2023年高级威胁攻击趋势预测

2022年行至尾声，这一年世界可谓发生了巨大变化。但始终不变的是，网络攻击威胁仍然在持续发展，而且丝毫没有消退的迹象。无论身处何处，世界各地的人们都应该为可能的网络安全事件做好应对准备，因此设法预见未来的趋势将会大有裨益。

2022年APT预测回顾

日前，卡巴斯基公司的安全研究与分析团队GReAT对2023年高级威胁（APT）攻击的发展趋势进行了展望和预测，不过在具体分享其预测观点之前，首先回顾一下去年该团队对2022年高级威胁主要预测观点的实际结果。

预测1、移动设备将受到广泛攻击

实际结果：未实现

在2022年确实发生了一些针对移动设备的攻击事件，但目前没有发现造成重大影响和后果的移动安全事件。

预测2、更多的供应链攻击

实际结果：部分实现

目前，利用供应链进行攻击的数量正在快速增长，尽管没有重大事件，但是我们看到了很多案例。

预测3、基于远程工作模式的攻击

实际结果：预测成功

在2022 年，企业组织的安全建设仍将落后于新冠疫情对企业业务开展的变革性影响。由于远程办公模式成为常态，很多员工是在匆忙状态下部署远程访问工具，其中有大量的配置错误和安全漏洞。

预测4、对云安全和外包服务的攻击激增；

实际结果：预测成功

云身份安全公司Okta被攻击是2022年最有影响的安全事件之一，这证明了老练的攻击者渗透进主要的云服务平台是多么容易。而CISA也在今年5 月发布公告，警告各大托管服务提供商，因为他们发现针对这一行业的恶意活动明显增加。

预测5、低级别组件漏洞利用攻击回归

实际结果：预测成功

2022 年在低级别组件中发现了 22 个高严重性漏洞，这表明其中存在了巨大的攻击面。这种高度复杂的植入攻击通常非常少见，一年内发生了多个单独的安全事件表明了非常重要的信号。

2023年APT发展态势预测

以下是GReAT团队对2023年APT攻击趋势的预测：

1、破坏性攻击再次兴起

尽管近年来的APT攻击多以商业利益作为主要攻击目标，但是在2022年，地缘政治冲突变得更加激烈，这种变化可能将在未来多年持续，历史表明，这种紧张关系总是会引发网络攻击活动的进一步增加——有时是为了情报收集，有时是作为外交信号的一种手段。因此，我们预计2023年将出现前所未有的严重网络攻击。

具体而言，我们预计2023年将会观察到创纪录数量的破坏性APT攻击，重点影响政府部门和关键行业。需要注意的一点是，其中一部分攻击很有可能被伪装成采取“勒索软件攻击”（pseudo-ransomware）或黑客活动的形式，以便为真正的攻击者提供合理的推诿理由。

此外，我们还担心，针对民用基础设施（例如能源电网或公共广播）的APT网络攻击将会发生，包括水下电缆和光纤集线器在某些情况下也不再安全。

2、邮件服务器成为优先目标

在过去几年里，我们发现APT攻击者越来越关注电子邮件软件。企业级邮件市场的领导者（包括Microsoft Exchange和Zimbra等）都面临着严重的漏洞威胁，在相关补丁发布之前，攻击者就会利用这些漏洞。

我们相信，针对邮件软件漏洞的研究才刚刚开始。邮件服务器正面临双重不幸的境遇：一方面，它是APT参与者感兴趣的关键情报的“集中营”；另一方面，它是企业安全防护中最大的攻击面。2023年很可能是所有主要电子邮件服务商遭遇零日攻击的最严重一年。

3、新一代WannaCry或出现

据统计，一些规模巨大、影响恶劣的网络病毒每6-7年就会发生一次。上一起这类事件还要追溯到臭名昭著的WannaCry勒索软件蠕虫，它利用极其强大的“永恒之蓝”（EternalBlue）漏洞自动传播到易受攻击的计算设备上。

尽管能够生成蠕虫的漏洞十分罕见，且需要满足多种条件，很难预测究竟什么时候会发现这一起这样的漏洞，但我们可以大胆猜测，并把它设想在明年。增加此类事件发生可能性的一个潜在原因是，恶意行为者可能已经发现并拥有至少一种合适的漏洞可以利用，而当前的紧张局势极大地增加了发生shadowbrokers（影子经纪人，永恒之蓝漏洞泄露的始作俑者）式黑客攻击和泄漏的机会。

