2021全球網絡空間安全態勢分析
新冠疫情所致遠程辦公和云端遷移的大潮,為網絡罪犯開辟了新的途徑。2021年,在遠程工作狀態影響下,世界各地的網絡攻擊急劇上升,勒索軟件、網絡釣魚、人為錯誤操作等導致的數據泄露不斷增加,全球范圍內網絡威脅依舊不斷。特別是勒索軟件的高度猖獗,在上半年的攻擊次數已達到3.047億,同比增長達151%,遠超2020年全年攻擊總數,對多國家、多行業、多領域造成不同程度的影響。
一、全球網絡沖突加劇,網絡雇傭軍興起
2021年,全球網絡空間局部沖突依舊不斷,國家級網絡攻擊頻次不斷增加,攻擊復雜性持續上升。同時,國家級網絡攻擊正與私營企業技術融合發展,網絡攻擊私有化的趨勢帶動了網絡雇傭軍行業的快速擴張,數量眾多的高素質、有組織的黑客團體受雇于國家或私人機構,對特定目標發動網絡襲擊。網絡攻擊與社會危機交叉結合,全球網絡對抗在底線試探中向新階段發展。
1 全球監聽門再現,涉及34國600多政要
7月,非政府組織“禁忌故事”(Forbidden Stories)與國際特赦組織(Amnesty International)聯手美國《華盛頓郵報》、英國《衛報》、法國《世界報》等17家媒體機構,共同披露以色列軟件監控公司NSO集團涉嫌向某些專制政府兜售手機間諜軟件飛馬(Pegasus)。
調查團指出,飛馬軟件自2016年起通過感染蘋果iPhone與谷歌安卓(Google Android)手機來讓客戶監聽并截取目標人物的信息、照片與電郵等,甚至秘密錄音、啟動話筒與鏡頭。
在5萬個遭監聽手機號碼中,包含法國總統、伊拉克總統、南非總統、摩洛哥國王等眾多國家元首、王室成員、部長、企業高管、記者,共涉及全球34個國家,超過600名政府官員與政客的號碼。
2 美國共和黨全國委員會被黑客入侵
7月,根據美國共和黨全國委員會(RNC)的一份聲明,網絡犯罪分子獲得了該委員會承包商Synnex的IT基礎設施的訪問權限。
RNC表示,雖然基礎設施遭到破壞,但沒有數據因網絡攻擊而丟失。在發生攻擊后,RNC立即阻止了Synnex帳戶對云環境的所有訪問,并與微軟合作對內部IT系統進行了審查。
據知情人士透露,這次襲擊來自一個與俄羅斯有關的名為APT 29或Cozy Bear的組織。如果攻擊來源得到確認,此次網絡活動將是俄羅斯APT組織于7月對美國發起的第二次重大網絡攻擊。
3 黑客攻擊聯合國計算機網絡并竊取數據
9月,聯合國秘書長發言人表示,不明身份的黑客于4月利用從暗網上購買的聯合國員工的失竊用戶名及密碼入侵了聯合國的計算機網絡系統,并竊取到大量可用于攻擊聯合國組織的機構內部數據。
網絡安全公司Resecurity表示,黑客掌握聯合國系統訪問權的最早日期為4月5日,截至8月7日他們在聯合國網絡上仍然保持活躍。這次黑客攻擊屬于偵察行為,黑客試圖找出關于聯合國計算機網絡架構設計的更多信息,并攻破了53個聯合國賬戶。
Resecurity公司網絡安全專家稱,“聯合國類的組織是網絡間諜活動中的高價值目標。攻擊者入侵的目的是竊取聯合國網絡中的大量用戶數據,以進一步進行長期的情報收集。”
4 俄羅斯APT組織使用新后門攻擊美、德等國
9月,security affair網站披露,思科Talos團隊(Cisco Talos)研究人員發現,至少從2020年開始,俄羅斯Turla APT組織使用了一個名為TinyTurla的新后門,對美國、德國和阿富汗進行了一系列攻擊。
研究人員發現TinyTurla能夠實現多種功能,例如上傳和執行文件和有效載荷,創建子進程,以及滲出數據。攻擊者使用一個.bat文件來傳遞后門,該文件以一個名為w64time.dll的服務DLL形式出現,但尚未發現TinyTurla后門是如何安裝在受害者系統上。
在塔利班接管該國政府以及美國及其盟國的所有軍隊撤出之前,威脅者攻擊了阿富汗實體,因此Talos推測此次攻擊目標可能是阿富汗政府。
5 以色列針對伊朗核設施進行破壞性網絡攻擊導致斷電
4月,伊朗啟動納坦茲核設施內近200臺IR-6型離心機,重啟其核研究。但次日,該核設施的配電系統即發生故障,導致大規模斷電。
以色列媒體Kan聲稱,以色列摩薩德是對伊朗納坦茲核設施進行網絡攻擊的幕后黑手,該行動導致核設施斷電。情報人士稱,網絡攻擊成功滲透了核設施的物理和網絡保護層,導致應急備用電源系統受到損害,引起了爆炸發生。據悉,伊朗納坦茲核設施受到的破壞是巨大的,至少需要9個月時間才能恢復。
6 伊朗APT組織瞄準美國、以色列國防公司
10月,微軟威脅情報中心(MSTIC)和微軟數字安全部(DSU)的研究人員發現了一個惡意活動集群(DEV-0343團伙、與伊朗相關),其目標是美國和以色列國防技術公司的Office 365用戶,如生產軍事級雷達、無人機技術、衛生系統和應急通信系統的國防公司。
研究人員稱,DEV-0343團伙于2021年7月下旬首次觀察到并開始追蹤,該團伙模擬火狐瀏覽器,使用托管在Tor代理網絡上的IP對250多個Office 365用戶進行大范圍密碼噴射,混淆其攻擊行為和基礎設施。結果顯示只有不到20個Office 365用戶被入侵,但DEV-0343團伙仍然在不斷改進技術以提高攻擊完成度。
