Google 發表 2019 年政府駭客攻擊報告:近 4 萬次警告,攻擊對象更有針對性

作者 | 發布日期 2020 年 04 月 01 日 8:30 | 分類 Google , 資訊安全 Telegram share ! follow us in feedly


外媒報導,近日 Google 發表報告,2019 年約警告用戶 4 萬次國家支援駭客的攻擊,受攻擊的帳號所有者主要為政府官員、記者、異議人士和地緣競爭對手。

與 2018 年相比,警告數量減少 25%,原因可能是 Google 的防禦措施效率提高,但依舊無法低估攻擊複雜程度的風險。

此外,Google 還公布 2019 年網路釣魚及惡意軟體攻擊新趨勢。

冒充新聞機構和記者的人數在增加

分析今年初以來的網路釣魚企圖,Google 發現越來越多攻擊者來自伊朗和北韓,冒充新聞媒體或記者的人數也在增加。如攻擊者冒充記者與其他記者一起散播假新聞,以傳播假資訊。在其他情況下,攻擊者會傳送幾封善意的電子郵件,以便在後續郵件傳送惡意附件前,與記者或外交政策專家建立關係。政府支援的攻擊者經常針對外交政策專家研究,與他們合作的組織接觸,並在之後攻擊時與其他研究人員或政策制定者建立聯繫。

▲ 2019 年政府支援的網路釣魚目標分布圖。

政府駭客攻擊對象更具針對性

Google 指出,像政治競選團隊成員、記者、活動人士、不同政見者、高層、金融或政府等產業用戶最易受國家攻擊,這趨勢在 2019 年得到證實。據 Google 2019 年資料,政府資助的駭客攻擊目標,每五個收到警告的帳戶就有一個受多次攻擊。

政府支援的攻擊者不斷針對地緣政治對手、政府官員、記者、不同政見者和活動分子。

美國、印度、巴基斯坦、日本和南韓等國居民總共收到 1 千多次警告。8 個月前,微軟曾表示過去 12 個月,曾警告 1 萬名用戶受國家支援的攻擊。

Google 特地舉出俄羅斯駭客組織 Sandworm 為例。Sandworm 是為俄羅斯聯邦工作的駭客組織,認為發動至今影響最嚴重的攻擊,包括攻擊烏克蘭的電力設施,導致兩次嚴重電源切斷事件。

下圖顯示 Sandworm 在 2017~2019 年針對各產業和國家的目標。雖然大多數產業或國家的攻擊零星,但烏克蘭整整 3 年間都是攻擊對象。

零日漏洞攻擊目標更明顯

零日漏洞是未知的軟體缺陷,辨識和修復之前,可被攻擊者利用。標記積極搜尋這類攻擊,因為特別危險,成功率很高,儘管只占總數一小部分。當 Google 發現利用零日漏洞的攻擊時,會向供應商報告漏洞並提供數據,7 天內修補或提供意見或自己發表建議。

2019 年,Google 發現影響 Android、Chrome、iOS、IE 和 Windows 的零日漏洞。Google Tag 報導威脅者在短時間內使用 5 個零日漏洞的案例。這些攻擊用於水坑攻擊和魚叉網路釣魚。Google 觀察到大多數目標都是北韓人或處理北韓相關問題的個人。

Google 進階保護計畫(APP)目的是保護任何有可能遭網路攻擊的人,如長矛網路釣魚。

Google 表示:

進階保護計畫使用安全加密鍵幫助保護電子郵件、檔案、聯絡人或其他個資。即使駭客有你的密碼,他們也無法在沒有你的安全加密鍵情況下存取你的帳戶。安全加密鍵是小型物理裝置,有助於證明正在登入的手機、平板電腦或電腦。你也可以使用內建安全加密鍵。執行於 iOS 10 以上或 Android 7 以上的手機。只有第一次登入的電腦、瀏覽器或裝置,才需要安全加密鍵。在那之後,你只會被要求輸入密碼。

報告還披露 2019 年發現的零日漏洞,包括:

  • 網路瀏覽器:CVE-2018-8653
  • 網路瀏覽器:CVE-2019-0676
  • :CVE-2019-5786
  • Windows 核心:CVE-2019-0808
  • 網路瀏覽器:CVE-2019-1367
  • 網路瀏覽器:CVE-2019-1429

其中 CVE-2018-8653、CVE-2019-1367 和 CVE-2020-0674 都是 jscript.dll 的漏洞,因此所有漏洞都啟用 IE 8 渲染,並使用 JScript.Compact.JS 引擎。

大多數 IE 攻擊,攻擊者濫用 Enumerator 物件以執行遠端程式碼。

要逃離 IE EPM 沙盒,利用技術透過濫用 Web 代理自動發現(WPad)服務,在 svchost 重放相同的漏洞。攻擊者利用 cve-2020-0674 在 Firefox 濫用技術,以便利用此漏洞後逃離沙盒。

CVE-2019-0676 是 CVE-2017-0022 、CVE-2016-3298 、CVE-2016-0162 和 CVE-2016-3351 的變體,漏洞位於「RES://」URI Scheme 程式語言裡。利用 CVE-2019-0676 使攻擊者能在受害者電腦發現或不存在檔案;這些資訊用以決定是否該進行第二階段攻擊。

CVE-2019-1367 的攻擊向量非常不典型,因來自 Office 檔案,濫用線上視訊內嵌功能下載攻擊的外部 URL 。

Google 表示以後更新將提供有關攻擊者使用與 COVID-19 相關誘餌及觀察到的預期行為詳細資訊,這些都在攻擊者活動的正常範圍。

(本文由 雷鋒網 授權轉載;首圖來源:pixabay