2024年全球高级威胁态势预测 - 国家支持的APT针对网络安全厂商和从业者进行报复

踏入2024年，我们预计这一年将确立几项重要先例。在本报告中，我们提供了我们的高级威胁态势预测，阐述了我们对未来一年全球面临的主要威胁的预测。这些预测基于我们一直在监测的趋势，目标是为各级决策者提供洞察，以采取预防措施。

简要概述：

我们预计网络攻击将增加，以支持信息行动。此类攻击可能旨在放大消息，获取和利用数据，阻碍反影响力努力，或引起恐惧。

进入2024年，我们预见黑客活动组织和国家支持的行为体之间的界限将越来越模糊。 

我们预测持续的冲突将导致对网络攻击的更直接和正式归因。

我们预测针对网络安全从业人员的各种报复和威慑，包括网络攻击、法律行动或信息行动。

我们预测大技术公司人工智能的深度、无限制整合将提供新的攻击面，而快速发展的开源计划将变得更加强大。

破坏性恶意软件发挥关键作用，我们预测像干扰这样的传统电子战术会更普遍。

鉴于针对移动平台的恶意软件和利用工具的数量和成熟度，2024年出现大规模影响它们的破坏性蠕虫不会让我们感到惊讶。

更多影响公众舆论的网络信息行动（以及更多支持此类行动的网络攻击）

正如Ghostwriter、新冠病毒错误信息传播和Doppelganger等许多公开记录的案例所证明的那样，利用社交网络影响公众舆论的信息行动已成为支持政治和/或国际议程的常见战术。值得注意的是，包括GRIZZLY STEPPE和MacronLeaks在内的一些行动之前或期间受到网络攻击的支持。

对于2024年，我们预计将大幅增加旨在影响公众对重大全球事件舆论的信息操作。这些事件包括以色列和乌克兰的持续冲突、关键选举（如2024年美国总统大选、俄罗斯全国大选和欧洲议会选举）以及考虑到俄罗斯被排除在外可能会引发类似“奥林匹克毁灭者”事件的巴黎2024年奥运会。 

黑客活动作为国家支持的网络能力的延伸

我们预计2024年国家支持的行为体和黑客活动组织之间的区别将继续模糊。例如，与最初在2019年OpSudan行动背后的群体没有联系的匿名苏丹以及与宣称对西方目标进行“独立行动”的Killnet合作的案例，以及乌克兰“IT军”的反制措施促使国际红十字会起草了“平民黑客”的规章制度。黑客主义逐渐被视为冲突期间认可甚至认可和外包的网络参与形式。这对国家尤其有利，因为它允许他们利用一个多才多艺的网络能力储备，甚至伪装自己的行动。同时，鉴于这些行动可能被归因为平民的独立举措，这使得对此类行为进行报复变得复杂。

更直接归因网络攻击

在最近一个显著的转变中，乌克兰军事情报机构公开承认对俄罗斯税收系统进行网络攻击，这与攻击者隐藏身份的规范不同。这种透明的自我归咎以及持续的“点名羞辱”趋势表明，未来公开识别网络攻击的执行者的犹豫会减少。此外，在冲突期间归因网络攻击可能会显得更简单，因为冲突各方的利益和立场往往是明确的。乌克兰公开声称对俄罗斯进行攻击的行为，无论这些行动是否独立，都引发了对被目标实体进行“相称回应”概念的辩论。

国家支持的APT针对网络安全厂商和从业者进行报复

私营部门在网络安全方面的能力不断提高，这使他们能够检测到可能在战争期间支持军事目标的复杂网络行动。这可以阻碍军事行动。此外，这些私营部门的努力通常被视为通过保护关键资产来为战时军事战略做出贡献，以至于偶尔被指责为从情报机构获取信息。此外，当防御者揭露网络攻击时，他们可以有效地拆散攻击者在开发这些恶意行动方面投入的数月时间和资金（即纳税人的钱）。

因此，国家（或他们资助的行为体）可能会越来越多地针对网络安全领域的组织和研究人员，特别是在紧张局势加剧期间。针对网络安全厂商卡巴斯基及其高管和安全研究员的三角行动、FireEye入侵事件以及近期微软遭NOBELIUM入侵的事件，以及2023年乌克兰政府将网络安全专家列入不受欢迎人士名单，已经说明了这种将该领域的公司和研究人员视为反间谍活动合法目标的趋势。未来，我们预计这些实体将面临更多的报复措施：网络攻击、法律诉讼、威慑战略和心理行动。

不断升级的破坏性攻击和干扰战术的复兴

我们正在看到破坏性恶意软件的使用增加，它们越来越多地被用作冲突中的非制裁武器。这些政治动机的攻击，无论是由国家行为体还是黑客和病毒组织发起，都强调了理解网络攻击动机的重要性，以进行准确的归因。

