编者的话:随着全球互联的趋势持续加强以及国际事务中的竞争与博弈态势日趋加剧,具有“国家级”背景的组织在网络空间发起的高隐蔽性、高破坏性攻击活动更加频繁,防备高级持续性威胁(APT)的重要性也与日俱增。11日,中国最大的网络安全公司360数字安全集团正式发布《2024年全球高级持续性威胁(APT)研究报告》(以下简称“报告”),《环球时报》记者就近来网络安全威胁的趋势和防御重点等问题,采访了360数字安全集团高级威胁研究院专家边亮。
APT攻击的四个趋势
《环球时报》记者注意到,报告中明确提到,网络空间已经成为地区冲突中对抗的重要战场,全球APT组织保持高活跃度。截至2024年底,全球网络安全厂商和机构累计发布APT报告730多篇,报告涉及APT组织124个,其中属于首次披露的APT组织41个。360依托“看见威胁”的数字安全能力,捕获到两个全新APT组织,分别为归属南亚地区的APT-C-70(独角犀)和东亚地区的APT-C-65(金叶萝)。至此,360已累计发现并披露了56个境外APT组织。
其中APT-C-65(金叶萝)自2020年以来持续对中国境内服务器网络进行攻击渗透,目的是窃取敏感数据和知识产权。攻击目标行业包括能源、制造、信息技术、国防军工教育科研等,攻击者先对目标Web业务系统的漏洞进行扫描及渗透,尝试利用境内Web业务的系统漏洞;随后部署后门木马,并在服务器内网进行横向移动。该组织常用开源、公开或商业软件作为攻击工具,用于后门、横向移动和持久化等恶意行为。而APT-C-70(独角犀)现阶段主要针对中国、巴基斯坦等地缘周边国家的外交、贸易、能源等行业领域,善于收集和编造社会时政新闻热点作为钓鱼文档话题,并通过附带恶意宏文档或带有恶意Ink文件压缩包的鱼叉邮件的方式投递访问阶段攻击载荷。
边亮在接受《环球时报》记者采访时进一步介绍说,在数字化浪潮下,人工智能等新兴技术的崛起在无形中加剧了网络威胁的蔓延与深化,全球APT攻击活动展现出全面铺展、多处突发等特点。其中有四个需要注意的趋势:一是供应链攻击成为APT组织攻击重点趋势。近几年,APT组织持续提高对供应链的关注程度,随着攻击者技战术水平的不断提升,越来越多供应链软硬件的0day漏洞被APT组织应用于攻击活动。2024年中,360安全大模型持续监测到APT-C-00(海莲花)、APT-C-39(CIA)等组织在对我国的攻击活动中,都曾利用政企单位软件供应商的软件系统漏洞进行针对性攻击。
二是国产化软件系统成为APT组织攻击重点。随着我国国产化替代推广和网络安全体系化建设,我国企事业单位逐渐巩固自身网络安全壁垒。APT组织转而绕道国产化软件系统作为攻击跳板,利用供应商软件系统在目标网络内的权限,绕过攻击目标的网络防御完成攻击渗透,达成其攻击目的。由于国产化软件系统供应链在我国的企事业单位中具备广泛客户群,这使得APT组织一旦对供应链完成攻击渗透,便会造成严重影响。
三是通信设备成武器,网络攻击形态多样化。2024年,黎巴嫩多个地区发生的传呼设备爆炸事件在全球范围内引起广泛关注。该事件充分说明了网络攻击形态早已不再限于以太网、物联网、工控网络,包括广播网络在内的各种可联网方式都可以是网络攻击的载体。随着网络的延展,接入网络的终端类型越来越多,功能也越来越多样化,网络攻击形态也最终向多样化发展。
四是针对汽车制造、新能源、通信电信领域的攻击活动逐渐显露,成为APT攻击新热点。随着新能源汽车行业蓬勃发展,尤其是我国新能源产业更是异军突起,别有用心的攻击者对我国新能源企业和汽车制造相关产业链的攻击活动逐渐显露。近几年,APT-C-00(海莲花)和APT-C-01(毒云藤)等组织开始将我国新能源汽车领域相关的科研和制造企业作为重点目标,进行长期的网络攻击。2024年,360还监测到北美方向的APT-C-39(CIA)组织针对我国新能源相关科技企业展开攻击渗透。
部分高校成重点攻击目标
据360安全大模型监测,我国受APT攻击影响单位主要涉及14个重点行业领域,其中,政府机构、教育、科研、国防军工和交通运输是遭受APT攻击活动最为集中的5个行业。这主要是由于APT组织针对特定行业的攻击,通常实施窃取敏感数据,甚至战略性破坏,用以服务于攻击者背后势力的政治、军事或经济等目的。
