【导读】国际网络空间战争风云变幻。如今看似一场勒索事件的背后,或许早已暗藏起国家级黑客的操盘与运作。近日,国外研究机构最新报告表示:国家级黑客正在利用破坏性勒索软件进行纯粹性的攻击破坏性活动。通过对近年来勒索软件特性的深入剖析,智库认为,破坏性勒索软件或成重要“利器”,延续未来网络空间的战火。
勒索软件(ransomware):一种具备强大加密功能的流行病毒。它往往以网络钓鱼、漏洞攻击的方式,向目标电脑植入病毒程序,通过加密或破坏磁盘上的文件甚至所有数据方式进行攻击,随后以解密密钥为筹码,向目标政府、企业或个人要求数额不等的赎金(比特币等)。多年来它一直是黑客组织牟取暴利的绝佳手段,也是近年数量增加最快的网络安全威胁之一。
去年10月9号,欧洲刑警组织与国际刑警组织发布《2019互联网有组织犯罪威胁评估》特别指出,勒索软件仍是网络安全最大威胁,全球各界需加强合作,联合打击网络犯罪。
被国家级黑客精准锁定,勒索软件攻击风向正发生转变
近日,国外安全机构发布最新研究报告显示:在未来国际网络空间战场上,攻击者对勒索软件的利用将不再局限于经济牟利,而更多转向纯粹性的国家级破坏活动。
关于该结论,安全研究人员补充道:“通过对现有勒索软件的修改,对其破坏性影响,以及其攻击目标和时间规范的结合,可为进行国家级破坏行动提供行之有效的蓝图。”
尤其伴随勒索软件的攻击破坏性日益增强,国家级黑客通过对勒索这一“攻击利器”不断进行“变种”,可以达到让被攻击者不知其所来与所往,进而实现永远隐藏幕后主使及动机的目的。
可以说,破坏性勒索软件正在成为网络空间战争的未来。而针对此,智库通过梳理多年来勒索软件相关信息,发现这一结论并非空穴来风。
探索勒索软件的新型四大特色,探秘其成国家级黑客组织“新宠”之因
众所周知,工欲善其事必先利其器。如何快人一步率先拿得网络空间作战领域的主动权,各国网军部队在筛选打磨“攻击利器”上变得尤为慎重。此刻,勒索软件率先脱颖而出,这与其固有的自身特性以及近些年攻击趋势的变化,密不可分。
其一、隐秘性极强,可为一国网络间谍提供得天独厚的隐藏外衣
隐秘性是国家级网络战的一大特点,而拥有强大变种能力及其擅于使用伪装钓鱼技术的勒索软件,在隐藏攻击者的真实身份与动机上拥有天然优势。
通常它们以“求财”的幌子骗过受害者,在受害者放松警惕之下,发动破坏性攻击。此外,它们还可能将“伪装”发挥到极致,利用频频更新的变种,嫁祸给“第三国”,挑起新“战事”,不仅坐收渔翁之利,还能坐山观虎斗。
披着这件得天独厚的隐藏外衣,攻击者可谓实现一举多得。
其二、攻击范围极广,命中目标与网络空间国防高地不谋而合
伴随全球网络战局势的发展,勒索软件的攻击目标也悄然在改变,不仅包括过去广泛浅层的用户,而且有逐步向政企机构、行业组织广泛渗透之势。有安全报告资料显示,自2018年6月以来,全球针对To B的勒索攻击增加了363%。
其中,关键基础设施、航空航天、金融经济、医疗机构等国家核心命脉部位的信息系统,无一不是当下勒索病毒的前沿阵地。而这与网络空间战略高地不谋而合。
这里以一向以“网络空间主战场”著称的工控安全为例,其也未能逃脱勒索软件的魔爪。
前段时间,安全研究报告显示,专门针对工控系统的勒索软件攻击——Ekans(也称Snake),于2019年12月首次出现,其代码中包含一系列特定用于工业控制系统功能相关的命令与过程,可导致与工业控制操作相关的诸多流程应用程序停滞。
其三、杀伤力极深,蔓延后或将击穿传统安防体系
我们永远不能忘记,2017年的Wannacry勒索病毒横扫全球所带来的“伤痛”:
全球150个国家被席卷,大量政府机构和公共设施被瘫痪,至少30万用户电脑中招,医疗、教育、金融等多个行业全部受到影响,经济损失高达80亿美元……
硝烟未尽之际,近年来多国政府机构、国际知名商业巨头又遭横祸,勒索威胁之下,政府工作停摆,企业运营业务停滞直至倒闭,全球范围内皆谈之色变。
其四、运作手法极狠,可渗入一国情报体系并将之全面瓦解
而从攻击方式来看,勒索软件专攻数据文件的属性也为国家级黑客组织渗入敌国,进行情报窃取提供了优势。此外,除了窃取情报,还有其他更奇怪的攻击案例,有些“勒索病毒”会对文件玩了命似的多次加密,甚至对文件进行无法修复的破坏,完全断了收赎金的后路。
可见,攻击者的本意根本不是赎金,而是对一国进行军事、国防上的打击,在获取重要信息后或在真实战场使用,或明码标价出售,或是面向全世界公开,无论何种处理,对于受害国而言都将是一场毁灭式打击。
并非概念性输出案例再次证实,勒索软件入局国际网络战早有端倪
此次,我们谈论勒索软件或成网络战争的未来,并非概念性输出;将勒索软件应用于国际战场上进行破坏性活动,也并非天方夜谭。纵观过去几年的攻击案例,已证实:勒索软件入局国际网络战争早有端倪。
2017年,俄罗斯军方被指利用伪装成NotPetya勒索病毒的数据擦除软件,针对乌克兰政府、金融和能源机构发起攻击,病毒蔓延失控后导致全球范围内超过200,000台计算机被感染,马士基损失多达3亿美元,联邦快递、默克等国际企业均受到影响。
对此,英国国家网络安全部中心曾在声明中表示:“国家恶意软件并非旨在进行解密。这意味着受害者一旦被加密就无法恢复数据。因此,将这种攻击描述为破坏性而不是勒索软件更为准确。”
2019年3月,挪威铝制造公司Norsk Hydro遭遇LockerGoga勒索软件破坏性攻击。在入侵受害机器后,该勒索软件通过内网进行了横向渗透,加密文件后却并未留下提供任何索要赎金的信息,也并未提供任何可以恢复文件的方式。因此,安全研究人员猜测,该勒索软件或许并非为了赎金,而是有意破坏运营活动。
而仅在6个月后的2019年9月,Malware Hunter Team也曾披漏过一起窃取情报相关的勒索软件攻击。该勒索软件不仅会加密受害者的文件进而索要赎金,还会搜索受害机器中的财务、军事、执法文件等机密信息以及类似于“艾玛”、“利亚姆”等疑似美国社会保障部列出的婴儿名字。
上述几大案例足见,勒索软件早已发展成一国实施网络战的“利器”。伴随全球国际形势的不断碰撞摩擦,未来国与国之间的网络攻击必将更加多元化。
因此,后续我们在对勒索病毒的研究中也不应只停留在解密文件拦截查杀层面,更要将其放在影响国防安全方面,进行深入探索。
文章参考链接:
ZDNET-《破坏性勒索软件攻击如何代表网络战争的未来》
ZDNET-《勒索软件攻击现在针对工业控制系统》
CNET-《美国:俄罗斯的NotPetya是有史以来最具破坏性的网络攻击》gon
零日情报局-《盘点:2019年勒索病毒灾难事件》