卡巴斯基公布2021年APT威脅態勢預測：企業VPN設備和5G漏洞是攻防焦點

在今年全球面臨武漢肺炎疫情所帶來的衝擊後，明年的資安威脅態勢究竟會如何發展？各家資安業者於11月下旬，開始發布有關2021年的威脅態勢報告。其中，資安廠商卡巴斯基最近幾年的做法，都是先針對持續性進階威脅（APT）的態勢，發布他們對於明年的看法，再分別對於其他特別希望各界留意的面向，推出有關報告。而對於明年的持續性進階威脅態勢，該公司於11月19日，在部落格發表他們對於2021年持續性進階威脅攻擊的預測。

疫情延續遠距辦公與5G建設普及，是影響明年資安威脅情勢的關鍵

卡巴斯基對於2021年總共提出8種預測，並表示明年政府和IT業界會有較為積極的行動，包含許多政府會透過法律訴訟來對付駭客，而蘋果、微軟、Google等IT龍頭，也可能會採取行動來對付漏洞掮客（Zero-day Broker），但更值得大家留意的態勢，則是駭客攻擊目標的變化，特別是鎖定如VPN伺服器的網路資安設備，還有隨著5G網路的普及，他們也會尋找其中的漏洞來發動攻擊。

卡巴斯基提出的2021年威脅情勢預測如下：

1.APT駭客會向網路罪犯購買存取受害者網路的工具
2.會有更多國家把法律制裁當作資安戰略的一部分
3.矽谷會有更多公司會採取行動來對抗漏洞掮客
4.會有更多攻擊鎖定企業網路設備
5.5G漏洞的緊急情勢
6.索討金錢的手法更為苛刻
7.攻擊更具破壞性
8.駭客會持續濫用武漢肺炎為攻擊題材

其中，與大多數人較為直接相關的部分，則是在武漢肺炎疫情尚未完全緩解的情況下，企業採取遠距辦公的做法，明年仍然會持續下去，因此卡巴斯基認為，遠距辦公相當倚賴的VPN系統，就是駭客會特別鎖定的目標。他們也舉出今年10月駭客攻擊美國公部門、疑似意圖操弄選務系統的行動為例，指出相關的漏洞其實已經出現攻擊事件，並認為這樣的態勢明年會延續。

除了企業的VPN閘道等網路設備會被駭客鎖定，另一個焦點則是與近期在許多國家陸續開臺的5G網路。卡巴斯基指出，在美國積極勸阻友邦不要採用華為設備之際，會有更多人對於5G的網路設備進行研究，包含連線加密的流程安全性，甚至設備是否潛藏後門等情況。而一旦5G使用變得更加普及，卡巴斯基認為，相關的漏洞研究興起，也會促成明年駭客積極尋找能夠濫用的漏洞。

在這兩個預測趨勢之外，他們指出今年部分的攻擊態勢，也會延續到明年，例如，駭客會利用恐嚇的方式以求得到贖金，還有就是隨著疫情尚未減緩的情況下，繼續利用這項時事來發動攻擊等，這些既有的現象大家還是必須要多加留意。

回顧今年，栽贓手法與目標式勒索軟體攻擊是主要威脅

在提出預測之餘，卡巴斯基回顧今年觀察到的資安威脅態勢，他們歸納出8個現象。首先，他們特別提到駭客隱藏攻擊行為的栽贓攻擊（False Flag），再者是鎖定特定目標的勒索軟體攻擊，至於下手的目標裝置不再偏重PC，而是更加鎖定行動裝置與其他連網裝置。同時，過往較少遭到攻擊的地區，如科威特、阿爾及利亞、緬甸，以及中東地區等，在今年也出現遭到使用中文的駭客發動攻擊的情況。

卡巴斯基列出的2020年威脅現象如下：

1.栽贓攻擊（False Flag）層次提升
2.勒索軟體攻擊演變為目標式勒索軟體攻擊
3.新的網路銀行與線上交易攻擊面向
4.更多鎖定基礎架構和非PC為目標的攻擊
5.在亞洲和歐洲貿易經過的區域遭攻擊的情況增加
6.運用罕見手法的攻擊增加
7.行動裝置攻擊手法變化
8.藉著Deepfake洩露DNA，來濫用個人資訊

其中，在意料之中的是，卡巴斯基提及的栽贓攻擊和目標式勒索軟體攻擊現象，尤其是栽贓攻擊的手法，普遍存在許多類型的攻擊之中。什麼是栽贓攻擊？這原本是用於軍事的術語，指的是使用其他組織的旗幟或是制服等手段，來誤導他人攻擊行動是由別的組織策畫。

在網路攻擊的手法中，卡巴斯基舉出了他們發現的工業網路間諜軟體MontysThree，以及駭客組織DeathStalker的手法為例；而在我們的報導裡也有不少案例，像是中國駭客組織Cicada針對日本組織長達1年的攻擊行動中，就採用DLL側載（DLL Side-loading）的方法，將惡意軟體依附在合法程式下執行，而沒有被企業發現異狀。再者，這種攻擊態勢，我們也在鎖定網頁的攻擊事件裡出現，取代過去直接在網頁程式碼加入惡意指令的做法，例如，今年6月，有駭客把攻擊指令埋藏在網站圖示（Favicon），藉著可交換圖檔格式（EXIF）的中繼資料（Metadata）來下達攻擊指令，鎖定WooCommerce外掛程式的WordPress電商網站下手，竊取交易的資料。

而目標式勒索軟體攻擊的部分，也幾乎在企業遇害的事件中可以看到，卡巴斯基提到出現了專門與駭客談判降低贖金的業者。在國內的目標式勒索軟體攻擊事件裡，自今年5月初開始，中油、台塑石油，以及力成等受害案例，引起全臺灣的高度關注，甚至調查局特別公布他們的調查結果，來提醒其他可能也被鎖定的企業及早做好防禦措施。

再者，不光是駭客的攻擊策略，在勒索行徑也有出現變化。卡巴斯基舉出芬蘭Vastaamo心理治療診所的網站遭到攻擊為例，駭客竟是向病人勒索，而並非向診所要贖金。而在我們的報導裡，則是出現駭客對於勒索軟體攻擊受害的企業，透過臉書廣告公布事件，或是藉著門市收銀機大量印出勒索訊息，來施加壓力的情況。

至於其他6個面向，雖然卡巴斯基也有舉例說明，但是比較特別的面向，是在於駭客不再只針對Windows個人電腦的現象相當顯著，而且Deepfake已經被濫用來發動攻擊。

駭客鎖定非x86平臺PC下手為目標的例子，像是TunnelSnake攻擊行動所出現的工具，就同時支援了MIPS、SH-4、PowerPC、SPARC，以及M68k等架構的電腦。再者，則是有名為MosaicRegressor的攻擊框架，鎖定電腦的UEFI韌體發動攻擊。

而在Deepfake遭到濫用的情況，卡巴斯基則是提及了已有駭客利用AI軟體來捏造主管的聲音，假冒是主管來對企業其他員工進行詐騙的事件。