DEV-0343團伙主要瞄準美國和以色列的國防技術公司、波斯灣港口或在中東有業務的全球海運和貨運公司。研究人員推測,攻擊者目的是獲得商業衛星圖像和航運計劃日志。
7 烏克蘭國安公開警告俄羅斯APT組織
11月,烏克蘭官方表示,俄羅斯聯邦安全局(FSB)是對其政府機構長期進行網絡攻擊的幕后黑手。
烏克蘭安全局(SSU)公布了5名俄羅斯APT組織Gamaredon的真實身份,并表示Gamaredon組織(烏方內部代號為Armageddon)的運營地點為克里米亞半島的塞瓦斯托波爾市,但他們的行動指令卻來自位于莫斯科的俄聯邦安全局信息安全中心。據悉,該團伙曾先后對1500多個烏克蘭政府部門開展過超5000次網絡攻擊。
為了證明其公告的可信度,烏安全局還發布了截獲自兩名Gamaredon成員間的通話內容,包括他們開展的攻擊活動以及對俄聯邦安全局工資的不滿情緒。這也是首次有公開證據支持,確認Gamaredon組織同俄聯邦安全局間的關系。
8 網絡間諜組織SideCopy攻擊印度政府和軍隊
7月,印度Quick Heal公司的威脅情報團隊指出,有網絡間諜組織正在攻擊印度政府和軍隊組織,以惡意軟件感染受害者。該組織被命名為“SideCopy”,早在2019年就已活躍,Seqrite 團隊在去年9月份首次發現該組織發動的釣魚攻擊。
思科Talos發布報告指出,自去年攻擊和攻擊工具集被曝光后,該組織并未退縮或停止行動。Talos團隊發現:
· SideCopy以印度政府和國防軍相關為郵件主題,發動魚叉式釣魚攻擊;
· 郵件含有惡意文件附件,如LNK文件、字體去RAR EXEs和基于MSI 的安裝程序,將遠程訪問木馬(RATs)安裝在受感染系統上;
· 該組織同時使用RATs和商用RATs;
· 感染受害者后,SideCopy操縱人員通常部署具有多種功能RAT插件,如文件枚舉工具、憑據竊取工具和鍵盤記錄器;
· SideCopy很多操作和APT36此前執行的攻擊活動有關,APT36 此前被指和巴基斯坦有關。
二、網絡攻擊持續增加,席卷全球多行業
2021年,新冠疫情迫使工作場所和運營環境發生巨大變化,針對全球組織的網絡攻擊激增。根據埃森哲公司發布的報告,2021年上半年全球網絡入侵活動量同比增長了125%。從行業角度看,政務、醫療、工業/制造業、金融、電信及交通等行業都成為了網絡攻擊的重點目標。尤其是能源行業,2021年針對能源行業員工的移動網絡釣魚攻擊增加了161%,而且該趨勢沒有放緩的跡象。
1 美國數十個政軍網站遭嚴重網絡攻擊
9月,安全研究人員Zach Edwards發現,近一年來約50個美國政軍網站被發現托管有色情及垃圾內容,多次反饋下線又重新出現。其中包括參議員Jon Tester網站、明尼蘇達州國民警衛隊網站等。
經分析,這些網站域名中出現色情內容問題的源頭是政府承包商Laserfiche Forms提供的通用軟件產品。Laserfiche旗下的電子表格(Forms)產品存在一個漏洞,給.gov與.mil域帶來了網絡釣魚誘餌,會將訪問者重新定向至惡意目的地,并可能配合其他漏洞共同發起攻擊,并允許攻擊者在擁有良好信譽的政府網站上推送惡意與垃圾內容。
后續,Laserfiche已經發布了針對此項漏洞的安全公告,并給出網站垃圾內容的清除說明。問題的根本原因在于未經身份驗證的文件上傳漏洞,未經身份驗證的外部人士可以訪問該表單,借此將文件上傳至其他用戶的Web門戶,這樣發布的內容就能在網絡上接受臨時訪問。
2 加拿大遭遇史上最嚴重網絡攻擊
10月,加拿大紐芬蘭和拉布拉多省的衛生網絡遭到網絡攻擊,導致多個地方衛生系統癱瘓,全省數千人的醫療預約被取消。其中,紐芬蘭和拉布拉多省東部地區衛生局受到的沖擊最大,由于無法訪問電子郵件、診斷圖像及實驗室結果等信息,所有非急診預約都被取消,醫生只能依靠紙筆記錄繼續為患者提供緊急服務。該省衛生部長透露,此次攻擊系由貝爾公司運營的網絡數據中心被破壞,包括主要和備用計算機系統。直至11月4日,東部地區衛生局內部電子郵件系統才重新上線運行。
官方披露稱,黑客竊取了近14年以來眾多東部衛生系統患者與員工的個人信息,以及拉布拉多Grenfell Health近9年以來的敏感內容。其中,患者信息包括姓名、地址、醫保編號、就診原因、主治醫師與出生日期等,員工信息則可能包括姓名、地址、聯系信息與社會保險號碼。
安全專家表示,這起針對紐芬蘭及拉布拉多衛生系統的網絡攻擊是加拿大歷史上最嚴重的一次,其影響程度與后果嚴重性都創造歷史記錄。因此,專家建議將此次攻擊升級到國家安全層面。
3 愛爾蘭衛生系統遭遇史上最嚴重網絡攻擊
5月,愛爾蘭衛生服務執行局(HSE)宣布遭受重大勒索軟件攻擊,隨后關閉了其大部分計算機系統。IT系統的關閉導致所有HSE的電子郵件無法使用,新冠疫苗的在線注冊網站無法運行,愛爾蘭全科醫生的轉診系統和密切接觸者檢測系統關閉。