报告显示,2024年攻击活动影响我国的APT攻击主要来源于南亚、东亚、东南亚及北美地区。比如南亚和东南亚背景的APT组织,其背后政治势力在地缘政治、地区影响力、海洋发展等领域与我国存在直接利益冲突。而北美方向组织针对我国高新技术领域的网络攻击窃密,则是其背后政治势力对我国进行科技封锁策略的进一步延伸。
边亮强调称,在全球范围内,政府机构一直都是APT组织重点攻击方向。2024年,我国举办和参与了多个具有广泛影响力的国际峰会。根据360安全大模型监测发现,在重大会议前后APT-C-08(蔓灵花)组织对我国外交机构、驻外使馆和驻外经济贸易合作相关单位的攻击活跃。外交和驻外使馆相关单位掌握着国家间政治、经济、科技、军事等方向的最新策略,攻击者针对外交相关单位的攻击活动是为其背后的政治势力窃取我国最新外交策略以及对重大国际问题的立场,以求在博弈中掌握主动。
同时教育领域成为除政府机构以外另一重点攻击方向。一方面,教育单位的网络环境相对复杂,网络安全意识和安全建设相对薄弱,另一方面,我国的部分高校都承接了不少国家重大科研课题,尤其是一批具有国防军事背景的院校,更是直接参与我国前沿军工科技的发展,在此背景之下,教育科研单位成为APT组织攻击的重点目标。这从受APT攻击的高校分布也能看出端倪,受攻击影响的高校中,国防军工背景高校占有一定比例。
此外,在地区冲突背景下,针对国防军工相关目标的网络攻击实现角色升级,主要围绕航空工业、航天工业、船舶工业、兵器工业等相关目标展开。这些网攻不仅能刺探军事情报、中断敌方网络通信,甚至可以实现控制军事设施、瘫痪敌方指挥控制系统、伪造和传递错误指令,这种能力使网络战成为现代军事冲突中不可忽视的一部分。
AI训练需警惕“数据投毒”
近来随着国产大模型DeepSeek的持续火爆,其平台也遭到大规模的网络攻击。此前公开报道显示,DeepSeek平台遭遇的攻击类型主要是大规模、持续性的DDoS攻击,并多次造成网页和API服务中断,甚至一度无法注册。此外,还有大量呈指数级增长的引流、仿冒和钓鱼站点,其在海外仿冒网站已超3000个。同时,冒充DeepSeek的恶意软件也在迅速增多,通过伪装成官方应用或文件,诱导用户下载并感染系统,进而危害用户的个人信息安全。
有安全专家表示,“我们可以看到,一方面,人工智能在提高生产力,能够帮助解决过去难以应对的网络安全问题;另一方面,同时它也带来了新的安全挑战。其中,不仅包含网络和数据安全问题,还可能生成大量伪造、虚假或不合适的内容,从而引发网络欺诈和社会稳定问题。对于大模型来说,数据污染和数据投毒是AI训练过程中必须警惕的风险。”
面对这类场景,需要用专业的安全大模型来应对人工智能带来的安全挑战,也就是“以模制模”,利用AI大模型来检测和防范大模型可能出现的安全风险,既解决传统网络安全问题,又为攻克AI安全新挑战提供了可行性方案。
当前网络攻击形势日益复杂化和全球化,尤其是在地缘政治对抗的推波助澜下,有组织网络攻击更是逐渐走向公开化。各国逐渐意识到单纯依靠外交谴责已不足以有效应对这一全球性挑战,纷纷提高网络安全方面的重视程度和投入,并加强国际间合作,寻求外交谴责层面以外的方式应对网络攻击威胁。
对于中国面临的网络安全新挑战,报告显示2024年境外APT组织对我国政府机构领域攻击活动占比明显增加,国产化软件系统也成为APT组织攻击的新目标。面对这一挑战,我国政企单位应持续加速网络安全能力建设,尤其是推进国产化进程。当前,信创产业进入全面应用阶段,成为推动安全行业发展的重要动力。对于政企单位来说,应加大对自主核心技术研发的投入,提升国产化软件系统的安全性和稳定性,推动信创产品在关键领域的广泛应用,并加强信创安全生态的建设。此外,还应加强安全人才培养和引进,提升网络安全防护的智能化和自动化水平,以应对日益复杂的网络安全威胁。
同时,人工智能等新兴技术的崛起在无形中也加剧了网络威胁的蔓延与深化,企业要利用大数据和人工智能技术,训练专业的安全大模型来应对人工智能带来的安全挑战,提高国家发现网络攻击、溯源和应急处置的能力。
环球时报记者 马俊
审核 | 周扬
编辑 | 张心珮
校对 | 徐铉
请长按下方二维码关注我们or回到文章顶部,点击环球时报 (微信公众号ID:hqsbwx)
【未经授权,严禁转载!联系电话028-86968276】
