有 Stuxnet、Havex、BlackEnergy2、CrashOverride 或 Industroyer 和 Trisis 以及 Triton 之后出現(xiàn)的。在分析針對(duì)烏克蘭一家能源公司的攻擊時(shí)檢測(cè)到了Industroyer2，其目的是在俄羅斯烏克蘭危機(jī)期間切斷烏克蘭某個(gè)地區(qū)的電力。這次攻擊的發(fā)起者被評(píng)估為由國(guó)家支持的威脅團(tuán)體 Sandworm。INCONTROLLER非?？赡苁怯蓢?guó)家贊助開發(fā)的惡意軟件，專注于破壞、侵入。

由此評(píng)估認(rèn)為，國(guó)家支持的威脅行為者將加強(qiáng)對(duì)OT網(wǎng)絡(luò)的偵察、入侵能力，特別是在武裝沖突時(shí)期。同時(shí)，他們將投入更多資源開發(fā)可擴(kuò)展的ICS惡意軟件框架，擴(kuò)大攻擊面。

破壞性攻擊在國(guó)家間日漸突出

在俄烏沖突期間，網(wǎng)絡(luò)攻擊出現(xiàn)在軍事行動(dòng)中。這些網(wǎng)絡(luò)攻擊主要使用擦除攻擊，破壞和干擾政府機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施實(shí)體的網(wǎng)絡(luò)。攻擊者不僅破壞了被攻擊實(shí)體的功能，同時(shí)也破壞了公眾對(duì)國(guó)家領(lǐng)導(dǎo)層的信任、傳播FUD（恐懼、不確定性和懷疑）和促進(jìn)虛假信息行動(dòng)。

截至目前，有九個(gè)由國(guó)家支持的威脅行為人部署了擦除型惡意軟件，其中包括WhisperGate或WhisperKill、Hermetic Wiper、CaddyWiper、DesertBlade、AcidRain、Industroyer2、IsaacWiper和DoubleZero。這些攻擊不僅數(shù)量眾多，而且攻擊的頻率較高。微軟公司在2022年2月23日至4月8日期間報(bào)告稱，在針對(duì)烏克蘭數(shù)十個(gè)組織的數(shù)百個(gè)系統(tǒng)中，發(fā)現(xiàn)了離散的破壞性攻擊。

衛(wèi)星通信領(lǐng)域也出現(xiàn)了定向攻擊，其中包括擦除病毒AcidRain。包括歐盟、美國(guó)、英國(guó)等在內(nèi)的多個(gè)國(guó)家，指責(zé)俄羅斯使用此病毒侵入了商業(yè)衛(wèi)星通信公司Viasat，并且烏克蘭受到影響尤為明顯，以致該公司的衛(wèi)星調(diào)制解調(diào)器發(fā)生故障。此外，這次攻擊還波及了中歐地區(qū)，導(dǎo)致風(fēng)力發(fā)電廠受到干擾，同時(shí)影響了衛(wèi)星互聯(lián)網(wǎng)。

根據(jù)評(píng)估，隨著沖突的繼續(xù)，除烏克蘭外，其他相關(guān)國(guó)家也會(huì)受到波及。西方國(guó)家或北約盟友的關(guān)鍵基礎(chǔ)設(shè)施機(jī)構(gòu)，也可能成為報(bào)復(fù)性行動(dòng)的目標(biāo)。一些親俄網(wǎng)絡(luò)勒索軟件組織可能會(huì)針對(duì)西方組織進(jìn)行破壞性行動(dòng)，網(wǎng)絡(luò)安全和國(guó)際關(guān)系方面的緊張局勢(shì)將繼續(xù)引發(fā)全球關(guān)注。

公開署名和法律行動(dòng)仍在繼續(xù)

去年在ETL 2021中，我們強(qiáng)調(diào)了政府應(yīng)加強(qiáng)對(duì)國(guó)家級(jí)威脅行為者的打擊、強(qiáng)烈譴責(zé)并且要采取法律限制。

在報(bào)告期間，出現(xiàn)了許多涉及國(guó)家級(jí)威脅行為者的重大事件，比如：

烏克蘭安全局（SBU）起訴了Gamaredon組織的三名運(yùn)營(yíng)人員。

兩名伊朗人被指控進(jìn)行與2020年美國(guó)總統(tǒng)選舉相關(guān)的網(wǎng)絡(luò)活動(dòng)和影響操作。

加州大學(xué)伯克利分校人權(quán)中心向荷蘭海牙的國(guó)際刑事法院正式提交請(qǐng)求，指控威脅組織Sandworm在2015、2016年關(guān)閉烏克蘭電力系統(tǒng)，犯下戰(zhàn)爭(zhēng)罪。