入侵愛爾蘭醫療系統的軟件被稱為“雙重勒索”軟件,因為它在加密控制系統信息的同時還威脅要暴露部分系統信息。其威脅要永久封鎖一個系統或公開受害者的數據,除非向黑客支付贖金2500萬美元。
HSE已接受網絡安全專家以及警方、國防軍和政府的支持。愛爾蘭國家網絡犯罪局正在與國家網絡安全中心(NCSC)等其他機構合作,試圖控制局面。NCSC已經啟動了其危機管理計劃,預計NCSC將與歐洲刑警組織等國際警察機構就此案進行聯絡,并與歐盟網絡安全機構Enisa進行聯絡。
4 美國一地區遭遇火災與網絡攻擊雙重打擊
6月,美國海外島嶼、自治邦波多黎各的新晉電力供應商Luma能源公司,其位于圣胡安的Monacillo變電站發生大火,導致波多黎各出現大面積停電。當地官員指出,截至目前停電事件已經影響到超過100萬客戶,暫未包括受到首府圣胡安變電站爆炸及火災影響的群體。同日,一次大規模DDoS攻擊中斷了Luma公司的在線服務,該DDoS攻擊每秒對其客戶門戶與移動應用發出200萬次訪問,嚴重影響到眾多用戶訪問賬戶信息。
現任總督Pedro Pierluisi透露,波多黎各邦內及聯邦政府執法部門正著手調查這兩起事故,目前尚不清楚火災與DDoS攻擊之間是否存在關聯。
5 能源巨頭殼牌公司遭受Accelion黑客攻擊
3月,能源巨頭殼牌公司(Shell)遭遇黑客攻擊。公司表示,攻擊者利用了安全廠商Accellion的文件傳輸程序FTA的零日漏洞,已經訪問了一些個人數據以及屬于殼牌利益相關方和子公司的數據。殼牌表示,該事件暫未影響到殼牌的IT系統本身,殼牌公司正在與當局和監管機構合作調查這一事件。
盡管在殼牌公司的聲明中沒有披露攻擊者的身份,但Accellion公司和另一安全廠商Mandiant 于2月份發表的聯合聲明更加清楚地說明了這些攻擊,并將其與FIN11網絡犯罪組織聯系起來。Clop勒索軟件團伙還一直在使用Accellion FTA零日漏洞破壞和竊取多家公司的數據。
6 保險巨頭安盛遭勒索軟件襲擊
5月,保險巨頭安盛集團(AXA)在泰國、馬來西亞、中國香港和菲律賓的分公司遭到了勒索軟件網絡攻擊。同時,Avaddon勒索軟件集團聲稱對襲擊保險巨頭安盛亞洲分支機構負責,并在其泄密網站上公布竊取的3TB敏感數據,包括客戶的醫療報告、身份證復印件、銀行賬戶報表、索賠表格、付款記錄、合同等。
此外,針對安盛全球網站的分布式拒絕服務(DDoS)正在進行,這使得安盛的全球網站在一段時間內無法訪問。安盛尚未評論Avaddon要求的贖金數額。
7 電信巨頭遭DDoS攻擊致全國網絡關閉
10月,韓國三大通信服務提供商之一的KT公司,其有線及無線等網絡服務突然中斷,造成韓國全國范圍內出現大面積網絡服務中斷,中斷時間持續約1小時左右。韓國電信公司KT表示,全國范圍內暫時關閉其網絡是由大規模分布式拒絕服務 (DDoS)攻擊造成的。韓國警方表示,已針對相關情況展開調查。
此次服務中斷期間,用戶無法使用信用卡、交易股票或訪問在線應用程序。一些大型商業網站在停電期間也被關閉,包括證券交易系統、飯店結算系統以及居民家中的網絡、手機信號等服務均受到影響。使用電信網絡的客戶在大約 40 分鐘內無法訪問互聯網。
8 航旅業超級供應商SITA被黑
3月,管理著全球主要航空公司的機票處理和常旅客數據的IT服務公司——SITA公司宣布服務器被黑客入侵,攻擊者使用了高度復雜的攻擊手段,全球多家知名航空公司和航旅企業的顧客數據遭泄漏。
SITA公司目前管理超過400家航空公司,包括星空聯盟和OneWorld會員。目前大約有十二家航空公司已經通知乘客,攻擊者已經入侵了SITA的旅客服務系統(PSS)來訪問他們的某些隱私數據,PSS是SITA用來處理乘客從訂票、登機和行李控制的一系列交易的關鍵業務系統。
有業內人士估計受影響旅客數超過210萬,其中大多數是漢莎航空集團的Miles&More飛行常旅客獎勵計劃的參與者,該計劃是歐洲最大的常旅客計劃。
三、勒索軟件全面升級,影響上升至國家安全
2021年,受比特幣等虛擬加密貨幣飆漲刺激,DDoS勒索攻擊抬頭,攻擊方式從大規模通用攻擊轉變為更具針對性的攻擊,運營模式升級為“三重勒索”。政府實體、國防承包商、關鍵基礎設施組織、金融機構等組織機構已經成為勒索軟件團伙的主要攻擊目標。美國現已將勒索攻擊提升至與恐怖襲擊同等級別。2021年上半年至少發生了1200多起勒索軟件攻擊事件,與去年全年發生數量持平,平均贖金從去年的40萬美元提高到今年的80萬美元。
1 勒索軟件切斷半個美國的燃油管道
5月,美國最大燃油管道商科洛尼爾(Colonial Pipeline)遭高強度勒索軟件攻擊,導致東部沿海各州關鍵燃油網絡被迫關閉,美國交通部宣布進入緊急狀態。
作為美國最大的燃油運輸管道商,科洛尼爾負責運營美國東海岸地區約45%的液體燃料管道運輸供應服務,覆蓋5000萬用戶。事件發生后,為防止事態擴大,科洛尼爾被迫暫停輸送業務。拜登政府成立了緊急工作小組,宣布在阿拉巴馬等東部17個州和華盛頓特區實施緊急狀態,并由能源部牽頭聯合聯邦調查局、國土安全部、火眼公司等機構共同對該事件進行調查取證,全力幫助科洛尼爾恢復運營。
