為什么政府官員和機構不斷被黑客入侵？

如果水門事件發生在今天，也許尼克松團隊根本不需要潛入辦公室進行物理竊聽。如今的秘密情報工作借助網絡，在屏幕后遠程部署就能侵入目標的電子設備，獲取機密信息。

在過去的十年中，網絡攻擊變得更具破壞性，影響范圍更廣，甚至在許多情況下更具政治性。各國政首和政要的私人信息和設備被間諜軟件入侵，造成隱私信息泄露的事件時有發生；政府機構則不僅面臨間諜軟件，還包括勒索軟件的雙重攻擊。在網絡攻擊指數級增長的當下，各國將網絡安全視為國家安全的關鍵挑戰。

數國元首遭網絡攻擊，竊取機密信息

近年來，數十名政府官員的手機遭到黑客攻擊，包括法國總統埃馬紐埃爾·馬克龍、西班牙總理佩德羅·桑切斯、英國首相鮑里斯·約翰遜的工作人員、英國前首相利茲·特拉斯、歐盟司法專員以及美國外交官等。

這些政要手機上被安裝的通常是以色列公司NSO Group的Pegasus軟件（飛馬間諜軟件）。Pegasus可以在受害者不知情的情況下感染目標設備并訪問個人數據，還可以遠程啟用攝像頭和麥克風。據了解，2021年馬克龍更換了手機并更改了電話號碼，據稱他的號碼在Pegasus的某個監視名單上。

2022年10月30日，英國前首相利茲·特拉斯（Liz Truss）的私人手機被網絡間諜入侵。據《每日郵報》報道，利茲·特拉斯和25名英國內閣部長的個人手機號碼、郵件地址、密碼和其他個人信息在美國網站上曝光。

據稱該網站上包含14億件被盜數據，一些文件可以追溯到十多年前的攻擊事件，而公眾能夠輕而易舉地獲取這些信息，該網站每周只需6.49英鎊（7.25美元）即可訂閱其數據庫。

雖然黑客攻擊的細節尚不清楚，但據信攻擊者下載了長達一年的錄音，包括特拉斯及其政治盟友夸西·克沃騰批評約翰遜的私人談話，以及特拉斯“與高級國際外交部長就烏克蘭戰爭進行的高度敏感討論，包括關于武器運輸的詳細討論”。

據了解，該事件早在當年夏季首相選舉時就已被發現，但時任外交部長的特拉斯正在角逐保守黨黨魁和下任首相，時任首相鮑里斯·約翰遜決定壓下此事。據報道，黑客獲得的消息包括特拉斯 。

對英國情報部門來說，特拉斯和內閣大臣的私人手機如此輕易地被入侵，顯然不太好看。但英國政府發言人堅稱，英國政府擁有“強大的系統來防范網絡威脅”。

政府機構頻遭攻擊

除了各國政要，政府機構也經常遭遇黑客攻擊。2020年末，俄羅斯情報機構利用SolarWinds軟件包中的漏洞入侵了美國國務院、國土安全部、五角大樓的部分地區以及數十個聯邦機構。

國家級政府機構通常是黑客攻擊的首要目標，但攻擊者也經常瞄準地方政府，而地方政府通常因為防御薄弱而產生較大的影響。2023年2月，新西蘭奧克蘭市因勒索軟件攻擊導致所有IT系統脫機，不得不宣布進入緊急狀態。

美國戰略與國際研究中心（Center for Strategic and International Studies）保留了一份重大網絡事件清單，基本上每個月都有針對世界各地政府機構的重大攻擊。網絡安全公司CloudSek的最新報告也指出，與2021年同期相比，2022年下半年全球針對政府部門的攻擊數量增加了95%。報告顯示，過去兩年，印度、美國、印度尼西亞和中國是最受攻擊的國家，占全球政府部門攻擊事件的40%。

