欧盟应急响应中心2023年度威胁回顾

Anna艳娜2024-02-26 16:11:28

欧盟应急响应中心在 2011 年建立,隶属于欧盟数字服务总局。该组织与欧盟网络安全局(ENISA)和北约应急响应中心(NCIRC)构建了合作伙伴关系,共同进行网络安全防御。



攻击组织


2023 年,至少有80 个攻击组织积极针对欧盟实体及其附近地区进行攻击。按照暴露程度进行划分:


  • 严重暴露:18 个攻击组织被发现成功入侵了欧盟实体,某些攻击可以直接归因到特定攻击组织,也存在一些未知的攻击组织。
  • 高程度暴露:17 个攻击组织针对欧盟实体发起了攻击,但未能成功入侵任何系统就被检测和拦截。
  • 中程度暴露:21 个攻击组织被发现存在可疑连接,但未发现任何攻击或利用的痕迹。
  • 低程度暴露:24 个攻击组织经常以欧盟实体及其附近地区为攻击目标,但并未发现对应的攻击事件。



很多攻击组织的动机和意图都并不清楚,只能将其归类为未知。已知动机的,接近四分之三都是为了间谍窃密,往往与国家支持的黑客有关。16% 为黑客主义的炫技,往往最终目标是获得媒体的宣传报道。



欧盟认为自己被俄罗斯疯狂攻击,有 15 个攻击组织与俄罗斯有关,其次是伊朗、朝鲜、土耳其等。



欧盟给出 APT 29 的钻石模型如下所示:



软件产品


104 个软件产品成为241 次攻击行动中的攻击目标。针对性程度可以分为以下几类:


  • 低针对性:发现了一次攻击
  • 中针对性:至少发现了两次攻击
  • 高针对性:发现了很多次攻击,或者是 APT 组织利用其进行攻击


不同类型的软件产品在针对性程度下的数量统计:



网络设备有很多类型(如路由器、防火墙、VPN 等),这些设备往往都会暴露在互联网上,成为了攻击者的绝佳选择。


开发工具与集成开发环境(IDE)也是供应链攻击的理想目标。俄罗斯黑客就曾经在全球范围利用TeamCity,该软件为软件开发中常用的自动化编译、构建、测试与发布的软件。


安全软件也没有被放过,包括密码管理软件、反病毒软件、SIEM 与EDR 等安全软件,攻击者可以利用安全软件的缺陷绕过安全控制措施。


内容管理与协作工具也是攻击者重点关注的对象,过去的一年里WordPress、Atlassian Confluence、3CX 等软件接连被重点关注。


已经有 45.2% 的欧盟企业购买了云服务,最常见的云服务是电子邮件(82.7%)、文件存储(68%)和办公软件(66.3%),这都是攻击者期望的入侵路径。


典型厂商的产品被利用的漏洞如下所示:



完整的热力图如下所示:



鱼叉邮件


鱼叉邮件会利用与欧盟相关的话题进行欺诈和诱导,例如“瑞典担任欧盟理事会主席“、”欧盟-拉丁美洲及加勒比国家共同体(CELAC)峰会“、”外交关系参赞工作组(RELEX)“等。当然,鱼叉邮件的套路依旧很多:


通过复用旧会话发送钓鱼邮件,降低警惕性并提高可信度,受害者的电子邮件账户早已失窃。


工会收到冒充首席执行官的钓鱼邮件,该公司是欧盟实体的承包商。


员工收到冒充工会负责人的钓鱼邮件和 WhatsApp 消息。


电子邮件中包含另一个欧盟实体网站的页面链接,诱导进入钓鱼网站。


行业分布


攻击者对欧盟的 25 个行业很感兴趣,很难界定哪些是国家驱动的黑客组织感兴趣的行业,哪些是经济利益驱动的攻击组织感兴趣的行业。33% 的攻击行动都涉及公共管理行业,由于欧盟实体都是公共行政部门,不单独将其列出。