后續,聯邦調查局確認名為“黑暗面”(DarkSide)的俄羅斯犯罪集團是此次事件幕后黑手。關于攻擊的起因,英國網絡安全公司Digital Shadows認為是,DarkSide購買了遠程桌面軟件的帳戶信息,新冠疫情期間科洛尼爾工程師在家中通過遠程訪問管道控制系統進行辦公,致使其賬戶遭受DarkSide入侵。
2 勒索軟件連環攻擊16家美國醫療和應急響應機構
5月,聯邦調查局(FBI)發布安全通告指出,勒索軟件團伙Conti試圖攻擊破壞十多家美國醫療和應急機構的網絡。
FBI網絡部門聲稱:“FBI在去年一年內至少發現了16起針對美國醫療和應急響應機構的Conti勒索軟件攻擊,包括執法機構、緊急醫療服務、911調度中心和市政當局。Conti在全球攻擊了超過400家醫療和應急響應機構,其中290多個位于美國。”
根據FBI說法,Conti贖金要求是針對每位受害者量身定制的,最近的要求高達2500萬美元。如果勒索贖金在八天內沒有支付,Conti勒索軟件運營商還將使用互聯網語音(VOIP)服務或加密電子郵件服務與受害者聯系。
3 勒索軟件攻擊致使美國一市短暫步入“紙質社會”
5月,美國俄克拉何馬州塔爾薩市遭受勒索軟件攻擊,該攻擊影響了其政府網絡,迫使政府關閉了官方網站。受攻擊影響,該城市的居民無法通過電子郵件訪問在線賬單支付系統、公用事業賬單和網絡服務。
攻擊事件發生后,安全人員已經關閉了受影響的內部系統,911等緊急服務和城市公共安全響應將繼續正常運行。塔爾薩市向當局報告了這一事件,并正在外部安全專家的協助下調查感染情況。此次攻擊影響了基礎設施的一小部分,內部專家正試圖從備份中恢復受影響的系統。
但在此次攻擊事件中,黑客獲得了超過1.8萬份城市文件,泄露文件大多是警方傳票和部門內部文件,包括個人姓名、出生日期、地址和駕照號碼等個人信息。
4 美國核武器合同商遭勒索軟件攻擊
6月,美國能源部核安全管理局(NNSA)的核武器合同商Sol Oriens公司遭遇REvil勒索軟件攻擊,攻擊者揚言不繳納贖金就將核武器機密信息泄露給其他國家的軍方。
據透露,Sol Oriens的內部信息已經被發布到REvil的暗網博客上。但目前來看,暗網上披露的泄漏數據并不涉及高度機密的軍事秘密,只包括了2020年9月的公司工資單,列出了少數員工姓名、社會保障號碼和季度工資。還有一個公司合同賬本,以及工人培訓計劃的備忘錄(備忘錄頂部有能源部和NNSA國防計劃的標志)的一部分。REvil是否得到了美國核武器的更敏感、更秘密的信息還有待觀察。但是,黑客從核武器承包商那里拿到任何信息都足以讓人深感擔憂。
5 美國軟件商Kaseya遭REvil勒索軟件供應鏈攻擊
7月,美國IT系統管理公司卡西亞(Kaseya)發布聲明,確認其下產品KASEYA VSA軟件存在漏洞,已被REvil黑客勒索組織利用攻擊,目前已經關閉了其SaaS服務器,并且建議所有客戶關閉VSA服務器。
Kaseya 為托管服務提供商(MSP)提供遠程管理軟件服務,已知受影響的托管服務提供商包括Synnex Corp.和Avtex LLC,由于MSP提供商的客戶分布全球,導致此次事件影響范圍頗廣。目前瑞典最大連鎖超市之一的Coop受此次供應鏈勒索攻擊事件影響,被迫停止全國約800多家商店服務。
此次攻擊中,攻擊者利用漏洞發送惡意 Kaseya VSA 軟件更新,該更新被打包了一種勒索軟件,可以加密受感染系統上的文件。一旦感染了受害者系統,惡意軟件試圖禁用各種Microsoft Defender for Endpoint保護,包括實時監控、IPS、腳本掃描、網絡保護、云樣本提交、云查找和受控文件夾訪問。在部署勒索軟件之前,VSA 管理員帳戶顯然已被禁用。
美國Corellium公司首席運營官馬特·泰特、前英國政府通訊總部信息安全專家馬特·泰特發表評論,Kaseya遭勒索攻擊事件可能是今年影響最大的網絡安全事件,甚至比美國Colonial管道勒索軟件事件以及太陽風(SolarWinds)入侵影響更大。
6 勒索軟件襲擊或導致美國食品供應鏈中斷
9月,美國最大農業合作社之一的New Cooperative遭到Black Matter勒索軟件攻擊,勒索軟件團伙聲稱已經獲取了該合作社的財務和人力資源信息、網絡信息和密碼、研發結果以及Soilmap軟件(農業生產者技術平臺)的源代碼,并要求合作社為解密密鑰支付590萬美元。
同月,美國明州的農業合作社Crystal Valley同樣遭Black Matter勒索軟件襲擊,此次攻擊致使合作社所有計算機系統關閉,運營被迫中斷。兩次針對農業合作社的攻擊可能會直接導致食品供應鏈中斷,最終引發意外后果甚至有可能帶來全國糧食短缺。
安全專家認為,農業組織技術債務較重,小型組織常外包技術和安全事務,面臨較高的安全風險。兩輪攻擊表明接下來還將會出現更多針對食品體系的廣泛供應鏈攻擊或行為。
7 水處理設施成為勒索軟件重點攻擊目標
