谷歌發布2019年政府黑客攻擊報告:黑客攻擊對象更有針對性
近日,谷歌發布報告稱,2019年向用戶發出了大約4萬次國家支持黑客攻擊的警告,受到攻擊的賬號所有者主要為政府官員、記者、異議人士和地緣競爭對手。同時,與2018年相比,警告數量減少了25% ,這一下降的原因可能是谷歌實施的防禦措施的效率提高,但依舊不能低估攻擊複雜程度的風險。
此外,谷歌還公佈了2019 年網絡釣魚及惡意軟件攻擊的新趨勢。
冒充新聞機構和記者的人數正在增加
回顧自今年年初以來的網絡釣魚企圖,谷歌發現越來越多的攻擊者,包括來自伊朗和朝鮮,冒充新聞媒體或記者的人數正在增加。例如,攻擊者冒充一名記者與其他記者一起播撒虛假新聞,以傳播虛假信息。在其他情況下,攻擊者會發送幾封善意的電子郵件,以便在後續郵件中發送惡意附件之前,與記者或外交政策專家建立關係。政府支持的攻擊者經常針對外交政策專家進行研究,與他們合作的組織接觸,並在隨後的襲擊中與其他研究人員或政策制定者建立聯繫。
2019 年政府支持的網絡釣魚目標的分佈。
政府黑客攻擊對象更具針對性
谷歌指出,像政治競選團隊成員、記者、活動人士、持不同政見者、高管、金融或政府等行業的用戶最容易受到國家的攻擊,這一趨勢在2019 年得到證實。根據谷歌在2019 年的數據,政府資助的黑客屢次攻擊他們的目標,每五個收到警告的賬戶中就有一個被攻擊者多次攻擊。
政府支持的攻擊者繼續不斷地針對地緣政治對手、政府官員、記者、持不同政見者和活動分子。
美國、印度、巴基斯坦、日本和韓國等國家的居民總共收到了1000多份警告。8個月前,微軟曾表示,在過去12個月裡,它曾警告過1萬名客戶受到國家支持的攻擊。
Google 特地舉了俄羅斯黑客組織Sandworm 的例子。Sandworm 是一個為俄羅斯聯邦工作的攻擊組織,被認為發動了至今影響最嚴重的攻擊,包括攻擊烏克蘭的電力設施,導致了兩次嚴重斷電事故。
下圖顯示了Sandworm 在2017 年到2019 年針對各個行業和國家的目標。雖然針對大多數工業或國家的攻擊是零星的,但烏克蘭在整個三年期間都是攻擊的對象:
零日漏洞攻擊目標更為明顯
零日漏洞是未知的軟件缺陷。在它們被識別和修復之前,它們可以被攻擊者利用。標記積極搜尋這類攻擊,因為它們特別危險,成功率很高,儘管它們只佔總數的一小部分。當谷歌發現一種利用零天漏洞的攻擊時,會向供應商報告該漏洞並將其提供給他們。七天來修補或提供諮詢意見或者自己發佈建議。
2019 年,谷歌發現了影響Android、Chrome 、IOS 、Internet Explorer 和Windows 的零日漏洞。Google Tag 報導了一個威脅行為者在相對較短的時間內使用了5 個零日漏洞的案例。這些攻擊被用於水坑攻擊和魚叉釣魚攻擊。谷歌觀察到的大多數目標都是朝鮮人或是處理朝鮮相關問題的個人。
而谷歌高級保護計劃( APP )目的是保護任何有可能遭受網絡攻擊的人,比如長矛釣魚攻擊。
谷歌表示:
高級保護計劃使用安全密鑰幫助保護電子郵件、文檔、聯繫人或其他個人數據。即使黑客有你的密碼,他們也無法在沒有你的安全密鑰的情況下訪問你的帳戶。安全密鑰是一種小型物理設備,它有助於證明您正在登錄您的電話、平板電腦或計算機。你也可以使用內置的安全密鑰。在運行iOS 10+或Android 7+設備的iPhone上。只有在第一次在計算機、瀏覽器或設備上登錄時,才需要安全密鑰。在那之後,你只會被問到你的密碼。
同時報告還披露了2019 年發現的零日漏洞,這些漏洞包括:
- 互聯網瀏覽器-CVE-2018-8653
- 互聯網瀏覽器-CVE-2019-0676
- 鉻-CVE-2019-5786
- Windows內核-CVE-2019-0808
- 互聯網瀏覽器-CVE-2019-1367
- 互聯網瀏覽器-CVE-2019-1429
其中,CVE-2018-8653、CVE-2019-1367 和CVE-2020-0674 都是jscript.dll 中的漏洞,因此所有的漏洞都啟用了IE 8 渲染,並使用JScript.Compact.JS 引擎。
在大多數Internet Explorer 攻擊中,攻擊者濫用Enumerator 對像以獲得遠程代碼執行。
要逃離Internet Explorer EPM 沙箱,利用技術通過濫用Web 代理自動發現( WPad )服務,在svchost中重放相同的漏洞。攻擊者利用cve-2020-0674 在Firefox 上濫用這一技術,以便在利用此漏洞後逃離沙箱。
CVE-2019-0676 是CVE-2017-0022 、CVE-2016-3298 、CVE-2016-0162 和CVE-2016-3351 的變體,其中漏洞位於“RES://”URI 計劃的處理中。利用CVE-2019-0676 使攻擊者能夠在受害者的計算機上發現或不存在文件;這些信息後來被用來決定是否應該交付第二階段的攻擊。
CVE-2019-1367的攻擊矢量非常不典型,因為該攻擊來自Office文檔,濫用在線視頻嵌入功能來加載進行攻擊的外部URL 。
值得注意的是,谷歌表示在以後的更新中將提供有關攻擊者使用與COVID-19 相關的誘餌以及我們所觀察到的預期行為的詳細信息(所有這些都在攻擊者活動的正常範圍內)。