2021至2022年全球針對政府部門的攻擊數量

CloudSek觀察到，攻擊政府機構和組織的威脅主體在過去兩年中保持不變。Kelvin Security、Against The West、PoCExploiter Admin、LockBit和Holistic-K 1ller是2022年的前五大威脅主體。

2022年攻擊政府機構的前五大威脅團伙

這里簡要介紹前兩大威脅團伙。Kelvin Security通常以Kristina的名義運作，該組織通常利用fuzzing技術和常見的漏洞來鎖定受害者，對工具的使用駕輕就熟并且對漏洞有非常深入的研究。通常該組織瞄準的對象都是有共同的基礎技術或基礎設施。他們在網絡犯罪論壇和通信渠道（如Telegram）上公開分享新的漏洞、目標和數據庫等信息，還經常分享其工具清單和有效載荷。

Against The West發現于2021年10月，又稱APT49或BlueHornet。該組織持續利用一組常見的漏洞和poc入侵特定地區的數據并在暗網出售，其攻擊范圍包括中國、俄羅斯和歐洲。值得注意的是，2021年，針對中國政府機構95.7%的攻擊來自Against The West。

攻擊者的三大動機

為何政府官員和政府機構總是被黑客攻擊？根據CloudSek報告，竊取數據、入侵系統、黑客主義（hacktivism，泛指因政治或社團目的而產生的黑客行為）是針對政府部門攻擊的前三大動機，分別占比62.7%、13.5%和8.8%。

2022年政府機構攻擊動機占比

政府機構和組織收集和存儲大量數據，包括敏感機密信息和大量公民個人信息，這些數據龐大而真實，黑客竊取數據后發布到暗網高價售賣謀取暴利。根據IBM的一份報告，政府等公共部門的平均違規總成本從從193萬美元增加到207萬美元，增幅達7.25%。

此外，如果涉及國家安全和軍事數據或系統，則要警惕被恐怖組織或敵對勢力利用進行間諜行為的風險。

緊張的地緣政治局勢也經常引起黑客主義網絡攻擊。自2022年2月24日俄烏沖突爆發以來，兩國之間的網絡攻擊愈發頻繁，俄羅斯背景的APT組織Primitive Bear自2013年就開始瞄準烏克蘭組織，針對烏克蘭政府、軍隊和執法部門，在沖突發生前后，更是組織了多次網絡行動。

印度和巴基斯坦、伊朗和以色列的地緣局勢也長期處于緊張狀態，兩國之間持續性發生網絡攻擊行為。2022年6月，巴基斯坦黎明報（DAWN）稱，一個總部位于印度的黑客團伙針對巴基斯坦政客、軍事官員和外交官進行攻擊，監聽其設備信息以方便情報工作。

根據網絡安全公司Sophos的一份報告，地方政府之所以經常成為目標，因為其防御薄弱、IT預算和IT人員有限、計算機系統老化、代碼過時，導致黑客能夠輕而易舉地攻破其防線。與私營組織相比，政府IT部門通常不堪重負，黑客更容易侵入并安裝勒索軟件。而規模較大的政府部門雖然網絡安全防御更嚴格，但其吸引黑客之處在于其豐厚的部門資金和公共資金。

應對之策

政府機構和組織需要提高網絡安全能力，培養強大的檢測、響應、偵察和恢復能力，對數據全流程和IT基礎設施有清晰的認知和掌握，開啟訪問控制，確保數據和關鍵基礎設施不受威脅者的影響。

網絡攻擊的數量呈指數級增長意味著政府不僅需要抵御網絡攻擊，而是需要轉變為零信任模式，即預先假設用戶身份或網絡本身可能會被盜，主動地驗證用戶活動的真實性。政府應該不斷監測暗網和已知的威脅者，了解他們最新的TTPs，并采取措施預先阻止攻擊；還應該主動監測基礎設施、網絡漏洞和可疑行為。除了傳統的滲透測試外，政府還應該關注漏洞賞金計劃和漏洞披露計劃。