HOME > 最新消息> 品牌新訊

新冠肺炎驅動下網路威脅態勢的有限轉變

2020/05/07

訊息運營 、社交工程、醫療保健、網路釣魚

儘管對我們的社會與經濟有着巨大的影響,但新冠肺炎對網路威脅態勢的影響仍然有限。大體來說,我們一直追蹤着的行動者的行事方式與危機前相同。出現了一些新的挑戰,但可以被感知,而且我們——還有我們的客戶——都做好了在這場前所未有的變化期間持續戰鬥的準備。

我們目前正在追蹤的一些威脅態勢的重大轉變包括:

·        遠程勞動力的大幅驟增業已改變企業網路的屬性和漏洞。

·        威脅行動者目前正在社交工程陷阱中利用新冠肺炎及相關話題。

·        我們預期網路間諜行動者將增加蒐集工作,以尋求獲得關於危機的情報。

·        涉及應對危機的醫療保健運營,相關的生產,物流和行政組織,以及政府部門,正變得越來越重要,也越發容易受到來自諸如勒索軟件的破壞性攻擊。

·        訊息運營行動者已抓住危機宣傳故事,主要針對本土或鄰國受眾。

同樣的行動者,新的內容

我們在危機前觀察的那批威脅行動者和惡意軟體大體上在追逐和危機前一樣的目標,使用的工具亦大部分相同。現在他們並非簡單將這次危機當做社交工程的一種手段來利用,這種行為結構再熟悉不過。威脅行為者總是利用重大事件和危機來吸引用戶。目前很多使用這種方法的行動者已被追蹤數年之久。

最終,新冠肺炎在社交工程手段中被廣泛採用,因為它具有廣泛普遍的吸引力,而且人們對該主題的訊息的真切渴求將鼓勵他們在原本可能謹慎的情況下採取行動。我們已經發現多個網路罪犯和網路間諜行動者在利用它,而且在地下社區,有些行動者已造出工具,能夠啟動利用冠狀病毒大流行的有效社交工程。但是,新冠肺炎內容在惡意郵件中所使用的比例仍然只有2%。


limited-shift-covid19-tw

目前,我們不認為這種社交工程會起到教唆作用。事實上,隨着政策,經濟以及其他尚未預見的後果逐漸顯露,它有可能呈現更多的形式。例如,最近我們預測與社交工程相關的刺激計劃會激增。另外,FBI新近發佈了一份新聞稿,預期與新冠肺炎相關的商務電子郵件入侵(BEC)騙局將呈上升勢頭。

國家級攻擊發動者 或會相當忙碌

鑒於新冠肺炎無疑是當下世界各國政府的首要關切點,我們預期政府,醫療保健,生物技術和其他部門將會成為網路間諜行動者的目標。我們尚未觀察到針對新冠肺炎相關訊息的網路間諜事件;但往往很難明確這些行動者會針對什麼樣的訊息。至少有一起公開報道的案例,我們沒有獨立證實。

我們已發現諸如來自俄羅斯,中國和北韓的國家級攻擊發動者,他們利用了與新冠肺炎相關的社交工程,但是考慮到對該主題的普遍關注,上述行為未必表明是針對新冠肺炎相關訊息的。

對醫療保健的威脅

儘管我們並無理由相信醫療保健系統會面臨突如其來的威脅,但是這些系統或許從未顯得如此重要,因而在危機期間的風險將會上升。擾亂威脅尤其令人不安,因其可以影響組織提供安全及時的護理的能力。該威脅從醫院延伸至製藥企業,以及提供關鍵支持的生產,行政和物流單位。此外,許多重要的公共衛生資源位於州和地方級。

儘管有一些坊間證據表明勒索軟體行動者會避開醫療保健目標,但是我們並不指望所有的行動者都會踐行這份克制。此外,地方政府一直是勒索軟體行動者的主要目標,針對它們的攻擊會對醫療和抗疫努力造成破壞性影響。

遠程工作

若干職員突然毫無徵兆的轉向在家辦公狀態,這為威脅行動者呈現了機會。各組織將面臨的挑戰是迅速採取行動,確保有足夠的存儲容量,同時須保證資安措施和政策就位。破壞性局勢會打擊士氣,增加壓力,導致負面行為的產生,如減弱用戶的回應意願以使他們打開可疑訊息,甚至增加內部風險。在家辦公時的分心會導致審查和避開可疑內容時的警覺性下降,因為職員須努力同時平衡工作和家庭的責任。再者,平台的快速採用無疑會引發資安錯錯誤配置並吸引威脅發動攻擊者的注意。

安全的遠程訪問或將依賴於VPN的使用,以及旨在限制私有數據暴露的用戶訪問權限和身份驗證程序。硬體和基礎架構保護應包括:確保對企業所有裝置的全磁盤加密;通過一個端點資安工具維持對裝置的可視性;維持定期的軟體升級。

有關這方面的更多訊息,請查閱我們關於與遠程連接相關的風險的部博客文章

訊息運營威脅

我們已經看到訊息運營行動者宣傳與新冠肺炎相關的故事,以操縱主要是本土或鄰國受眾。我們觀察了中文網路里支持中國的賬號,其中部分是我們先前確認的在宣傳有關香港抗議活動的訊息,他們轉移焦點,宣揚中國應對新冠肺炎爆發的措施,批評香港醫療工作者和美國對大爆發的應對,並秘密宣傳陰謀論,認為美國應對武漢的冠狀病毒爆發負責。

我們還確定了針對俄語和烏克蘭語受眾的多個宣傳新冠肺炎相關故事的訊息運營,包括一些我們相當確定就是廣受質疑來自俄羅斯的「Secondary Infektion」攻擊活動,以及其他疑似俄羅斯行動。這些運營囊括了利用虛假的駭客主義者角色來散播美國在中亞的一個武器實驗室研製了這個冠狀病毒的陰謀論,利用烏克蘭的現實抗議來宣傳故事,宣稱從武漢遣返的烏克蘭人將會感染更多的烏克蘭人,以及烏克蘭的醫療系統裝備落後,不足以應對大流行。其他運營聲稱美國政府或軍事人員對包括立陶宛和烏克蘭在內的多個國家爆發的冠狀病毒負有責任,或堅持認定如果該地區原定的多邊軍事演習按計劃繼續,美國人將會助長大流行的傳播。

前景

顯而易見,對手們希望我們為這些鋪天蓋地的事件所干擾。新冠肺炎帶來的最大網路資安挑戰,或許就是我們專註於最為緊要的威脅的能力。需要對這場大流行的網路資安影響作一個中肯的評估,以有效利用為危機本身所限制的資源。

有關有助於加強防禦的更多資訊和資源,請訪問FireEye的「應對變化和危機」網站,該網站彙集了許多資源,以幫助組織試圖應對與新冠肺炎相關的安全挑戰。

LINE QR Code
 

請加入 FireEye 台灣 LINE@ 以獲取第一手 FireEye 資安訊息,為進階網路威脅做好準備。

資料來源:
https://www.fireeye.com/solutions/international-literature/traditional-chinese/limited-shifts-in-cyber-threat-landscape-driven-by-covid-19-tc.html

若要深入瞭解 FireEye,歡迎洽詢 零壹科技 (02)2656-5656#822 陳先生
#惡意軟體 #風險管理