10月,美國多家機構包括FBI、NSA、CISA和EPA聯合發布網絡安全咨詢報告指出,水處理等關鍵基礎設施領域正成為勒索軟件重點攻擊的目標。報告重點披露了三起由勒索軟件引起的美國水和廢水處理設施 (WWS) 攻擊事件,在所有攻擊中,勒索軟件都對受感染系統文件進行了加密,其中一起事件中攻擊者破壞了用于控制監控和數據采集(SCADA)工業設備的系統。
3月,網絡攻擊者對位于內華達州的WWS設施使用了一種未知的勒索軟件變體,該勒索軟件影響了受害者的SCADA系統和備份系統。該SCADA系統提供可見性和監控,但不是完整的工業控制系統(ICS)。
7月,網絡攻擊者使用遠程訪問將ZuCaNo勒索軟件部署到緬因州WWS設施處理廢水的SCADA計算機,此次攻擊導致處理系統切換到手動模式,直到使用本地控制和更頻繁的操作員巡查,才恢復SCADA計算機。
8月,攻擊者對位于加利福尼亞WWS設施實施Ghost變體勒索軟件攻擊,該勒索軟件變種已在系統中存在大約一個月,并在三個SCADA服務器顯示勒索軟件消息時被發現。
8 北約機密云平臺疑遭黑客入侵
5月,黑客入侵一家名為“Everis”的西班牙企業及其位于南美洲的子公司,成功竊取多套數據集,包括與北約云計算平臺相關的源代碼及文檔。除了拿到數據副本之外,黑客團伙還宣稱已經刪除了公司內的原始數據,并有能力修改代碼內容甚至在項目中植入后門。攻擊方還打算勒索Everis公司,宣稱要把數據發送給俄羅斯情報部門。
這套平臺的全稱叫“北約面向服務架構與身份訪問管理(SOA & IdM)”項目,是北約IT現代化戰略中的四大核心項目之一。這項IT現代化戰略被命名為“北極星”計劃,旨在對北約的IT基礎設施進行整體合并。根據Everis與北約的公開文件,這個架構與管理項目將構建一套集中平臺,負責實現安全保障、集成化、注冊與存儲庫、服務管理、信息發現與托管等功能。
根據黑客說法,其攻擊出于政治動機,以破壞方式推遲北極星計劃為目的,并向Everis方面開出了超過10億歐元的贖金要求。
9 勒索軟件首次成功攻擊國家核心金融系統
8月,巴西政府發布聲明,其國庫內部秘書處網絡遭遇勒索軟件攻擊。根據經濟部公告,政府立即采取了初步措施,并召集了聯邦警察,以遏制勒索軟件的影響。迄今為止的初步評估顯示,此次行動沒有損害國庫秘書處的結構系統,例如綜合財務管理系統(SIAFI)和與公共債務相關的系統。目前暫無任何組織和個人表示對此次攻擊負責,但巴西政府也不排除未來一段時間內會收到勒索信件的可能。這是勒索軟件首次成功攻擊國家核心金融系統,勒索軟件已成為全球網絡空間安全的重大破壞因素之一。
在此次巴西國庫遭遇攻擊之前,巴西高級選舉法院也曾遭遇重大網絡攻擊,該襲擊使該法院的系統停頓了兩個多星期。就其復雜性和所造成損害的范圍而言,當時該事件被認為是有史以來針對巴西公共部門機構精心策劃的最全面的攻擊。
四、安全漏洞威脅嚴峻,漏洞利用武器化
2021年,安全漏洞增長趨勢漸緩,但超高危漏洞、高齡漏洞比率大幅增加,漏洞影響面逐步擴大。根據Risk Based Security公司報告指出,2021年上半年披露超1.25萬個漏洞,谷歌、微軟、甲骨文三大科技巨頭貢獻了絕大部分漏洞,其中仍有多數漏洞是可遠程利用但根本沒有任何解決方案。此外,隨著網絡犯罪團伙日益職業化,勒索軟件組織將多個漏洞利用程序添入武器庫,積極利用各種未修補漏洞和零日漏洞,提高入侵系統網絡的成功率,以進一步實施敲詐勒索。
1 阿帕奇Log4j2驚曝“核彈級”漏洞
12月,阿帕奇(Apache)Log4j2組件被曝存在嚴重遠程代碼執行漏洞,可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害。由于此次漏洞組件屬于Java產品的基礎組件,Log4j2本身的使用量、影響量幾乎覆蓋全行業,相關開源社區將其定義為“核彈級”漏洞。
隨后,coinminers、DDOS惡意軟件和一些勒索軟件便開始利用該漏洞開展相關攻擊。據悉,全球超過40%的企業網絡都遭遇了漏洞利用攻擊,包括蘋果、谷歌、亞馬遜、特斯拉等大量互聯網科技企業。同時,比利時國防部已確認其遭受到了涉及 Log4j2 漏洞的網絡攻擊。
該漏洞公示后的幾天內,網絡安全公司即檢測到數十萬次針對Log4j應用的網絡攻擊。安全專家稱,Log4j2是2021年最大的網絡安全災難。
2 Sudo漏洞影響全球Unix/Linux系統
1月,Qualys網絡安全公司研究小組發現Sudo中一個隱藏了十年的堆溢出漏洞,包括Linux在內的幾乎所有Unix主流操作系統都存在該漏洞。通過利用該漏洞,任何沒有特權的本地用戶都可以使用默認的Sudo配置在易受攻擊的主機上獲得root特權,而無需密碼。
該漏洞存在于2011年7月發布的Sudo程序中,至今已滿10年。因此,該漏洞或將影響過去十年發布的所有Sudo版本。Qualys安全研究人員已經在多個Sudo版本中發現、驗證該漏洞的多種利用形式,并稱該漏洞可能會被濫用攻擊的第二階段幫助入侵者獲得root權限,最終獲得服務器控制權。
3 Zyxel安全產品爆出管理員級別后門
