安全內參6月19日消息,美國官員15日稱,俄羅斯勒索軟件組織Clop利用MOVEit文件傳輸軟件的零日漏洞發動攻擊,竊取并高價售賣美國能源部在內的多個聯邦機構用戶數據。

美國聯邦機構網絡安全與基礎設施安全局(CISA)公布了這起入侵事件。CISA局長Jen Easterly認為此次入侵具有“高度隨機性”,既沒有專注于“特定的高價值信息”,也沒有像之前針對美國政府機構的網絡攻擊那樣具有破壞性。“這次攻擊不像SolarWinds供應鏈攻擊事件一樣具有系統性風險。”SolarWinds事件發生于2020年,這起大規模入侵事件對多個美國情報機構帶來嚴重破壞。

聯邦地方機構紛紛被黑,

海量公民數據遭勒索

美國能源部證實,旗下兩家機構對數據記錄遭到入侵,并已通知國會和CISA。美國農業部發言人表示,他們可能遭到了Clop的攻擊,該部門將首次因為數據泄露接受調查。

美國勞工部、教育部和內政部的發言人表示,這些部門未受影響。國務院、國防部和聯邦調查局(FBI)代表拒絕對是否受到影響發表評論,其他幾家聯邦機構也未回應置評請求。

美國國會能源和商業委員會主席Cathy McMorris Rodgers和高級委員Frank Pallone已要求白宮和能源部就此事進行簡報。

多個州級組織也宣布遭遇MOVEit漏洞相關的數據泄露事件伊利諾伊州、密蘇里州和明尼蘇達州表示正在調查可能影響數千人的與MOVEit有關的數據泄露事件。俄勒岡州和路易斯安那州的機動車部門確認受到了這些攻擊的影響。

路易斯安那州發表聲明稱,所有持有該州發行的駕駛執照、身份證明或車輛注冊證的居民的個人信息“可能”被竊取。俄勒岡州交通部確認,大約350萬持俄勒岡州身份證身份證明或駕駛執照對居民遭到數據泄漏。

根據CISA和FBI的評估,這次入侵是俄羅斯勒索軟件組織Clop所為。他們利用MOVEit軟件漏洞攻擊了多個地方政府、大學和企業。CISA高級官員表示,雖然只有少數聯邦機構受到了影響,但私營機構的初步報告顯示,至少有幾百家公司和組織受到了影響。安全廠商Emsisoft的威脅分析師Brett Callow稱,已統計到63名已知/確認受害者和數量不詳的政府機構

受到此次攻擊影響的軟件用戶包括美國伊利諾伊州、加拿大新斯科舍省和英國倫敦的公職人員,以及英國航空公司和英國廣播公司(BBC)。約翰·霍普金斯大學、佐治亞州大學系統和殼牌公司也發布了類似的被攻擊聲明。

根據GovSpend公司的數據,美國航空航天局(NASA)、財政部、衛生部、國防部等眾多聯邦政府機構購買了MOVEit軟件,但目前尚不清楚有多少機構正積極使用該軟件

Log4shell式災難:

一連串漏洞曝光

MOVEit是一款十分流行的商業文件傳輸工具,由美國上市公司Progress Software生產。此次遭利用的MOVEit SQL注入零日漏洞CVE-2023-34362。

CISA通報稱,Clop組織在5月27日開始利用該漏洞發起攻擊。該組織此前曾使用Accellion、GoAnywhere等多種文件傳輸工具的漏洞實施入侵。

Progress Software在6月1日修復了CVE-2023-34362。但6月9日又曝光了SQL注入漏洞CVE-2023-35036,該公司于次日修復。6月16日曝光了SQL注入漏洞CVE-2023-35708(基于第一個漏洞的補丁繞過),該公司于次日修復。

MOVEit發言人表示,目前尚未看到新漏洞被利用的跡象。Progress在公告中強調,所有MOVEit客戶應“立即采取行動,解決這個重大問題”。客戶需要先修補最初的漏洞,然后再應用最新的修復程序。CISA也呼吁各大組織閱讀Progress針對這個漏洞的公告。

第二個漏洞的披露者Huntress高級安全研究員John Hammond表示,推特用戶@MCKSys Argentina 在檢查此前研究成果時,找到了第三個漏洞。他們注意到,最新的修補程序仍然抵御不了其他攻擊方法,隨即發現了第三個零日漏洞。Clop勒索軟件黑客使用的攻擊方法涉及三個單獨的步驟,利用最新漏洞能減少一個步驟。他建議用戶繼續修補程序,而Progress建議完全關閉HTTP組件。

John Hammond指出,黑客可以通過多種方式攻擊MOVEit文件傳輸應用程序,因此發現更多問題“并不奇怪”。越來越多的安全研究人員正在詳細研究MOVEit軟件,試圖找到更多漏洞。在這一過程中,可能會繼續發現更多繞過技術。Huntress正與Progress密切合作,幫助后者更新、加固遺留代碼庫。

勒索軟件威脅態勢嚴峻

Clop組織此前聲稱對之前一波入侵負責。該組織表示對政府或警察辦公室竊取的數據不感興趣,而是專注于竊取商業信息。

美國網絡安全公司Cloudera的政府解決方案總裁Robert J. Carey指出,勒索軟件攻擊竊取數據很容易被出售給其他非法分子。

MOVEit的公司代表表示,他們已經與聯邦執法部門和其他機構合作,打擊網絡犯罪分子利用常見軟件產品的漏洞。

俄羅斯勒索軟件組織對政府機構的網絡犯罪行為并非個案,近期頻繁發生的勒索軟件攻擊已導致醫院、能源系統和城市服務等關鍵民用基礎設施陷入癱瘓。

一些攻擊主要出于財務動機,例如2021年影響全球多達1500家企業的勒索軟件攻擊。然而,最近幾個月,俄羅斯勒索軟件組織得到俄羅斯政府默許,針對支持烏克蘭的國家發起了政治色彩明確的攻擊。俄烏戰爭伊始,哥斯達黎加27個政府機構受到俄羅斯組織Conti的勒索軟件攻擊,該國總統被迫宣布全國緊急狀態。

早在俄烏戰爭之前,俄羅斯發起對網絡攻擊已成為美俄關系重要爭議點。2021年,美國總統拜登與俄羅斯總統普京會面時,白宮將這一問題列為首要討論議題。兩位總統會晤前一個月,一家據信來自俄羅斯的黑客組織對美國最大的燃油管道發動了勒索軟件攻擊,迫使運營商支付500萬美元恢復被竊取的數據。美國聯邦調查人員后來表示,他們通過網絡行動,追回了大部分贖金。


零日漏洞 網絡攻擊 勒索
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接