谷歌發(fā)布 2019 年政府黑客攻擊報(bào)告：近 4 萬次警告，黑客攻擊對象更有針對性

消息，据外媒报道，近日，谷歌发布报告称，2019 年向用户发出了大约 4万次国家支持黑客攻击的警告，受到攻击的账号所有者主要为政府官员、记者、异议人士和地缘竞争对手。

同时，与 2018 年相比，警告数量减少了 25% ，这一下降的原因可能是谷歌实施的防御措施的效率提高，但依旧不能低估攻击复杂程度的风险。

此外，谷歌还公布了 2019 年网络钓鱼及恶意软件攻击的新趋势。

冒充新闻机构和记者的人数正在增加

回顾自今年年初以来的网络钓鱼企图，谷歌发现越来越多的攻击者，包括来自伊朗和朝鲜，冒充新闻媒体或记者的人数正在增加。例如，攻击者冒充一名记者与其他记者一起播撒虚假新闻，以传播虚假信息。在其他情况下，攻击者会发送几封善意的电子邮件，以便在后续邮件中发送恶意附件之前，与记者或外交政策专家建立关系。政府支持的攻击者经常针对外交政策专家进行研究，与他们合作的组织接触，并在随后的袭击中与其他研究人员或政策制定者建立联系。

政府黑客攻击对象更具针对性

谷歌指出，像政治竞选团队成员、记者、活动人士、持不同政见者、高管、金融或政府等行业的用户最容易受到国家的攻击，这一趋势在 2019 年得到证实。根据谷歌在2019 年的数据，政府资助的黑客屡次攻击他们的目标，每五个收到警告的账户中就有一个被攻击者多次攻击。

政府支持的攻击者继续不断地针对地缘政治对手、政府官员、记者、持不同政见者和活动分子。

美国、印度、巴基斯坦、日本和韩国等国家的居民总共收到了 1000 多份警告。8 个月前，微软曾表示，在过去 12 个月里，它曾警告过 1万名客户受到国家支持的攻击。

Google 特地举了俄罗斯黑客组织 Sandworm 的例子。Sandworm是一个为俄罗斯联邦工作的攻击组织，被认为发动了至今影响最严重的攻击，包括攻击乌克兰的电力设施，导致了两次严重断电事故。

下图显示了 Sandworm 在 2017 年到 2019年针对各个行业和国家的目标。虽然针对大多数工业或国家的攻击是零星的，但乌克兰在整个三年期间都是攻击的对象：

零日漏洞攻击目标更为明显

零日漏洞是未知的软件缺陷。在它们被识别和修复之前，它们可以被攻击者利用。标记积极搜寻这类攻击，因为它们特别危险，成功率很高，尽管它们只占总数的一小部分。当谷歌发现一种利用零天漏洞的攻击时，会向供应商报告该漏洞并将其提供给他们。七天来修补或提供咨询意见或者自己发布建议。

2019 年，谷歌发现了影响 Android、Chrome 、IOS 、Internet Explorer 和 Windows 的零日漏洞。GoogleTag 报道了一个威胁行为者在相对较短的时间内使用 了 5个零日漏洞的案例。这些攻击被用于水坑攻击和鱼叉钓鱼攻击。谷歌观察到的大多数目标都是朝鲜人或是处理朝鲜相关问题的个人。

而谷歌高级保护计划( APP )目的是保护任何有可能遭受网络攻击的人，比如长矛钓鱼攻击。

谷歌表示：

高级保护计划使用安全密钥帮助保护电子邮件、文档、联系人或其他个人数据。即使黑客有你的密码，他们也无法在没有你的安全密钥的情况下访问你的帐户。安全密钥是一种小型物理设备，它有助于证明您正在登录您的电话、平板电脑或计算机。你也可以使用内置的安全密钥。在运行iOS 10+ 或 Android 7+ 设备的 iPhone上。只有在第一次在计算机、浏览器或设备上登录时，才需要安全密钥。在那之后，你只会被问到你的密码。

同时报告还披露了 2019 年发现的零日漏洞，这些漏洞包括：

• 互联网浏览器-CVE-2018-8653

• 互联网浏览器-CVE-2019-0676

• 铬-CVE-2019-5786

• Windows内核-CVE-2019-0808

• 互联网浏览器-CVE-2019-1367

• 互联网浏览器-CVE-2019-1429

其中，CVE-2018-8653、CVE-2019-1367 和 CVE-2020-0674 都是 jscript.dll 中的漏洞，因此所有的漏洞都启用了IE 8 渲染，并使用 JScript.Compact.JS 引擎。

在大多数 Internet Explorer 攻击中，攻击者滥用 Enumerator 对象以获得远程代码执行。

要逃离 Internet Explorer EPM 沙箱，利用技术通过滥用 Web 代理自动发现( WPad )服务，在svchost中重放相同的漏洞。攻击者利用 cve-2020-0674 在 Firefox上滥用这一技术，以便在利用此漏洞后逃离沙箱。

CVE-2019-0676 是 CVE-2017-0022 、CVE-2016-3298 、CVE-2016-0162 和 CVE-2016-3351的变体，其中漏洞位于“RES：//”URI 计划的处理中。利用 CVE-2019-0676使攻击者能够在受害者的计算机上发现或不存在文件；这些信息后来被用来决定是否应该交付第二阶段的攻击。

CVE-2019-1367 的攻击矢量非常不典型，因为该攻击来自 Office 文档，滥用在线视频嵌入功能来加载进行攻击的外部 URL 。

值得注意的是，谷歌表示在以后的更新中将提供有关攻击者使用与 COVID-19相关的诱饵以及我们所观察到的预期行为的详细信息(所有这些都在攻击者活动的正常范围内）。

参考资料：

https://blog.google/technology/safety-security/threat-analysis-group/identifying-vulnerabilities-and-protecting-you-phishing/

https://securityaffairs.co/wordpress/100577/cyber-warfare-2/google-state-sponsored-attacks-2019.html