同样，乌克兰和俄罗斯的持续战争使人们注意到无人机在武力投射和监视方面的战略运用，最大限度地减少了前线暴露。在欧洲，执法部门和安全部门正准备利用无人机进行人群监控和逮捕，特别是在重大活动期间，例如即将在法国举行的奥运会。随着无人机在日常生活和军事冲突中变得越来越关键，我们预计会加大努力来发现和利用无人机劫持和干扰的技术。这种更传统的电子战的复苏可能导致这些方法变得更易于获取和普及。

更多利用海外设备（例如SOHO设备）的攻击

由于监控较少、难以修补和网络安全管理不善，某些设备对攻击者特别感兴趣：控制它们可能提供长期的不可否认的基础设施或目标周边环境的隐蔽立足点。

此类设备包括SOHO（小型办公/家庭办公）设备、防火墙和路由器。一些公开记录的案例（如APT31、APT28、LuoYu或Volt Typhoon）表明高级威胁行为体已经入侵并利用此类SOHO设备作为代理基础设施。我们预计会有额外的研究和发现进一步展示此类设备的利用。

破坏性攻击蔓延到智能手机

利用远程漏洞的利用已经被纳入破坏性恶意软件和勒索软件中，为它们提供了自我复制的能力，导致诸如WannaCry和NotPetya等大规模爆发。

这种灾难性场景的发生，部分是由国家资助的漏洞利用工具（例如影子经纪人）的披露导致的，然后被其他实体重新利用。我们关注的是，当前的格局包括足够的高级漏洞利用能力，正如与NSO集团相关的出版物所证明的那样。这提高了类似情景在智能手机领域重复上演的可能性：出现一个高级的、可远程利用的漏洞，无论是公开披露还是私下披露，都可能被恶意行为体利用来在全球范围内传播破坏性有效载荷到智能手机。

开源人工智能模型的崛起和扩大的人工智能攻击面

2023年被ChatGPT定义，人工智能爆炸式增长。

这些大型语言模型正在深入融入日常工具、产品和服务中，使其难以事后规制其用途。这些组织混乱的AI模型引入了未知的漏洞表面，类似于传统的软件即服务。随着提示注入攻击的出现，允许第三方劫持公司聊天机器人进行意外操作或泄露数据，预计未来一年会发现和利用更多漏洞。

虽然更多产品来自科技巨头，但动态的开源社区正在为该领域做出实质性贡献，并致力于开发模型和工具，然后免费提供给公众。该社区正在快速发布自制的开源模型的微调变体，2024年可能是爱好者开始在个人服务器和计算机甚至智能手机上部署定制的ChatGPT类系统的一年。

不断适应和日益增长的勒索软件威胁

虽然执法机构、国际合作、保险公司和企业越来越认识到勒索软件威胁的严重性，并加强努力打击它，但网络犯罪分子通过不断适应日益增长的打击恶意行为的压力，展示了他们似乎无穷无尽的意志和灵活性，克服大多数障碍。

从团伙重组到僵尸网络复兴，创新的附属模式、新的敲诈技术、先进的行业知识和安全工具绕过，有利可图的勒索软件生态系统仍在如期造成损害。

在全球通货膨胀、对国家、企业和个人的经济制裁以及持续的战争和政治冲突的背景下，利用勒索软件模型作为威慑、收入来源或破坏性武器的动机更大。 

我们预计勒索软件威胁将继续扩大，可能会引入新的敲诈计划，例如向当局报告数据泄露并威胁GDPR罚款，以及现有战术。这些发展可能会进一步将勒索软件威胁提升到与国家支持的网络攻击水平相当的高度。

关键基础设施成为目标及保护框架需求

随着对KA-SAT系统的攻击发生在俄乌冲突的第一天，这场冲突表明了卫星通信基础设施在战争期间成为目标的漏洞，其影响可能远远超出直接冲突地区。

这尤其令人担忧，因为某些全球基础设施（如通信系统）在冲突期间同时为平民和军事目的服务，使它们成为“双重用途”并可能根据战争法成为合法的军事目标。这种推理暴露了全球关键基础设施（尤其是能源和通信）一旦爆发冲突就面临可怕的全球中断的风险。

现有的关键基础设施保护框架可能无法应对这种风险。我们预计国家和国际组织将根据这些发展重新评估关键基础设施保护。这可能涉及建立协调的国际框架，或者相反，更关注保护国家基础设施。

相关文章：

威胁情报 - 最危险的网络安全工作

原文始发于微信公众号（天御攻防实验室）：2024年全球高级威胁态势预测 - 国家支持的APT针对网络安全厂商和从业者进行报复