以今年3月的资安新闻而言,随著2023年的结束,如今正有多个重要的资安年度报告揭露,统整出2023全年的真实威胁态势,包括零时差漏洞利用、BEC诈骗、投资诈骗、勒索软体攻击等面向。
虽然我们先前已经报导部分重点,然而,当中其实还有一些关键态势,我们认为相当值得企业关切。
2023零时差漏洞利用报告出炉,5大重点受关注
首先,Google在3月27日公布一份2023零时差漏洞利用的年度报告,指出这方面的威胁又变严峻,因为2023年共有97个零时差漏洞利用的情形,比2022年的62个增加了5成。不过仍低于2021年创记录的106个。
为何零时差漏洞攻击、零时差漏洞利用的威胁需要重视?大家先要能够区别的是,以零时差漏洞(Zero-day)而言,其实包含了被成功利用与尚未被利用的状态,而这份报告一直以来都是聚焦在--零时差漏洞利用,也就是骇客先找出未知漏洞并在外部成功利用(Zero-day Exploited in-the-wild),已经造成灾情,厂商只能在事后发现、修补并释出更新。
关于这份2023年度报告所呈现的重要态势?基本上,我们可以简单统整为5大重点,包括:
●针对第三方元件如函式库的零时差漏洞攻击,有越来越多的趋势。事实上,我们在去年10月就察觉到涉及底层、上游漏洞增加的情形。
●针对企业产品(含资安产品与装置)的零时差漏洞攻击,比往年增长近5成。
●商业间谍供应商(CSV)持续挖掘大量消费者平台(如行动装置、OS、浏览器等)的零时差漏洞。
●中国政府骇客组织发动的零时差漏洞攻击大增,并且远高于俄罗斯、北韩、伊朗等骇客组织
●经济动机骇客组织发动的零时差漏洞攻击,比往年减少。
骇客锁定企业产品的零时差漏洞利用,比往年激增5成!每年都有更多IT供应商遭锁定
我们还可以如何解读这些内容?最近4月,刚好Google在台举办资安研讨会,来自Google Cloud的专家对于这份报告,提供更深入说明。
虽然,我们看到,2023年度的零时差漏洞利用数量,还不及2021年,但Google Cloud Security暨Mandiant亚太区及日本首席技术总监Steve Ledzian认为,有一项重要变化值得关切。他指的是上述5大重点中,所提的第2点。
Steve Ledzian指出,在企业方面,现在已有更多的供应商与产品成为攻击目标,例如,2023年这类型数量增加为36个,而2021年与2022年则是25个与22个。而且针对企业特定技术的攻击,同样有所增加。
特别的是,Steve Ledzian还强调一个现况:近年被锁定的IT供应商是越来越多。
他解释,多年来,IT技术一直由少数主要供应商主导,但随著企业使用了更多不同厂商的产品与服务,成为攻击目标的厂商数量,也成逐年持续增加的情况。
Steve Ledzian并给出明确统计数据,例如,2019年只有4个供应商的产品,成为零时差漏洞利用的攻击锁定目标,2020年为7个,2021年13个,2022年17个,到了2023年则是增加至21个。
这样的结果,也呼应了Steve Ledzia在这场研讨会上所介绍的一个观点--Securing Edge Devices,他指出,我们现在需要建立抵御边缘装置攻击的韧性。
为何会有这项说法?他列出了5大类型,并且指出在这些不同层面,近期都发生了零时差漏洞被利用的情形。包括:邮件边缘装置(Email Edge Device)、档案分享边缘装置(File Sharing Edge Device)、远端存取边缘装置(Remote Access Edge Device)、行动存取边缘装置(Mobile Access Edge Device)、虚拟装置(Virtualization Device)。
换言之,我们其实也可以透过这样的类型画分,来了解Google是如何看待边缘装置被锁定的威胁态势。
这当中又以远端存取边缘装置,是最严重的类型。因为单是最近一年多的时间内,就可看到多个品牌产品的零时差漏洞被利用。例如,Ivanti Connect Secure(CVE-2023-46805、CVE-2024-21887、CVE-2024-22024),Citrix NetScaler(CVE-2023-4966),GoAnywhere(CVE-2024-0204),ScreenConnect(CVE-2024-1709、CVE-2023-1708)等。
