沒有什么比做預測更難的了，研究人員根據過去12個月所發生的事情，安全領域專家的知識和對APT攻擊的觀察研究，對未來做出如下預測。

假標志攻擊

使用假標志已經成為幾個APT中的一個重要元素，通常試圖轉移安全人員對攻擊者的注意力——例如，在Lazarus惡意軟件中使用俄語詞匯，或WildNeutron使用羅馬尼亞語詞匯等。我們認為，假標志攻擊將進一步發展，攻擊者不僅希望規避追蹤溯源，而且積極地將責任推給其他人。

其中也可能包括其他不相關的APT使用已建立的后門、盜竊和重復使用代碼，或者故意泄露源代碼讓其他組織使用，進一步攪渾局面。除此之外，還應考慮攻擊者在攻擊和橫向移動過程中使用從其他渠道購買的惡意軟件、腳本、公開可用的安全工具或管理員軟件，使溯源工作變得越來越困難。

從勒索軟件到目標勒索軟件

在過去的兩年里，通用勒索軟件攻擊的數量有所下降，網絡犯罪分子使用勒索惡意軟件變得更具針對性，這些勒索軟件攻擊的重點是那些可能支付大筆款項以恢復數據的組織。我們稱這種技術為“目標勒索軟件”。

在這一年中，我們記錄了幾起攻擊者使用目標勒索軟件的案件，我們認為未來可能會有更激進的勒索企圖。未來可能出現的趨勢是，攻擊者放棄使文件無法恢復的勒索形式，會以威脅發布數據的方式代替。

除了有針對性的勒索軟件之外，網絡罪犯也試圖將攻擊多樣化，包括除了PC或服務器之外的其他類型的設備。例如，消費品中的勒索軟件，如智能電視、智能手表、智能汽車/房屋/城市，勒索軟件是從受害者身上獲取經濟利益的最有效工具。

新的網上銀行和支付攻擊

新的網絡攻擊可能會隨著新的銀行業法規出現，這些法規最近在整個歐盟全面生效。

PSD2(支付服務指令)規定了對提供支付服務公司的監管要求，由于銀行將被要求向第三方開放其基礎設施和數據，攻擊者很可能會試圖利用新的手段濫用這些新機制。

基礎設施攻擊和針對非PC目標攻擊

一段時間以來，已確定攻擊者一直在將其工具集擴展到Windows以外，甚至PC系統之外：例如，VPNFilter和Slingshot，目標網絡硬件。攻擊者一旦控制設備，可以極大提升攻擊者的靈活性。他們可以選擇大規模僵尸網絡攻擊方案，并將該網絡用于不同的目標，或者可以利用僵尸網絡接近選定的目標進行更多的秘密攻擊。

有消息稱，黑客已經滲透到全球至少10家手機電信公司的網絡中，并已隱藏多年。他們能夠在電信基礎設施上部署自己的VPN服務。物聯網設備的大量使用使得現實世界和網絡世界融合，為攻擊者提供了越來越多的機會。今年有報道稱，不明身份的攻擊者使用樹莓派從美國宇航局噴氣推進實驗室竊取了500兆數據。去年12月，英國蓋特威克機場(Gatwick airport)在其中一條跑道上方發現無人機后，因擔心發生碰撞而停飛。由于使用了無人機，該國的部分關鍵基礎設施陷于停頓。毫無疑問，此類攻擊的數量將會增加。

亞歐貿易路線沿線地區的攻擊增加

Clausewitz的格言“戰爭僅僅是政治通過其他方式的延續”，可以擴展到包括網絡沖突，網絡攻擊反映了現實世界的緊張和沖突。比如，俄羅斯干涉美國選舉的指控，以及擔心在2020年大選前可能再次出現這一局面的擔憂，我們在美國的起訴書中看到了所謂的中國黑客。

有幾種方法可以解決這個問題。其中包括政治間諜活動的增長，因為各國政府都在尋求國內外的利益。在潛在或實際的經濟危機和由此產生的不穩定局勢中，也可能擴大到技術間諜活動。這可能導致亞歐貿易路線沿線的地區遭受新的襲擊，其中包括土耳其、東歐和南歐以及東非。

很有可能看到立法和政策的變化，因為政府希望更清楚地界定什么是允許的，什么是不允許的。一方面，可以建立合理的規定政策，從而避免制裁。另一方面，可以更積極地使用技術，因為司法部門熱衷于為不同類型的“合法攔截”提供方便，以便在計算機上收集證據。犯罪集團可能更多地使用加密技術，以及隱藏其行動。

近年來，我們看到了一些針對關鍵基礎設施的攻擊，這些攻擊通常與地緣政治相關。雖然工業設施中大多數感染設備來自“主流”惡意軟件，但這一事實本身突顯了這些設施的脆弱性。盡管針對關鍵基礎設施有針對性的攻擊不太可能成為一種主流犯罪活動，但這一數字在未來還會增長。在一個物理和網絡日益融合的世界里，地緣政治沖突正在上演，網絡攻擊為政府提供了一種介于外交和戰爭之間的手段。

攻擊方法越來越復雜

很難知道頂級攻擊者到底有多先進，他們手里有什么資源。例如，幾年前我們觀察到一個無休止的零日漏洞供給，攻擊者隨時準備為他們買單。今年，我們觀察到谷歌在8月份公布過去兩年中至少發現的14個iOS漏洞。

攻擊者還可能使用非常規方法(如使用信令數據或Wi-Fi/4G)來過濾數據，特別是在使用物理植入物時。同樣，相信未來會有更多的攻擊者使用DoH(DNS over HTTPS)來隱藏活動。最后，有可能在未來幾個月內，將開始發現更多的UEFI惡意軟件。

移動攻擊焦點轉移

在過去的十年里，數字生活主要存儲設備已經從個人電腦轉移到了手機。攻擊者很快就注意到了這一點，并開始專注于開發手機攻擊工具。雖然我們一直在預測針對手機的攻擊數量會大幅增加，但從觀察到的情況并不能反映出這一推斷。

上文連接中說到攻擊者如何利用iOS中至少14個零日漏洞來攻擊亞洲的某些少數群體，最近也看到了Facebook如何起訴以色列NSO公司，指控其濫用服務器(部署惡意軟件攔截用戶數據)。我們還看到了Android零day現在比iPhone更昂貴(根據Zerodium的價格表)，所有這些都告訴我們攻擊者在開發這些技術方面投入了大量資金。

個人信息濫用：從深度造假到DNA泄露

之前討論過數據泄漏如何幫助攻擊者制造更具說服力的社會工程攻擊。并非每一個攻擊者都有完整的潛在受害者的資料，這使得越來越多的泄露數據非常有價值，勒索軟件攻擊也是如此。

在一個記錄數據不斷增長的世界里，我們可以看到特別敏感的泄漏危險，例如在生物特征數據方面。所有這些聽起來都十分超前，但它與通過社交媒體驅動選舉廣告的技巧非常相似。這項技術已經在使用中，一些攻擊者利用它只是時間問題。

總結

未來有太多的可能性，我們的預測中可能會有許多預測不到的東西，攻擊環境的復雜性提供了更多可能性。此外，沒有一個研究管對能夠完全了解APT攻擊者的行動。我們將繼續觀察分析和預測APT的活動，了解他們使用的方法，同時提供對最新的分析報告。

原文PDF：Kaspersky Security Bulletin 2019. Advanced threat predictions for 2020 (PDF, English)