雷鋒網(wǎng)消息，據(jù)外媒報(bào)道，近日，谷歌發(fā)布報(bào)告稱，2019 年向用戶發(fā)出了大約 4 萬次國家支持黑客攻擊的警告，受到攻擊的賬號所有者主要為政府官員、記者、異議人士和地緣競爭對手。

同時(shí)，與 2018 年相比，警告數(shù)量減少了 25% ，這一下降的原因可能是谷歌實(shí)施的防御措施的效率提高，但依舊不能低估攻擊復(fù)雜程度的風(fēng)險(xiǎn)。

此外，谷歌還公布了 2019 年網(wǎng)絡(luò)釣魚及惡意軟件攻擊的新趨勢。

冒充新聞機(jī)構(gòu)和記者的人數(shù)正在增加

回顧自今年年初以來的網(wǎng)絡(luò)釣魚企圖，谷歌發(fā)現(xiàn)越來越多的攻擊者，包括來自伊朗和朝鮮，冒充新聞媒體或記者的人數(shù)正在增加。例如，攻擊者冒充一名記者與其他記者一起播撒虛假新聞，以傳播虛假信息。在其他情況下，攻擊者會發(fā)送幾封善意的電子郵件，以便在后續(xù)郵件中發(fā)送惡意附件之前，與記者或外交政策專家建立關(guān)系。政府支持的攻擊者經(jīng)常針對外交政策專家進(jìn)行研究，與他們合作的組織接觸，并在隨后的襲擊中與其他研究人員或政策制定者建立聯(lián)系。

2019 年政府支持的網(wǎng)絡(luò)釣魚目標(biāo)的分布。

政府黑客攻擊對象更具針對性

谷歌指出，像政治競選團(tuán)隊(duì)成員、記者、活動人士、持不同政見者、高管、金融或政府等行業(yè)的用戶最容易受到國家的攻擊，這一趨勢在 2019 年得到證實(shí)。根據(jù)谷歌在 2019 年的數(shù)據(jù)，政府資助的黑客屢次攻擊他們的目標(biāo)，每五個(gè)收到警告的賬戶中就有一個(gè)被攻擊者多次攻擊。

政府支持的攻擊者繼續(xù)不斷地針對地緣政治對手、政府官員、記者、持不同政見者和活動分子。

美國、印度、巴基斯坦、日本和韓國等國家的居民總共收到了 1000 多份警告。8 個(gè)月前，微軟曾表示，在過去 12 個(gè)月里，它曾警告過 1 萬名客戶受到國家支持的攻擊。

Google 特地舉了俄羅斯黑客組織 Sandworm 的例子。Sandworm 是一個(gè)為俄羅斯聯(lián)邦工作的攻擊組織，被認(rèn)為發(fā)動了至今影響最嚴(yán)重的攻擊，包括攻擊烏克蘭的電力設(shè)施，導(dǎo)致了兩次嚴(yán)重?cái)嚯娛鹿省?      

下圖顯示了 Sandworm 在 2017 年到 2019 年針對各個(gè)行業(yè)和國家的目標(biāo)。雖然針對大多數(shù)工業(yè)或國家的攻擊是零星的，但烏克蘭在整個(gè)三年期間都是攻擊的對象：

零日漏洞攻擊目標(biāo)更為明顯

零日漏洞是未知的軟件缺陷。在它們被識別和修復(fù)之前，它們可以被攻擊者利用。標(biāo)記積極搜尋這類攻擊，因?yàn)樗鼈兲貏e危險(xiǎn)，成功率很高，盡管它們只占總數(shù)的一小部分。當(dāng)谷歌發(fā)現(xiàn)一種利用零天漏洞的攻擊時(shí)，會向供應(yīng)商報(bào)告該漏洞并將其提供給他們。七天來修補(bǔ)或提供咨詢意見或者自己發(fā)布建議。