歐盟和美國(guó)的盟友正式將針對(duì)商業(yè)衛(wèi)星公司Viasat的網(wǎng)絡(luò)攻擊歸咎于俄羅斯。歐盟和成員國(guó)強(qiáng)烈譴責(zé)針對(duì)烏克蘭的網(wǎng)絡(luò)攻擊以及針對(duì)歐盟幾個(gè)成員國(guó)的分布式拒絕服務(wù)（DDoS）攻擊。

歐盟司法部長(zhǎng)發(fā)布了國(guó)家級(jí)組織APT28的黑客的逮捕令。此攻擊者曾在2017年對(duì)北約智庫(kù)進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。

在報(bào)告看來，隨著網(wǎng)絡(luò)行動(dòng)逐漸受政府重視，陸續(xù)會(huì)出現(xiàn)更多網(wǎng)絡(luò)攻擊、干擾對(duì)手基礎(chǔ)設(shè)施和起訴黑客嫌疑人的指控。

然而，目前仍不清楚這些行動(dòng)在長(zhǎng)期內(nèi)能否遏制。例如，美國(guó)司法部控告了7名APT41的操作員并在2020年9月7日查獲了該組織的部分基礎(chǔ)設(shè)施，但該組織于2021年末至2022年中繼續(xù)了其活動(dòng)。這個(gè)例子表明，對(duì)一個(gè)威脅組織的參與者進(jìn)行控告可能對(duì)阻止整個(gè)組織行動(dòng)沒有影響，因此鼓勵(lì)進(jìn)一步的遏制措施。

國(guó)家支持的威脅者越來越關(guān)注供應(yīng)鏈的

在2021年，供應(yīng)鏈攻擊占所有入侵事件的17％（或根據(jù)其他來源，高達(dá)62％100），而在2020年僅占不到1％。自從在2020年12月揭示了SolarWinds供應(yīng)鏈攻擊事件以來，國(guó)家支持的威脅行動(dòng)者意識(shí)到了其潛力，并越來越多地針對(duì)第三方進(jìn)行攻擊，以向其客戶拓展其向下游的網(wǎng)絡(luò)攻擊行動(dòng)。

云服務(wù)提供商(CSPs)、托管服務(wù)提供商(MSPs)和IT服務(wù)組織是威脅行為者利用信任關(guān)系進(jìn)行惡意操作的主要目標(biāo)。NOBELIUM活動(dòng)組一直在針對(duì)服務(wù)提供商及其下游客戶進(jìn)行攻擊。與此同時(shí)，威脅行為者還針對(duì)40多家IT服務(wù)公司(主要位于印度)進(jìn)行攻擊，以獲取他們客戶的網(wǎng)絡(luò)訪問權(quán)限。

根據(jù)我們的評(píng)估，國(guó)家支持的威脅行為者肯定會(huì)進(jìn)一步發(fā)展他們的工具集，以攻擊和破壞供應(yīng)鏈，作為間接向量來實(shí)現(xiàn)他們的目標(biāo)。軟件供應(yīng)鏈攻擊（例如開源軟件開發(fā)庫(kù)、流行的軟件包、軟件平臺(tái)的妥協(xié)等）很可能會(huì)被有資金支持的國(guó)家支持的組織利用，以在數(shù)百個(gè)受害者的網(wǎng)絡(luò)中獲得立足之地。

地緣政治繼續(xù)影響網(wǎng)絡(luò)行動(dòng)破壞

正如在ETL 2021中提到的那樣，地緣政治是通過網(wǎng)絡(luò)行動(dòng)收集情報(bào)的關(guān)鍵驅(qū)動(dòng)因素之一。隨著地緣政治緊張局勢(shì)的加劇，網(wǎng)絡(luò)攻擊的目標(biāo)數(shù)量也在不斷增加。

公開報(bào)告顯示，由于持續(xù)的武裝沖突，一些國(guó)家級(jí)惡意組織對(duì)烏克蘭實(shí)體進(jìn)行了多次網(wǎng)絡(luò)攻擊。這些威脅組織的重點(diǎn)是進(jìn)行訪問操作并收集情報(bào)，為軍事部隊(duì)提供戰(zhàn)術(shù)或戰(zhàn)略優(yōu)勢(shì)。此外，一些國(guó)家級(jí)威脅行動(dòng)針對(duì)了支持烏克蘭的128個(gè)政府組織，這些組織分布在42個(gè)國(guó)家中（主要包括美國(guó)、歐盟、波蘭、與俄羅斯接壤的國(guó)家和北約成員國(guó)）。