此外,对于这份报告的发布,Steve Ledzian还提到了一个新的变化,他表示:「这次发布的研究报告,是首次由Google威胁分析小组(TAG)与Mandiant全面整合分析结果而成。」
换言之,这并不像过往我们所知的,Google与Madiant这两家公司会各自发布相关统计数据。显然,自2022年Google宣布并购Madiant后,双方在此方面已有深入的整合。
不过,由于过去两家公司提出的数据不同,有各自整理的资料,因此我们特别询问,这样的统计数量是否还会有遗漏情形?Steve Ledzian表示,这些数量大部分是他们自己追踪,以及从可以信赖的OSINT公开来源情报所得,的确可能还有其他零时差漏洞利用,但因为没有放在公开来源情报,他们也无从知道与了解。
FBI发布2023网路犯罪调查报告,BEC诈骗、投资诈骗、勒索软体的危害变更严峻
另一份重要年度报告,是美国联邦调查局(FBI)网路犯罪投诉中心(IC3)在3月7日发布的《2023 Internet Crime Report》,虽然这里的数据统计以美国地区为主,但因为IC3在此方面所搜集的资料,相对其他国家执法单位而言,其样本数量够大且类型丰富,因此IC3所统计的资料也常视为一重要指标。
在这份最新年度报告中,FBI指出2023年受理的案件达88万件,比前一年增长10%,损失金额也比前一年增加22%,持续呈现逐年增长的态势。
至于去年网路犯罪态势有哪些重要变化?我们认为有3大焦点,分别是:BEC诈骗、投资诈骗、勒索软体。
BEC诈骗
首先,商业电子邮件(BEC)诈骗的威胁已经被FBI警告多年,2023年带来的损失金额已接近30亿美元,共有21,489件被受理。平均起来,每日都有58家企业报案,相当惊人。
特别的是,我们找出过去3年的IC3的统计数据可以发现,这类网路犯罪投诉数量均维持在1.9万到2.2万件之间。这也意味著,每年都有2万家当地企业遭遇BEC诈骗,并没有趋缓的情形。
对于台湾企业而言,虽然我国警政署往年也会公布这方面的统计数据,但现在少有这类新闻事件曝光,因此,我们认为有需要再度提醒普遍企业,这类威胁态势在国际间其实并未减少,不应轻忽。
投资诈骗
其次,投资诈骗日益严峻,成为近两年最猖獗的网路犯罪型态。自从2022年开始,带来的相关损失跃居网路诈骗首位,到了2023年,损失金额再度攀高,已经达到2020年的3倍,且大多数与加密货币诈欺有关。
在台湾,近来有这类事件发生,例如今年我国检警调侦办「ACE王牌交易所」勾结虚拟货币诈骗集团吸金一案。
勒索软体
第三,勒索软体攻击的网路犯罪再趋严重,IC3去年收到2,825多件关于勒索软体攻击的投诉案件,显示在2022年下降后、2023年又呈现上升趋势。
值得注意的是,根据IC3指出,2023年有1,193个重大基础设施遭到勒索软体攻击,比2022年的870个明显更高,突显攻击重大基础设施持续成锁定目标,其中医疗保健部门占这些投诉的2成,在当地16种关键基础设施中最高。
虽然台湾没有较全面的这类统计资讯,但以我们在3月报导的上市柜资安封面故事而言,可看出民间企业遇骇事件确实增加,且2023年的勒索软体攻击事件,的确比2022年更多。
无论如何,上述这些2023全年威胁态势的公布,已经告诉我们,这些威胁引发的危害仍在加剧,并未有减缓迹象,因此,尽管台湾企业组织现在越来越重视资安,但也要记住,我们在2024年所面对的威胁与挑战,也是变得更为严峻。
月底发生XZ后门事件,软体供应链攻击威胁也不容轻忽
除了上述4大威胁面向,还有软体供应链攻击的态势要注意,这是因为3月底发现了一起重大事件,XZ程式库竟遭潜伏的维护者植入后门。
关于这起事件,最令开发圈、资安圈在意的是,攻击者竟然以长期卧底方式,将自己长期假扮为正常的开源贡献者,一开始提交的内容都要帮助专案维护,行动很正常,等到取得原始专案开源维护者的信任,自己拥有更多权限之后,才露出真实目的,进而要以神不知鬼不觉的技术,将后门植入上游软体供应链。
由于开源贡献者来自全球各地,要如何防范一开始没有任何异常举动的卧底内鬼?要如何揪出这个在GitHub使用代号Jia Tan(JiaT75)且暗中植入后门的攻击者真实身分?如今都成为开源界积极探讨的议题。
虽然过去也有主打开源安全管理的资安业者,有发布软体供应链攻击的年度报告。只是,我们认为,这一威胁面的影响深远,但又可能不像其他网路威胁那样受关注,因此产业间是否会有更好的办法来面对?或许值得各界都能更进一步去探讨。