1月,荷蘭網絡安全公司Eye Control的安全研究人員發現,超過10萬個合勤科技(Zyxel)公司的防火墻、接入點控制器和VPN網關產品中存在管理員級后門賬戶。這些在二進制代碼中硬編碼的管理員級別賬戶使攻擊者可通過Web管理面板或SSH界面獲得對設備的root訪問權限。
Zyxel固件中發現的后門被稱為關鍵固件漏洞,網絡罪犯通過濫用后門賬戶可以訪問易受攻擊的設備并感染內部網絡以發起其他攻擊。攻擊者可以使用管理特權登錄設備,并輕易破壞網絡設備。
該漏洞影響許多Zyxel設備,主要是運行4.0版的設備。受影響的模塊還包括企業級Zyxel設備,包括統一安全網關(USG)、ATP系列、NCX系列、USG FLEX系列和VPN系列。
4 AirDrop漏洞使十億人面臨數據泄露風險
4月,德國達姆施塔特工業大學的一個漏洞調查小組曾對AirDrop(iOS和macOS的臨時無線文件共享服務)進行了逆向工程,結果發現發送方和接收方可能會在文件傳輸過程中泄漏聯系人信息,據說有十億以上的人面臨這種隱私泄漏風險。
黑客只要待在距離目標iPhone非常近的范圍內就能獲得一張公開分享表,用戶的個人信息就會泄露。雖然AirDrop為了確定對方是不是已知聯絡人,會利用一種雙向機制來對比雙方的電話號碼以及電郵地址,但是黑客只要使用簡單的技巧就可以快速破解,從而得到用戶信息。所以,研究人員認為這個漏洞非常嚴重,很大程度上造成了隱私泄露,這對于安全性極高的iPhone機來說,無疑是一個大漏洞。
一直到現在Apple依舊沒有確認這個問題存在,而且也沒有著手研究解決方案,甚至說蘋果并不認為這個漏洞會對用戶造成隱私泄露的危害。但是,經過研究人員的研究,發現目前超過15億部Apple設備存在隱私攻擊的風險,除非用戶直接關掉AirDrop,才能夠確保自己的隱私不會泄露。
5 高通芯片高危漏洞影響全球40%手機
5月, 高通公司的移動調制解調器MSM芯片(包括最新的5G版本芯片)中發現了一個高危安全漏洞,攻擊者可以利用該漏洞獲取手機用戶的短信、通話記錄、監聽對話甚至遠程解鎖SIM卡。但是,該漏洞的利用無法被常規系統安全功能檢測到。
高通MSM芯片包含2G、3G、4G和5G功能的一系列片上系統(SoC),全部都存在該高危漏洞。目前全球約40%的手機都使用了MSM芯片,其中包括三星、谷歌、LG、OnePlus和小米在內的多家手機供應商的產品。
根據Check Point研究人員的說法,如果該漏洞被利用,攻擊者將能使用安卓操作系統本身作為向手機中注入惡意和隱藏式代碼的入口點。
6 FragAttacks漏洞橫掃全球所有WiFi設備
5月, 紐約大學阿布扎比分校的安全研究員發現了一種堪稱“核彈級”的Wi-Fi安全漏洞——破片和聚合攻擊(FragAttacks),該漏洞存在于1997年Wi-Fi技術誕生以來的所有Wi-Fi設備(包括計算機、智能手機、園區網絡、家庭路由器、智能家居設備、智能汽車、物聯網等)。
FragAttack是一組漏洞,其中三個影響大多數WiFi設備,屬于Wi-Fi 802.11標準幀聚合和幀分段功能中的設計缺陷,而其他漏洞是Wi-Fi產品中的編程錯誤。
黑客只要在目標設備的Wi-Fi范圍內,就能利用FragAttacks漏洞竊取敏感用戶數據并執行惡意代碼,甚至可以接管整個設備。
7 Unicode編譯器漏洞威脅全球軟件代碼
10月,劍橋大學研究人員發現了一個可影響當今大多數計算機軟件代碼編譯器和軟件開發環境的漏洞。這個漏洞來自數字文本編碼標準Unicode的一個組件,Unicode目前在154種不同的編程語言腳本中定義了超過14.3萬個字符。
簡而言之,幾乎所有的編譯器(將人類可讀的源代碼轉換為計算機可執行的機器代碼的程序)都容易受到惡意攻擊。在這種攻擊中,攻擊者可以在不被發現的情況下將有針對性的漏洞引入任何軟件。該漏洞的披露由多個組織協調完成,其中一些組織現在正在發布漏洞緩解更新。
通過將Unicode Bidi控制字符注入注釋和字符串中,攻擊者可以在大多數現代計算機語言中生成句法有效的源代碼,從而對源代碼實施新型供應鏈攻擊。然后,這樣的攻擊對于人類代碼審查人員來說可能很難檢測到。
研究人員敦促依賴關鍵軟件的政府和公司確定其供應商的安全態勢,向他們施加壓力以部署足夠的防御,并確保工具鏈中任何一個環節都被覆蓋。
8 美英澳聯合發布2020-2021年被利用最多的30個漏洞
7月,美國網絡安全和基礎設施安全局 (CISA)、美國聯邦調查局 (FBI)、澳大利亞網絡安全中心 (ACSC)和英國國家網絡安全中心 (NCSC)聯合發布安全公告,列出了2020年至2021年間被利用次數最多的安全缺陷。
安全公告指出,這些漏洞影響大量產品,如 VPN 設備、郵件服務器、企業Web應用和桌面軟件的網絡訪問網關。然而,該聯合報告強調威脅行動者一般會利用最近發布的漏洞,漏洞一旦被公開,威脅行動者就會快速武器化安全缺陷。
第一份清單說明2020年利用頻率最高的漏洞:
· CVE-2019-19781:Citrix Netscaler,目錄遍歷漏洞