安全研究人員認(rèn)為，國(guó)家級(jí)威脅組織的目標(biāo)很可能與一個(gè)國(guó)家的長(zhǎng)期計(jì)劃存在直接聯(lián)系。據(jù)報(bào)道，一些威脅行動(dòng)在沖突早期就瞄準(zhǔn)了烏克蘭和俄羅斯的實(shí)體，可能是為了收集情報(bào)。此外，據(jù)報(bào)道，隨著各國(guó)之間緊張局勢(shì)的升級(jí)，威脅行為者已經(jīng)將中東地區(qū)的實(shí)體作為目標(biāo)。這些行為者廣泛采用勒索軟件鎖定和泄漏信息，他們主要針對(duì)以色列和美國(guó)的組織，以及中東和北非地區(qū)的組織。中東地區(qū)這些國(guó)家之間的網(wǎng)絡(luò)行動(dòng)已經(jīng)達(dá)到了影響平民的程度。

據(jù)報(bào)道，威脅行動(dòng)人員強(qiáng)烈關(guān)注收集外交和地緣政治情報(bào)，可能是由于對(duì)其國(guó)家受到的制裁要求的驅(qū)動(dòng)。在這種特定情況下，其行動(dòng)的另一個(gè)主要?jiǎng)右蚴峭ㄟ^加密貨幣盜竊獲得金融資源。

由于國(guó)際形勢(shì)不穩(wěn)定，預(yù)計(jì)在短期到中期內(nèi)會(huì)觀察到更多以地緣政治為驅(qū)動(dòng)的網(wǎng)絡(luò)行動(dòng)。像中東、地中海東部、北極地區(qū)、波羅的海、阿富汗、也門、敘利亞和利比亞等地區(qū)的地緣政治形勢(shì)可能會(huì)出現(xiàn)破壞性的網(wǎng)絡(luò)攻擊。需要澄清的是，由烏克蘭地緣政治形勢(shì)引發(fā)的網(wǎng)絡(luò)行動(dòng)與歐盟有更大的相關(guān)性和聯(lián)系。

在報(bào)告期內(nèi)，還觀察到了與越來越多國(guó)家有聯(lián)系的威脅組織進(jìn)行的網(wǎng)絡(luò)攻擊活動(dòng)，這些國(guó)家包括越南、土耳其、巴基斯坦、印度、烏克蘭、白俄羅斯等。我們預(yù)計(jì)，在緊張局勢(shì)或沖突加劇的時(shí)期，越來越多的國(guó)家將利用其網(wǎng)絡(luò)能力進(jìn)行情報(bào)收集。

網(wǎng)絡(luò)破壞自覺成軍

烏克蘭武裝沖突動(dòng)員了許多駭客、網(wǎng)絡(luò)犯罪和國(guó)家級(jí)別的組織。烏克蘭IT軍隊(duì)的案例是一個(gè)獨(dú)特的、難以分類的案例；它既可以被認(rèn)為是由志愿者組成的駭客組織，也可以被認(rèn)為是由政府支持的組織或者是混合型組織。截至撰寫本文時(shí)，網(wǎng)絡(luò)安全界尚未達(dá)成共識(shí)。烏克蘭IT軍隊(duì)肯定會(huì)為未來的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)研究學(xué)者提供素材，并可能突顯未來沖突的趨勢(shì)。

2022年2月26日，烏克蘭副總理兼數(shù)字轉(zhuǎn)型部長(zhǎng)宣布創(chuàng)建烏克蘭的IT軍隊(duì)。這一宣布號(hào)召志愿者通過Telegram頻道（該頻道有30萬訂閱者）協(xié)調(diào)其在網(wǎng)絡(luò)戰(zhàn)線上的行動(dòng)。烏克蘭IT軍隊(duì)成功地攻擊了各種實(shí)體，并進(jìn)行了大多數(shù)協(xié)調(diào)的分布式拒絕服務(wù)（DDoS）攻擊，但并不僅限于此類攻擊。

