引  言

網(wǎng)絡威脅行為者是威脅環(huán)境中不可或缺的組成部分。它們是旨在利用現(xiàn)有漏洞實施惡意行為、意圖傷害受害者的實體。了解威脅行為者的思考方式、行動方式、動機和目標，對于更強大的網(wǎng)絡威脅管理和事件響應至關重要。監(jiān)測威脅行為者為實現(xiàn)其目標所使用的策略和技術的最新發(fā)展，并保持對動機和目標的長期趨勢的最新了解，在當今網(wǎng)絡安全生態(tài)系統(tǒng)中，對于高效的防御至關重要。

此外，了解與威脅行為者相關的趨勢、動機和目標，對于規(guī)劃網(wǎng)絡安全防御和緩解策略非常有幫助。它是整體威脅評估的一個組成部分，因為它可以根據(jù)潛在影響和威脅實現(xiàn)的可能性來優(yōu)先考慮安全控制，并制定專門的策略。如果不了解威脅行為者及其操作方式，則會在網(wǎng)絡安全方面造成重大的知識缺口，因為在不考慮動機和目標的情況下分析威脅可能導致防御措施低效，甚至在某些情況下無法保護。

在本節(jié)中，我們探討與威脅行為者相關的趨勢。本評估并未提供報告期內(nèi)所有趨勢的詳盡列表，而是提供在戰(zhàn)略層面上觀察到的重要趨勢的高層視圖。我們關注威脅行為者的動機、影響和目標。我們還評估了它們的演變。

對于 ETL 2022，我們再次考慮以下四類網(wǎng)絡安全威脅參與者：

1、國家支持的行為者

2、網(wǎng)絡犯罪行為人候玄鳥歸

3、雇傭黑客的行為者

4、黑客活動家

潛在威脅行為者的列表非常廣泛，其中包括內(nèi)部人員等其他類別。重點關注以上四個威脅行為者類別，并不意味著其他威脅行為者類別的重要性較低。選擇這四個威脅行為者類別的重點關注，是基于它們在2022年ETL報告期內(nèi)相對突出的表現(xiàn)。

國家支持的行為者趨勢

據(jù)公開報道，0-day漏洞和其他關鍵漏洞的利用程度越來越高。在2021年，漏洞利用是入侵最常見的手段，而披露的0日漏洞利用數(shù)量達到了歷史最高水平，共計66個。

在報告期內(nèi)，國家支持的行為者利用了許多關鍵漏洞，其中一些針對的是Microsoft、Pulse Secure VPN設備、Atlassian Confluence、F5 Big-IP設備、Fortinet設備和Apache的Log4j實用程序。此外，我們觀察到國家支持的威脅行為者針對全球各地的小型辦公室或家庭路由器，并利用這些被攻陷的基礎設施進行網(wǎng)絡攻擊，同時阻礙防御者的努力。我們還觀察到Sandworm的VPNFilter惡意軟件被Cyclops Blink取代，以針對WatchGuard防火墻設備和ASUS路由器。

雖然0-day漏洞的話題并不新鮮，但在報告期間公開披露的0-day漏洞數(shù)量顯著增加。0-day漏洞數(shù)量增加的因素包括以下幾點。

國家級威脅行為者越來越多地投入資源進行0-day研究和開發(fā)利用工具。我們觀察到有時這些努力還會導致政策決策，例如中國的一項新法律要求供應商向政府報告0-day漏洞。

另一個可能性是國家級威脅行為者對供應鏈的關注增加，通過利用一個0-day漏洞，威脅行為者可以獲得對多個目標的初始訪問。例如，谷歌、微軟、蘋果和Adobe產(chǎn)品都是這種0-day漏洞攻擊的主要目標。

Access-as-a-Service市場已經(jīng)成熟和專業(yè)化，提供漏洞研究、利用和惡意軟件載荷開發(fā)等服務。

運營技術網(wǎng)絡的風險增加

在《2021年歐盟網(wǎng)絡和信息安全局年度報告》中，指出國家級威脅行為者會增加對關鍵基礎設施和操作技術（OT）網(wǎng)絡破壞的比率。在整個報告期內(nèi)發(fā)現(xiàn)網(wǎng)絡攻擊主要是為了收集情報，以及部署新觀察到的針對工業(yè)控制系統(tǒng)的惡意軟件以及破壞。

根據(jù)公開報告，識別到有三個新的組織具有對OT網(wǎng)絡的攻擊意圖，包括KOSTOVITE、PETROVITE和ERYTHRITE。通常攻擊者會主動收集OT網(wǎng)絡的信息以做他用。目前，大多數(shù)網(wǎng)絡攻擊者會預先收集信息，而非破壞。

