聯合國遭網絡入侵，大量內部數據或泄露

據報告該事件的安全公司Resecurity稱，攻擊者可能使用了暗網泄露的聯合國員工賬戶，并竊取了大量內部數據（聯合國未予置評）；

攻擊者的身份和動機均未知，泄露賬號在暗網僅售1000美元，未開啟二次驗證。

今年早些時候，黑客成功入侵聯合國的計算機網絡，并竊取到大量可用于攻擊聯合國組織的機構內部數據。

黑客獲取聯合國網絡訪問權的方法似乎非常簡單：他們很可能使用了從暗網上購買到的聯合國員工的失竊用戶名與密碼。

聯合國秘書長發言人斯特凡·杜加里克昨天（9月9日）在一份聲明中表示：“我們可以確認，不明身份的攻擊者能夠在2021年4月入侵聯合國的部分基礎設施。” “聯合國經常成為網絡攻擊的目標，包括持續的入侵行動。我們還可以確認，已經發現并正在響應與之前的違規行為有關的進一步攻擊。”

聯合國和它的關聯機構之前也曾淪為黑客攻擊的目標。2018年，荷蘭與英國執法部門聯手挫敗了俄羅斯對禁止化學武器組織實施的網絡攻擊，當時該組織正在調查俄羅斯在英國本土使用致使神經毒劑。據福布斯報道，2019年8月，在一次針對微軟SharePoint平臺已知漏洞的網絡攻擊中，聯合國“核心基礎設施”遭到破壞，在外部機構曝光前這次事件一直沒有公開披露。

泄露賬號未開啟二次驗證，聯合國內部數據或泄露

泄露憑證屬于聯合國專有項目管理軟件Umoja上的某個賬戶。據發現此次事件的網絡安全公司Resecurity表示，黑客能夠借此深入訪問聯合國網絡。目前了解到，黑客掌握聯合國系統訪問權的最早日期為4月5日，截至8月7日他們在聯合國網絡上仍然保持活躍。

Resecurity公司在今年早些時候向聯合國通報了此次最新違規事件，并與聯合國內部安全團隊合作確定了攻擊的范圍。聯合國的杜加里克表示，內部已經發現了這次襲擊。

Resecurity公司稱，聯合國官員告知Resecurity公司，這次黑客攻擊屬于偵察行為，黑客只是在內部網絡上截取了屏幕截圖。而當Resecurity公司提交了失竊數據證據之后，聯合國停止了與該公司聯系。

黑客使用的Umoja賬戶并未啟用雙因素身份驗證，這是一項基礎安全功能。根據今年7月Umoja網站上的公告，該系統已經遷移至微軟Azure，這套云平臺直接提供多因素身份驗證機制。Umoja的遷移公告稱，此舉“降低了網絡安全風險”。

Resecurity公司表示，在最近這次入侵中，黑客試圖找出關于聯合國計算機網絡架構設計的更多信息，并妥協了53個聯合國賬戶。目前尚無法確定黑客究竟是誰，他們又為什么要入侵聯合國網絡。

攻擊者的身份和動機均未知，泄露賬戶在暗網僅售1000美元

黑客組織的偵察活動可能是為了籌備后續攻擊，也可以是打算把信息出售給試圖入侵聯合國的其他團伙。

Resecurity公司的首席執行官Gene Yoo稱，“像聯合國這樣的組織是網絡間諜活動中的高價值目標。攻擊者入侵的目的是竊取聯合國網絡中的大量用戶數據，以進一步進行長期的情報收集。”

Recorded Future公司高級威脅分析師Allan Liska表示，“從傳統上講，像聯合國這樣的組織一直是民族國家攻擊者的主要目標。但隨著網絡犯罪分子逐漸找到更有效的被盜數據貨幣化方法，也隨著初始訪問者頻繁出售自己掌握的入侵資源，如今的攻擊活動正表現出愈發明確的針對性與滲透趨勢。”Liska還提到，他自己曾親眼在暗網上見到過在售的聯合國雇員用戶名和密碼。

威脅情報公司Intel 471首席執行官Mark Arena表示，這些憑證來自多名講俄語的網絡犯罪分子，售價則僅為區區1000美元。

Arena總結道，“自2021年初以來，我們已經發現多名出于經濟動機的網絡犯罪分子在出售聯合國Umoja系統的訪問權限。這些參與者會同時出售來自多個犯罪團伙的泄露憑證。結合之前的經驗，這些被盜的憑證會被出售給其他網絡犯罪分子，再由他們用于實施后續入侵活動。”

彭博社查看了相應的暗網廣告，發現其中至少有三個市場，最晚到7月5日還仍在出售這些聯合國賬戶憑證。