在俄羅斯入侵烏克蘭的時(shí)候，烏克蘭沒有軍事網(wǎng)絡(luò)指揮部。出于必要性，烏克蘭根據(jù)愛沙尼亞網(wǎng)絡(luò)防御聯(lián)盟的模式創(chuàng)建了一個(gè)混合實(shí)體，由烏克蘭和國(guó)際民間人員、私人公司以及烏克蘭國(guó)防和軍事人員組成，因此很難對(duì)其進(jìn)行分類。它既不是民用的、軍事的、公共的、私人的、本地的或國(guó)際的實(shí)體。此外，它還引發(fā)了有關(guān)網(wǎng)絡(luò)空間國(guó)際法、國(guó)家網(wǎng)絡(luò)規(guī)范、針對(duì)民用基礎(chǔ)設(shè)施的問題以及私人公司道德問題的討論。

我們的評(píng)估認(rèn)為，未來國(guó)家行為者可能會(huì)采用烏克蘭IT軍隊(duì)的結(jié)構(gòu)和設(shè)置作為非國(guó)家參與未來沖突的藍(lán)圖（特別是對(duì)于缺乏組織有序的軍事網(wǎng)絡(luò)指揮部的國(guó)家）。同時(shí)，這些眾包網(wǎng)絡(luò)軍隊(duì)可能會(huì)包含非公開的方面，進(jìn)一步復(fù)雜化它們的結(jié)構(gòu)、運(yùn)營(yíng)行為，并給網(wǎng)絡(luò)社區(qū)、學(xué)者和網(wǎng)絡(luò)戰(zhàn)分析帶來分析難度。

科技公司出現(xiàn)在沖突期間的網(wǎng)絡(luò)行動(dòng)中

在俄羅斯入侵烏克蘭期間，首次觀察到一些大型技術(shù)公司在網(wǎng)絡(luò)戰(zhàn)方面站隊(duì)并支持烏克蘭。最突出的例子是微軟公司，他們向?yàn)蹩颂m網(wǎng)絡(luò)安全官員提供支持，以應(yīng)對(duì)FoxBlade惡意軟件，并提供有關(guān)俄羅斯網(wǎng)絡(luò)行動(dòng)的意識(shí)和情報(bào)報(bào)告。微軟和AWS已被烏克蘭總統(tǒng)沃洛迪米爾·澤連斯基授予“和平獎(jiǎng)”。

這一趨勢(shì)很有趣，但也很難評(píng)估。目前，這種強(qiáng)烈傾向于沖突的一方的長(zhǎng)期后果尚不為人所知。此外，關(guān)于私營(yíng)公司在未來沖突期間的網(wǎng)絡(luò)作戰(zhàn)中的角色和責(zé)任的討論也正在興起。

虛假信息的復(fù)雜性和范圍不斷擴(kuò)大作用

多個(gè)國(guó)家支持的黑客組織已經(jīng)具備使用社交媒體平臺(tái)、搜索引擎和消息服務(wù)散布虛假信息的能力。他們的做法與傳統(tǒng)的造謠誹謗活動(dòng)不同，因?yàn)檫@些服務(wù)提供了現(xiàn)成的工具，可以測(cè)試和優(yōu)化他們的內(nèi)容，并監(jiān)測(cè)虛假信息活動(dòng)的影響和傳播。此外，機(jī)器學(xué)習(xí)（ML）、人工智能（AI）、深度偽造技術(shù)和語(yǔ)音生物識(shí)別技術(shù)的發(fā)展，為威脅行為者提供了強(qiáng)大的工具，用于創(chuàng)建誤導(dǎo)性內(nèi)容。

我們的評(píng)估是，隨著俄羅斯-烏克蘭沖突的發(fā)展，與沖突有關(guān)的信息偽造范圍將擴(kuò)大，并且會(huì)在東歐以外的地區(qū)被利用以服務(wù)于各國(guó)戰(zhàn)略目標(biāo)。最后，政府和媒體組織，在地緣政治事件期間，遭受網(wǎng)絡(luò)行動(dòng)的風(fēng)險(xiǎn)也會(huì)增加。

參考文獻(xiàn)

1.Mandiant–M-Trends2022 - https://www.mandiant.com/resources/m-trends-2022   2.Trend Micro Security Prediction for 2022 - https://www.trendmicro.com/vinfo/us/

3. CISA - Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and 'PrintNightmare' Vulnerability

4. Security Affairs - Another nation-state actor exploits Microsoft Follina to attack European and US entities、

5. CISA - Threat Actors Exploiting F5 BIG-IP CVE-2022-1388

6. CERT-EU - Threat Landscape Report 2021 Q4 - Executive Summary