報告還指出兩種新的工控系統(tǒng)（ICS）惡意軟件：Industroyer2 和 INCONTROLLER（也稱為 PIPEDREAM57）。關于ICS 的惡意軟件很少見，Industroyer2 和 INCONTROLLER 分別在惡意軟件中位列第6和第7名，前面有 Stuxnet、Havex、BlackEnergy2、CrashOverride 或 Industroyer 和 Trisis 以及 Triton 之后出現(xiàn)的。在分析針對烏克蘭一家能源公司的攻擊時檢測到了Industroyer2，其目的是在俄羅斯烏克蘭危機期間切斷烏克蘭某個地區(qū)的電力。這次攻擊的發(fā)起者被評估為由國家支持的威脅團體 Sandworm。INCONTROLLER非?？赡苁怯蓢屹澲_發(fā)的惡意軟件，專注于破壞、侵入。

由此評估認為，國家支持的威脅行為者將加強對OT網(wǎng)絡的偵察、入侵能力，特別是在武裝沖突時期。同時，他們將投入更多資源開發(fā)可擴展的ICS惡意軟件框架，擴大攻擊面。

破壞性攻擊在國家間日漸突出

在俄烏沖突期間，網(wǎng)絡攻擊出現(xiàn)在軍事行動中。這些網(wǎng)絡攻擊主要使用擦除攻擊，破壞和干擾政府機構和關鍵基礎設施實體的網(wǎng)絡。攻擊者不僅破壞了被攻擊實體的功能，同時也破壞了公眾對國家領導層的信任、傳播FUD（恐懼、不確定性和懷疑）和促進虛假信息行動。

截至目前，有九個由國家支持的威脅行為人部署了擦除型惡意軟件，其中包括WhisperGate或WhisperKill、Hermetic Wiper、CaddyWiper、DesertBlade、AcidRain、Industroyer2、IsaacWiper和DoubleZero。這些攻擊不僅數(shù)量眾多，而且攻擊的頻率較高。微軟公司在2022年2月23日至4月8日期間報告稱，在針對烏克蘭數(shù)十個組織的數(shù)百個系統(tǒng)中，發(fā)現(xiàn)了離散的破壞性攻擊。

衛(wèi)星通信領域也出現(xiàn)了定向攻擊，其中包括擦除病毒AcidRain。包括歐盟、美國、英國等在內(nèi)的多個國家，指責俄羅斯使用此病毒侵入了商業(yè)衛(wèi)星通信公司Viasat，并且烏克蘭受到影響尤為明顯，以致該公司的衛(wèi)星調(diào)制解調(diào)器發(fā)生故障。此外，這次攻擊還波及了中歐地區(qū)，導致風力發(fā)電廠受到干擾，同時影響了衛(wèi)星互聯(lián)網(wǎng)。

根據(jù)評估，隨著沖突的繼續(xù)，除烏克蘭外，其他相關國家也會受到波及。西方國家或北約盟友的關鍵基礎設施機構，也可能成為報復性行動的目標。一些親俄網(wǎng)絡勒索軟件組織可能會針對西方組織進行破壞性行動，網(wǎng)絡安全和國際關系方面的緊張局勢將繼續(xù)引發(fā)全球關注。

公開署名和法律行動仍在繼續(xù)

去年在ETL 2021中，我們強調(diào)了政府應加強對國家級威脅行為者的打擊、強烈譴責并且要采取法律限制。

在報告期間，出現(xiàn)了許多涉及國家級威脅行為者的重大事件，比如：

烏克蘭安全局（SBU）起訴了Gamaredon組織的三名運營人員。

兩名伊朗人被指控進行與2020年美國總統(tǒng)選舉相關的網(wǎng)絡活動和影響操作。

加州大學伯克利分校人權中心向荷蘭海牙的國際刑事法院正式提交請求，指控威脅組織Sandworm在2015、2016年關閉烏克蘭電力系統(tǒng)，犯下戰(zhàn)爭罪。

歐盟和美國的盟友正式將針對商業(yè)衛(wèi)星公司Viasat的網(wǎng)絡攻擊歸咎于俄羅斯。歐盟和成員國強烈譴責針對烏克蘭的網(wǎng)絡攻擊以及針對歐盟幾個成員國的分布式拒絕服務（DDoS）攻擊。