· CVE-2019-11510:Pulse Secure Connect VPN,未認證任意文件泄露漏洞
·CVE-2018-13379:Fortinet FortioOS Secure Socket Layer VPN,未認證目錄遍歷漏洞
· CVE-2020-5902:F5 Big IP,流量管理用戶接口遠程代碼執行漏洞
· CVE-2020-15505:MobileIron Core & Connector,遠程代碼執行漏洞
· CVE-2020-0688:Microsoft Exchange,內存損壞/遠程代碼執行漏洞
· CVE-2019-3396:Atlassian Confluence Server Widget Connector,遠程代碼執行漏洞
· CVE-2017-11882:Microsoft Office,內存損壞/遠程代碼執行漏洞
· CVE-2019-11580:Atlassian Crowd and Crowd Data Center,遠程代碼執行漏洞
· CVE-2018-7600:Drupal Core Multiple,遠程代碼執行漏洞
· CVE-2019-18935:Telerik UI for ASP.NET AJAX,不安全的反序列化
· CVE-2019-0604:Microsoft Share Point,遠程代碼執行漏洞
· CVE-2020-0787:Windows Background Intelligent Transfer Service, 提權漏洞
· CVE-2020-1472:Windows Netlogon,提權漏洞
第二份清單說明2021年利用頻率最高的漏洞,按廠商分類:
· Microsoft Exchange:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065
· Pulse Secure:CVE-2021-22893、CVE-2021-22894、CVE-2021-22899、CVE-2021-22900
· Accellion:CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104
· VMware:CVE-2021-21985
· Fortinet:CVE-2018-13379、CVE-2020-12812、CVE-2019-5591
9 MITRE發布2021年度最重要的硬件漏洞排行
10月,MITRE公司發布了其維護的CWE硬件漏洞2021年度排行,上榜的12個硬件漏洞是其組織的專家團隊按照其自研的方法體系進行定性和定量評分選出來的。這是硬件漏洞是同類排行中的第一個,也是硬件CWE 特別興趣小組(SIG)內部合作努力的結果,SIG是作為學術界和政府代表硬件設計、制造、研究和安全領域的組織的個人社區論壇。
根據CWE標識符,2021年CWE最重要的硬件漏洞排行如下:
· CWE-1189:片上系統 (SoC) 上共享資源的不當隔離
· CWE-1191:具有不當訪問控制的片上調試和測試接口
· CWE-1231:鎖定位修改不當預防
· CWE-1233:具有丟失鎖定位保護的安全敏感硬件控制
· CWE-1240:使用具有風險實施的加密原語
· CWE-1244:暴露于不安全調試訪問級別或狀態的內部資產
· CWE-1256:軟件接口對硬件功能的不當限制
· CWE-1260:受保護內存范圍之間重疊處理不當
· CWE-1272:調試/電源狀態轉換前未清除的敏感信息
· CWE-1274:對包含引導代碼的易失性內存的不當訪問控制
· CWE-1277:固件不可更新
· CWE-1300:物理側信道保護不當
另外,CWE團隊公布五個額外需要關注的漏洞:
· CWE-226:重用前未刪除資源中的敏感信息
· CWE-1247:針對電壓和時鐘毛刺的不當保護
· CWE-1262:寄存器接口訪問控制不當
· CWE-1331:片上網絡 (NoC) 中共享資源的不當隔離
· CWE-1332:錯誤處理導致指令跳過
五、數據泄露再創新高,數據安全引人注目
2021年,全球數據泄露整體形勢依舊嚴峻,泄露事件頻次、數量再創新高,全年數據泄露量同比增長達27%,其中多數泄露事件涉及勒索軟件攻擊。從泄露行業看,醫療保健、金融保險、工業制造、社交媒體、公共基礎設施等行業成為數據泄露重災區;從泄露類型看,個人身份信息泄露仍高居首位。
1 美軍事承包商再遭勒索數據被竊
3月, Babuk勒索軟件團隊運營商(又稱Babyk)從美國主要軍事承包商之一的Prototype Development(PDI)公司竊取了700GB的機密信息。Babyk勒索軟件在暗網發布了從PDI公司下載的公司內部文件,其中包含為美國空軍、海軍和特征作戰司令部開發的武器控制技術和輔助設備文件。
