Help net security發佈了一篇威脅行為體加強對北約成員國的關注
近日,一份由 Flare 發表的報告指出,網路攻擊者(Threat actors)越來越多地針對北約成員國的實體進行入侵,顯示出一個持續且地理上多樣的網路威脅環境。網路攻擊者利用各種技術,包括魚叉式網路釣魚(spear-phishing)、利用未修補的漏洞、以及使用洩漏和竊取的憑證,來入侵系統並獲得未經授權的訪問權限,他們的主要目標是在這些環境中建立持久性。洩漏的憑證和來自竊取器日誌(stealer logs)的 cookies 可能是網路攻擊者獲得初始訪問權限的常見途徑。Flare 分析了數百個在俄語黑客論壇上的網路攻擊者的帖子,並發現在 31 個北約國家中有 21 個國家最近有活動,證實了網路攻擊者對國家安全和經濟穩定的廣泛影響和持續潛在威脅。
報告的一個關鍵發現是,網路攻擊者傾向於針對北約成員國的關鍵基礎設施部門,他們的戰略價值使網路攻擊者能夠在網路犯罪市場上要求更高的價格。報告還強調了網路攻擊者帖子的匿名性,以及他們小心地隱藏敏感細節的努力,這給識別受害者帶來了挑戰。分析顯示,對美國國防部門的有針對性的網路攻擊有明顯的趨勢,以及對美國國防承包商的訪問權限的價格更高。這反映了這些目標的高價值,並表明網路攻擊者意識到滲透與國防相關的系統的重大影響。對美國國防承包商的訪問權限的平均價格為 5,750 美元,可立即購買,與其他所有行業的平均價格 1,489 美元(去除異常值後)形成鮮明對比。這種差異表明,網路攻擊者願意為可能訪問高度敏感環境付出溢價。北約國家基礎設施的平均閃電價格為 6,396 美元,與所有列表的 2,742 美元相比。使用四分位數範圍(IQR)方法消除異常值後,關鍵基礎設施的平均售價仍然較高:1,782 美元,而非關鍵基礎設施為 1,420 美元。
某些網路攻擊者對關鍵基礎設施部門有明顯的集中。像「Roblette」和「Sandocan」這樣的行動者在這些領域顯示出不成比例的關注,暗示了網路犯罪分子為了可能更高的財務收益和更大的影響而進行的戰略性定位。論壇如 Exploit 上的賣家的謹慎態度,他們經常隱瞞敏感細節以避免受害者的識別,是網路犯罪分子、研究人員和執法機構之間持續的貓鼠遊戲的一個例子。相反,其他事件似乎是偶然的,源於廣泛的網路釣魚和社會工程攻擊,並通過使用憑證填充或密碼噴射等技術來實現。
國家利用網路犯罪團體
報告還指出,國家可能利用網路犯罪團體來進行間接的網路攻擊,以避免直接的責任和報復。這種合作可能是隱性的,也可能是顯性的,取決於國家和網路犯罪團體之間的關係。例如,俄羅斯政府可能會對一些網路犯罪團體採取放任的態度,只要他們不攻擊俄羅斯的目標,並且在需要時提供協助。這種情況下,網路犯罪團體可能會自發地對俄羅斯的敵對國家進行攻擊,或者被俄羅斯政府秘密委託。另一種情況是,國家可能會直接資助或控制一些網路犯罪團體,並將它們作為代理人來執行網路攻擊。例如,朝鮮政府可能會指導一些網路犯罪團體,如 Lazarus Group,來進行金融詐騙和勒索軟體攻擊,以獲得外匯收入。
網路攻擊者對北約成員國的關注,對於維護國際和平與安全,以及保護關鍵基礎設施和敏感數據,提出了嚴峻的挑戰。北約和其成員國需要加強他們的網路防禦能力,並與私營部門和研究機構合作,以及時發現和應對網路威