歐盟司法部長發(fā)布了國家級組織APT28的黑客的逮捕令。此攻擊者曾在2017年對北約智庫進行網(wǎng)絡間諜活動。

在報告看來，隨著網(wǎng)絡行動逐漸受政府重視，陸續(xù)會出現(xiàn)更多網(wǎng)絡攻擊、干擾對手基礎設施和起訴黑客嫌疑人的指控。

然而，目前仍不清楚這些行動在長期內(nèi)能否遏制。例如，美國司法部控告了7名APT41的操作員并在2020年9月7日查獲了該組織的部分基礎設施，但該組織于2021年末至2022年中繼續(xù)了其活動。這個例子表明，對一個威脅組織的參與者進行控告可能對阻止整個組織行動沒有影響，因此鼓勵進一步的遏制措施。

國家支持的威脅者越來越關注供應鏈的

在2021年，供應鏈攻擊占所有入侵事件的17％（或根據(jù)其他來源，高達62％100），而在2020年僅占不到1％。自從在2020年12月揭示了SolarWinds供應鏈攻擊事件以來，國家支持的威脅行動者意識到了其潛力，并越來越多地針對第三方進行攻擊，以向其客戶拓展其向下游的網(wǎng)絡攻擊行動。

云服務提供商(CSPs)、托管服務提供商(MSPs)和IT服務組織是威脅行為者利用信任關系進行惡意操作的主要目標。NOBELIUM活動組一直在針對服務提供商及其下游客戶進行攻擊。與此同時，威脅行為者還針對40多家IT服務公司(主要位于印度)進行攻擊，以獲取他們客戶的網(wǎng)絡訪問權限。

根據(jù)我們的評估，國家支持的威脅行為者肯定會進一步發(fā)展他們的工具集，以攻擊和破壞供應鏈，作為間接向量來實現(xiàn)他們的目標。軟件供應鏈攻擊（例如開源軟件開發(fā)庫、流行的軟件包、軟件平臺的妥協(xié)等）很可能會被有資金支持的國家支持的組織利用，以在數(shù)百個受害者的網(wǎng)絡中獲得立足之地。

地緣政治繼續(xù)影響網(wǎng)絡行動破壞

正如在ETL 2021中提到的那樣，地緣政治是通過網(wǎng)絡行動收集情報的關鍵驅(qū)動因素之一。隨著地緣政治緊張局勢的加劇，網(wǎng)絡攻擊的目標數(shù)量也在不斷增加。

公開報告顯示，由于持續(xù)的武裝沖突，一些國家級惡意組織對烏克蘭實體進行了多次網(wǎng)絡攻擊。這些威脅組織的重點是進行訪問操作并收集情報，為軍事部隊提供戰(zhàn)術或戰(zhàn)略優(yōu)勢。此外，一些國家級威脅行動針對了支持烏克蘭的128個政府組織，這些組織分布在42個國家中（主要包括美國、歐盟、波蘭、與俄羅斯接壤的國家和北約成員國）。

安全研究人員認為，國家級威脅組織的目標很可能與一個國家的長期計劃存在直接聯(lián)系。據(jù)報道，一些威脅行動在沖突早期就瞄準了烏克蘭和俄羅斯的實體，可能是為了收集情報。此外，據(jù)報道，隨著各國之間緊張局勢的升級，威脅行為者已經(jīng)將中東地區(qū)的實體作為目標。這些行為者廣泛采用勒索軟件鎖定和泄漏信息，他們主要針對以色列和美國的組織，以及中東和北非地區(qū)的組織。中東地區(qū)這些國家之間的網(wǎng)絡行動已經(jīng)達到了影響平民的程度。

據(jù)報道，威脅行動人員強烈關注收集外交和地緣政治情報，可能是由于對其國家受到的制裁要求的驅(qū)動。在這種特定情況下，其行動的另一個主要動因是通過加密貨幣盜竊獲得金融資源。

由于國際形勢不穩(wěn)定，預計在短期到中期內(nèi)會觀察到更多以地緣政治為驅(qū)動的網(wǎng)絡行動。像中東、地中海東部、北極地區(qū)、波羅的海、阿富汗、也門、敘利亞和利比亞等地區(qū)的地緣政治形勢可能會出現(xiàn)破壞性的網(wǎng)絡攻擊。需要澄清的是，由烏克蘭地緣政治形勢引發(fā)的網(wǎng)絡行動與歐盟有更大的相關性和聯(lián)系。

在報告期內(nèi)，還觀察到了與越來越多國家有聯(lián)系的威脅組織進行的網(wǎng)絡攻擊活動，這些國家包括越南、土耳其、巴基斯坦、印度、烏克蘭、白俄羅斯等。我們預計，在緊張局勢或沖突加劇的時期，越來越多的國家將利用其網(wǎng)絡能力進行情報收集。