外交部门当仁不让排在第一,大使馆、领事馆和外交部都是攻击者关注的重点部门。对间谍行动来说。


国防部门排名第二,这往往与地缘政治有关。国防部和国防承包商都是攻击的重点,并非只关注军事机构本身。


运输部门紧随其后,航空、海运、铁路与公路多样化的运输方式也是重要的基础设施,攻击者当然不肯放过。


金融部门受攻击的数量也相当多,但金融部门受到的攻击往往不单一集中在网络间谍,也会受到网络经济犯罪的影响。


卫生部门所受攻击次数相比前面就相对少了很多,绝大多数以经济利益为主,勒索软件是主要威胁。


后续是能源、科技、司法、通信、科研、教育等行业。值得注意的是科研部门尽管所受攻击的次数不多,但涉及到的欧盟实体数量最多。科研部门的网络安全状况和相关从业人员的网络安全意识,可能仍然需要加强和提高。


勒索软件


欧盟范围内在 2023 年尚未发现重大的勒索软件攻击泄露事件,攻击尝试总体上说并不成功。55 个勒索软件团伙在欧盟攻击了906 个受害者,有20 个团伙声称成功入侵了十个以上的欧盟实体,这二十个团伙总计占比达 78%。四个季度分布如下所示:



Lockbit 是个中翘楚,自己就占到总数的四分之一,堪称遥遥领先。



PS:不知道是不是Lockbit 太过成功,所以引起了监管部门的警觉,执法机构把 Lockbit 的攻击基础设施给铲了。目前的影响还有待观察,也许 Lockbit 会像ALPHV 一样也是在打击后几个月又重新站稳脚跟。



Lockbit 每季度都能成功入侵65 个实体,其他组织尽管也持续活跃但与Lockbit 相比都相形见绌。



从国家分布来看,英国是受攻击最严重的国家。紧随其后的是德国、法国、意大利和西班牙。国家排名和国家的经济规模基本吻合,公司越多攻击面越大,攻击者越容易成功。


从行业分布来看,制造业独占鳌头近四分之一。针对法律、建筑、零售行业的攻击也在增加,反而针对科技、教育和医疗行业的攻击在逐渐减少。


软件欧盟
本作品采用《CC 协议》,转载必须注明作者和本文链接
欧盟应急响应中心在 2011 年建立,隶属于欧盟数字服务总局。该组织与欧盟网络安全局(ENISA)和北约应急响应中心(NCIRC)构建了合作伙伴关系,共同进行网络安全防御。
报告分析了2021年5月至2022年6月报告期内欧盟、英国和美国共发生的 623 起勒索软件事件。
调查委员会允许立法者调查可能违反欧洲法律的行为。欧洲议会在一份声明中说,该委员会将调查监管监控方面现有国家法律,以及PegASUS间谍软件是否被用于政治目的,例如针对记者、政治家和律师。
近期,以色列间谍软件Pegasus(飞马)再次成为欧美关注的焦点。5月初,西班牙首相桑切斯确认遭飞马软件入侵,成为现任全球政府首脑的首个确认案例。此前,英国首相鲍里斯·约翰逊办公室相连设备也发现 飞马间谍软件的活动痕迹。
2023年11月16日,ALPHV/BlackCat勒索软件团伙在其官网发表声明称其已经向美国证券交易委员会举报金融服务公司MeridianLink未披露其被入侵。
随着数字时代的来临,大国竞争与博弈逐渐从现实空间向数字空间扩展。参与博弈的主要世界大国将在一个不同特征的新空间中迎接新的竞争主体,并且构建新的竞争逻辑。数字空间的大国博弈一方面继承了传统地缘政治理念,另一方面又具有数字时代的新特点。在各种要素深度融合的基础上,大国博弈正在走向数字地缘政治的新阶段。如何适应新的竞 争形态,避免在冲突与竞赛中损害国家发展的核心利益,将成为世界各国新时代战略布局的重要组
欧盟官员透露,欧洲司法专员Didier Reynders等多位欧委会官员遭到以色列NSO集团间谍软件监控。
根据欧洲议会某委员会的一份新报告草案,欧盟各国政府出于政治目的,对公民使用间谍软件并掩盖腐败和犯罪活动。
Anna艳娜
暂无描述