4、APT攻击目标转向太空领域

由于政府部门和私营组织对太空竞赛的兴趣日益浓厚，以及近来网络安全研究集中在卫星漏洞问题上，明年将会出现更多面向太空设施的网络攻击事件。尽管看起来卫星设备可能超出大多数APT威胁的影响范围，但研究人员发现，黑客已经可以使用一种简易但便捷的设备与卫星进行通信。此外，很多老旧的卫星设备可能不具备现代化的安全控制措施。

事实上，太空网络安全威胁早已出现。2022年2月24日，美国和欧盟组织就公开宣称，某东欧国家对属于Viasat的商用卫星通信网KA-SAT发起网络攻击，利用“错误配置的科学”漏洞，获得访问权限，并横向移动到KA-SAT网络管理部分，随后执行命令使得调制解调器的内存溢出，使它们无法使用。如果Viasat事件是一个迹象，那么APT威胁组织很可能在未来更多地将注意力转向操纵和干扰卫星技术，使此类技术的安全形势变得更加严峻。

5、“入侵-泄密”战术盛行

关于“网络战”是否真的会大规模爆发，仍有很多争论。然而，一种新的混合冲突形式正在展开，包括“入侵-泄密”行动。这种威胁攻击手法包括侵入目标并公开其内部文件和电子邮件。勒索软件组织已经大量将这种策略作为对受害者施加压力的一种方式，而APT攻击者未来可能会利用它来达到纯粹的破坏性目的。在过去，我们曾看到APT攻击者估计泄露竞争威胁组织的数据，或创建网站传播个人信息。虽然很难从旁观者的角度评估它们的危害，但它们现在正成为APT威胁发展的一部分，而且2023年将涉及更多的实际案例。

6、从CobaltStrike转向其他替代方案

2012年发布的CobaltStrike是一个威胁模拟工具，旨在帮助安全红队了解攻击者可以用来渗透网络的方法。不幸的是，与Metasploit框架一样，它已经成为网络犯罪集团和APT威胁攻击者的最常用工具。不过，研究人员发现，有一些威胁攻击者已经开始使用其他替代方案。

其中一个替代方案是Brute Ratel C4，这是一个商业级攻击模拟工具，极具危险性，因为它的设计可以绕过防病毒和EDR工具的检测。另一个则是开源对抗性工具Sliver。除了以上现成的产品外，APT工具包还可能包括其他工具，例如Manjusaka、C&C全功能版本和Ninja等。

总的来说，我们认为由于CobaltStrike已经受到了防御者的太多关注，因此APT组织将尝试多样化他们的工具包，以避免被发现。

7、基于无线电的信号情报（SIGINT）

信号情报技术是随着军用无线电技术的发展而发展起来的情报技术，是电子战的一个分支。美国国防部对信号情报SIGINT的定义是：一种包括了通信情报（COMINT）、电子情报（ELINT）和仪器信号情报（FISINT）的信息组合，其传输方式可能有很多种，包括有线、无线电、光纤传输等等，但信号情报最主要处理的是无线电波。简而言之，信号情报就是从截获的通信、电子和外国仪器的信号中获得的情报。

如今，距离斯诺登曝光“棱镜门”事件已经过去了近10年。美国国家安全局利用与美国电信公司的合作关系，将服务器放置在互联网骨干网络的关键位置，以实施“man-on-the-side”攻击。这种攻击方式类似于中间人攻击，只是中间人攻击是完全控制一个网络节点，而man-on-the-side攻击则是攻击者监听通信信道利用时间差注入新数据。这种攻击非常难以发现，但我们预测，它们在2023年将会变得越来越普遍。

8、无人机攻击

这里说的“无人机攻击”并非是对用于监视甚至军事支援的无人机实施的黑客攻击（尽管这也可能发生），而是使用商用级无人机实现近距离黑客攻击。目前，面向公众的无人机获得了更强大的航程和能力。用流氓Wi-Fi接入点或IMSI接收器操纵一个无人机并不费事；或者有足够的工具来收集用于离线破解Wi-Fi密码的WPA握手信息。另一种攻击方案是使用无人机在限制区域投放恶意USB密钥，然后希望路人能捡起并将其插入设备。总而言之，我们相信这是一个很有威胁的攻击载体，可能会被一部分的攻击者或已经擅长混合物理和网络入侵的黑客使用。