網(wǎng)絡破壞自覺成軍

烏克蘭武裝沖突動員了許多駭客、網(wǎng)絡犯罪和國家級別的組織。烏克蘭IT軍隊的案例是一個獨特的、難以分類的案例；它既可以被認為是由志愿者組成的駭客組織，也可以被認為是由政府支持的組織或者是混合型組織。截至撰寫本文時，網(wǎng)絡安全界尚未達成共識。烏克蘭IT軍隊肯定會為未來的網(wǎng)絡戰(zhàn)爭研究學者提供素材，并可能突顯未來沖突的趨勢。

2022年2月26日，烏克蘭副總理兼數(shù)字轉(zhuǎn)型部長宣布創(chuàng)建烏克蘭的IT軍隊。這一宣布號召志愿者通過Telegram頻道（該頻道有30萬訂閱者）協(xié)調(diào)其在網(wǎng)絡戰(zhàn)線上的行動。烏克蘭IT軍隊成功地攻擊了各種實體，并進行了大多數(shù)協(xié)調(diào)的分布式拒絕服務（DDoS）攻擊，但并不僅限于此類攻擊。

在俄羅斯入侵烏克蘭的時候，烏克蘭沒有軍事網(wǎng)絡指揮部。出于必要性，烏克蘭根據(jù)愛沙尼亞網(wǎng)絡防御聯(lián)盟的模式創(chuàng)建了一個混合實體，由烏克蘭和國際民間人員、私人公司以及烏克蘭國防和軍事人員組成，因此很難對其進行分類。它既不是民用的、軍事的、公共的、私人的、本地的或國際的實體。此外，它還引發(fā)了有關網(wǎng)絡空間國際法、國家網(wǎng)絡規(guī)范、針對民用基礎設施的問題以及私人公司道德問題的討論。

我們的評估認為，未來國家行為者可能會采用烏克蘭IT軍隊的結構和設置作為非國家參與未來沖突的藍圖（特別是對于缺乏組織有序的軍事網(wǎng)絡指揮部的國家）。同時，這些眾包網(wǎng)絡軍隊可能會包含非公開的方面，進一步復雜化它們的結構、運營行為，并給網(wǎng)絡社區(qū)、學者和網(wǎng)絡戰(zhàn)分析帶來分析難度。

科技公司出現(xiàn)在沖突期間的網(wǎng)絡行動中

在俄羅斯入侵烏克蘭期間，首次觀察到一些大型技術公司在網(wǎng)絡戰(zhàn)方面站隊并支持烏克蘭。最突出的例子是微軟公司，他們向烏克蘭網(wǎng)絡安全官員提供支持，以應對FoxBlade惡意軟件，并提供有關俄羅斯網(wǎng)絡行動的意識和情報報告。微軟和AWS已被烏克蘭總統(tǒng)沃洛迪米爾·澤連斯基授予“和平獎”。

這一趨勢很有趣，但也很難評估。目前，這種強烈傾向于沖突的一方的長期后果尚不為人所知。此外，關于私營公司在未來沖突期間的網(wǎng)絡作戰(zhàn)中的角色和責任的討論也正在興起。

虛假信息的復雜性和范圍不斷擴大作用

多個國家支持的黑客組織已經(jīng)具備使用社交媒體平臺、搜索引擎和消息服務散布虛假信息的能力。他們的做法與傳統(tǒng)的造謠誹謗活動不同，因為這些服務提供了現(xiàn)成的工具，可以測試和優(yōu)化他們的內(nèi)容，并監(jiān)測虛假信息活動的影響和傳播。此外，機器學習（ML）、人工智能（AI）、深度偽造技術和語音生物識別技術的發(fā)展，為威脅行為者提供了強大的工具，用于創(chuàng)建誤導性內(nèi)容。

我們的評估是，隨著俄羅斯-烏克蘭沖突的發(fā)展，與沖突有關的信息偽造范圍將擴大，并且會在東歐以外的地區(qū)被利用以服務于各國戰(zhàn)略目標。最后，政府和媒體組織，在地緣政治事件期間，遭受網(wǎng)絡行動的風險也會增加。

參考文獻

1.Mandiant–M-Trends2022 - https://www.mandiant.com/resources/m-trends-2022   2.Trend Micro Security Prediction for 2022 - https://www.trendmicro.com/vinfo/us/

3. CISA - Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and 'PrintNightmare' Vulnerability

4. Security Affairs - Another nation-state actor exploits Microsoft Follina to attack European and US entities、

5. CISA - Threat Actors Exploiting F5 BIG-IP CVE-2022-1388

6. CERT-EU - Threat Landscape Report 2021 Q4 - Executive Summary