2019 年，谷歌發(fā)現(xiàn)了影響 Android、Chrome 、IOS 、Internet Explorer 和 Windows 的零日漏洞。Google Tag 報(bào)道了一個(gè)威脅行為者在相對較短的時(shí)間內(nèi)使用 了 5 個(gè)零日漏洞的案例。這些攻擊被用于水坑攻擊和魚叉釣魚攻擊。谷歌觀察到的大多數(shù)目標(biāo)都是朝鮮人或是處理朝鮮相關(guān)問題的個(gè)人。

而谷歌高級保護(hù)計(jì)劃( APP )目的是保護(hù)任何有可能遭受網(wǎng)絡(luò)攻擊的人，比如長矛釣魚攻擊。

谷歌表示：

高級保護(hù)計(jì)劃使用安全密鑰幫助保護(hù)電子郵件、文檔、聯(lián)系人或其他個(gè)人數(shù)據(jù)。即使黑客有你的密碼，他們也無法在沒有你的安全密鑰的情況下訪問你的帳戶。安全密鑰是一種小型物理設(shè)備，它有助于證明您正在登錄您的電話、平板電腦或計(jì)算機(jī)。你也可以使用內(nèi)置的安全密鑰。在運(yùn)行 iOS 10+ 或 Android 7+ 設(shè)備的 iPhone 上。只有在第一次在計(jì)算機(jī)、瀏覽器或設(shè)備上登錄時(shí)，才需要安全密鑰。在那之后，你只會被問到你的密碼。

同時(shí)報(bào)告還披露了 2019 年發(fā)現(xiàn)的零日漏洞，這些漏洞包括：

• 互聯(lián)網(wǎng)瀏覽器-CVE-2018-8653

• 互聯(lián)網(wǎng)瀏覽器-CVE-2019-0676

• 鉻-CVE-2019-5786

• Windows內(nèi)核-CVE-2019-0808

• 互聯(lián)網(wǎng)瀏覽器-CVE-2019-1367

• 互聯(lián)網(wǎng)瀏覽器-CVE-2019-1429

其中，CVE-2018-8653、CVE-2019-1367 和 CVE-2020-0674 都是 jscript.dll 中的漏洞，因此所有的漏洞都啟用了 IE 8 渲染，并使用 JScript.Compact.JS 引擎。

在大多數(shù) Internet Explorer 攻擊中，攻擊者濫用 Enumerator 對象以獲得遠(yuǎn)程代碼執(zhí)行。

要逃離 Internet Explorer EPM 沙箱，利用技術(shù)通過濫用 Web 代理自動發(fā)現(xiàn)( WPad )服務(wù)，在 svchost中重放相同的漏洞。攻擊者利用 cve-2020-0674 在 Firefox 上濫用這一技術(shù)，以便在利用此漏洞后逃離沙箱。

CVE-2019-0676 是 CVE-2017-0022 、CVE-2016-3298 、CVE-2016-0162 和 CVE-2016-3351 的變體，其中漏洞位于“RES：//”URI 計(jì)劃的處理中。利用 CVE-2019-0676 使攻擊者能夠在受害者的計(jì)算機(jī)上發(fā)現(xiàn)或不存在文件；這些信息后來被用來決定是否應(yīng)該交付第二階段的攻擊。

CVE-2019-1367 的攻擊矢量非常不典型，因?yàn)樵摴魜碜?Office 文檔，濫用在線視頻嵌入功能來加載進(jìn)行攻擊的外部 URL 。

值得注意的是，谷歌表示在以后的更新中將提供有關(guān)攻擊者使用與 COVID-19 相關(guān)的誘餌以及我們所觀察到的預(yù)期行為的詳細(xì)信息(所有這些都在攻擊者活動的正常范圍內(nèi)）。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

https://blog.google/technology/safety-security/threat-analysis-group/identifying-vulnerabilities-and-protecting-you-phishing/

https://securityaffairs.co/wordpress/100577/cyber-warfare-2/google-state-sponsored-attacks-2019.html

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。