Babyk勒索軟件團隊對此表示,由于該公司安全系統中的重大問題,獲取的所有文件都是公開可用的,其中包括:與第三方的合同(保密協議和軍事文件)、客戶信息(姓名、信用卡)、員工信息(地址、電話、社保碼、醫療信息)等。Babyk團隊發布了約120M大小的文件,包含了PDI集團國防和航空航天業第一部分CC卡數據。
2 美國防承包商公開承認數據泄露
11月,美國國防承包商Electronic Warfare Associates披露黑客入侵他們的電子郵件系統,并竊取包含個人信息的文件后發生的數據泄露事件,泄露信息包括通知接收者的姓名、社會安全號碼 (SSN) 和駕駛執照信息。目前尚不清楚被盜信息是否僅影響公司員工,以及是否在事件期間技術文件也被盜。
Electronic Warfare Associates是美國通信、訪問控制、模擬、培訓、管理、測試和監控系統(雷達)高科技國防硬件和軟件解決方案的專家,為其客戶提供專業服務和專業產品。其中許多產品是為高度敏感的客戶制造的,包括美國國防部(陸軍、海軍、空軍、DARPA、OSD)、司法部和國土安全部 (DHS)。隨著EWA在內部開發和設計這些產品,公司電子郵件系統的數據泄露也可能泄露軍事技術機密。
3 17國1680萬條海關數據泄露
6月, Cyble網絡安全公司研究人員獲得了一個配置錯誤的彈性數據庫,其中包含1680萬條海關數據記錄,泄露的數據包括商業和海關相關信息。該事件涉及阿根廷、智利、哥倫比亞、哥斯達黎加、厄瓜多爾、英國、印度、韓國、巴基斯坦、巴拿馬、巴拉圭、秘魯、俄羅斯、烏克蘭、烏拉圭、美國和委內瑞拉,總計涉及17個國家。
泄露的數據包含敏感信息,包括:進口商注冊日期、進口商詳細信息,(姓名、地址、電話號碼和電子郵件 ID)、產品描述和數量、商品HS編碼、單價、供應商名稱和地址等信息。受此次泄漏影響的進口商品數量為11.8萬件,暴露的國際標準化編碼總數為3.87萬條。
泄露的信息有可能揭示競爭對手的策略和定價細節。除此之外,網絡犯罪分子可能會進一步濫用它,對受影響的進口商和出口商發起有針對性的網絡釣魚攻擊。
4 84億密碼記錄庫泄露
6月,某黑客論壇發布了一個100GB的txt文件,其中含有84億條密碼記錄。據發布用戶稱,該集合中的所有密碼長度都在6-20個字符之間,并移除了所有的非ASCII碼字符和空格。該用戶稱其中包含82億密碼記錄,但研究人員檢查發現其中包含84.59億條記錄。
論壇用戶將其命名為RockYou2021,可能是參考了2009年泄露的RockYou數據集,其中有3200萬條明文密碼記錄泄露。這84億條唯一的密碼集的密碼和其他包含用戶名、郵箱地址、密碼的密碼集可以組合使用,因此攻擊者可以使用RockYou2021數據集來進行詞典攻擊和一系列的暴力破解攻擊。
5 網絡安全公司Cognyte泄露50億條數據
6月,Comparitech公司安全研究人員在網上發現了一個由網絡安全分析公司Cognyte運營的不安全數據庫,該數據庫采集了從一系列在線數據泄漏事件中收集的約50億條記錄,并且無需身份驗證即可訪問。
該數據庫存儲的數據是Cognyte公司網絡情報服務的一部分,用于提醒客戶注意第三方數據泄漏,但用于交叉檢查已知數據泄漏事件的個人信息的數據庫本身已暴露。泄露的數據包括姓名、密碼、電子郵件地址和泄漏的原始來源。
6 供應商被黑使日本政府大量敏感數據泄露
5月,日本公共廣播公司NHK報道,黑客攻擊了富士通公司開發的信息共享平臺ProjectWEB,多個日本政府部門的敏感數據泄露。目前已知受影響的機構包括國土交通省及基礎設施、運輸和旅游部、外務省、內閣秘書處及成田國際機場。
富士通指出,攻擊者獲得了對使用ProjectWEB項目的未經授權訪問。盡管此次攻擊背后的技術細節尚未公開,但業界人士猜測可能與此前曝光的Accellion公司文件傳輸工具漏洞有關。
據悉,攻擊者已經成功接觸到至少76000個郵箱地址與大量專有信息。泄露數據包括內閣秘書處網絡安全中心信息系統數據、成田機場空中交通管制數據域航班時刻表、構建數字政府的討論資料等。
7 以色列最嚴重數據泄露事件
3月,以色列經濟學家報報道稱,黑客入侵了選舉應用軟件Elector背后的開發和運營公司,并竊取了大量數據。目前,包括執政黨利庫德黨在內的多個黨派都在使用這款軟件。Elector公司已經收到威脅消息,黑客表示除非立即停止運行Elector應用,否則他們將公開竊取到的敏感數據。
此次公開的文件包含約652萬位合格選民的姓名與投票編號,以及超過300萬以色列公民的詳細個人信息,包括姓名、電話號碼、身份證號碼、家庭住址、性別、年齡與政治傾向等。此次數據泄露意味著超2/3的以色列公民受這次事件的影響。
8 全球最大職業社交網站發生史上最大規模數據泄露事件
6月,全球最大職業社交網站領英被曝發生史上最大規模的數據泄露事件。研究人員發現超過7億領英用戶的數據在暗網平臺出售,其中包含了一個100萬領英用戶的樣本數據集。泄露樣本數據包括個人姓名、郵箱、電話號碼、家庭住址、職業經驗和背景信息、工資數據、其他社交媒體賬號和用戶名等。
領英對此事件回復,通過初步分析發現部分數據都是通過領英API獲取的,其余部分數據是來源于其他渠道。
