近日韩国总统发言人发布声明,表示韩国外交安全事务高官的智能手机以及金融网络遭到了朝鲜黑客入侵。不仅如此,韩国核电站、铁路等多个政府机关也多次遭到不明黑客的攻击。韩国认为这些攻击举动与朝鲜有关,意在夺取韩国网络的控制权,并造成大规模的社会动荡。
图1:韩国曝政府相关企业遭到朝鲜黑客攻击
攻击机关网络,渗透进政府及企业局域网,窃取其机密并全身而退……这么带感的设定却不是出自王牌特工续集或者碟中谍6、谍影重重5,而是取材于我们身边的真实战争。
以企业为目标的APT攻击愈演愈烈
现如今,类似的APT攻击事件不断增多。这些攻击者有着极强的纪律性,出击时间、漏洞挖掘和利用、恶意代码等整套流程都有着严密的组织和部署。为了躲避追查,其使用暗网网桥进行网络通讯,这几乎是目前APT黑客攻击中最高端和隐蔽的网络通信方式。
图2:暗网中进行的雇佣兵交易
顺带一提,可以将暗网理解为我们所使用的正常互联网的阴暗面,其内容被人为的隐藏,无法通过任何检索工具找到潜伏在暗网中的信息。黑客往往利用暗网进行黑客的招募、召开黑客论坛、通过漏洞盗窃被黑账户……因此,暗网一直是互联网中最神秘的部分,堪称网络世界中的地下黑市。
APT攻击目标明确且难以追踪
所谓APT攻击,就是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。韩国近日遭受到的攻击行为,就是最常见的APT攻击。他们通过携带木马的鱼叉邮件、含有蠕虫的移动存储工具以及内嵌恶意代码的文档,侵入企业内网后发起攻击。
APT攻击不仅目标明确,而且隐蔽性极强。它们为木马设定存活时限,往往在系统尚未察觉时,木马就已经自行销毁;攻击者利用难以追踪的通讯方式上传资料,即便发现木马也难以追根溯源。
APT攻击大敌当前,诸多企业遭其黑手
近年来,基础行业设施和大型企业频频成为黑客组织的APT攻击对象。如被震网病毒洗劫的伊朗众多家庭及企业;由于Black Energy病毒失窃大量情报的乌克兰企业……类似APT攻击案例,数不胜数。
最近360天眼实验室的追日团队也披露了一个名为“洋葱狗”(OnionDog)的黑客组织,该组织最近数年来都在8月前后攻击朝鲜语系国家的能源、交通等基础行业,还使用了USB蠕虫摆渡攻击隔离网、暗网网桥藏匿木马服务器等比较高明的渗透和隐蔽手段。
不同于以家庭为目标的攻击方式,以基础行业设施和大型企业为目标的APT攻击,将带来更大的威胁。震网病毒险些使布什尔核电站发生泄漏、Black Energy攻击电力系统后在伊朗造成大面积停电、Lazarus入侵索尼并公布索尼大量私密信息等等。倘若大型企业被攻破,大范围的个人用户将受到影响,网络安全岌岌可危。
图3:伊朗核电站遭震网病毒破坏
更为可怕的是,部分黑客组织会以军火贩子的形象出现,愿意向任何提供足够报酬的组织服务,为其攻击任何企业或个人。业内也有人称其为“雇佣军”,他们在暗网上进行各类军火交易……这些电影中的情节,每天都在我们看不到的暗网上发生。
如今,APT攻击已然成为网络的巨大隐患,震网、Black Energy、Lazarus……这一系列的名字将成为一座座里程碑,让所有个人与企业都深刻的意识到网络安全的重要与紧迫性;让所有企业投入更大的经历进行安全防御;让企业与安全机构之间构成更紧密的安全合作……只有这样,才能在疯狂的APT攻击中,建造出安全的避风港。