澳大利亞正遭受嚴重的國營 “網絡攻擊”——Microsoft, Citrix, Telerik UI 漏洞被 “利用”

澳大利亞總理Scott Morrison召開了一次緊急新聞發布會，披露該國正受到一個國家行為者的網絡攻擊，但該國的信息安全咨詢機構表示，盡管攻擊者已經獲得了一些系統的訪問權限，但并未“在受害者環境中進行任何破壞性或破壞性活動”。

Morrison說，這次襲擊針對的是政府、關鍵基礎設施和私營部門，而且非常嚴重，他采取了在危機中禮貌但非強制性的步驟，將事件告知反對派領導人。他還表示，此次緊急新聞發布會的主要目的是向澳大利亞人宣傳和教育這一事件。

但Morrison 拒絕說明澳大利亞國防機構是否已經確定了襲擊的來源，并表示迄今收集的證據不符合政府確定襲擊者姓名的門檻。

他也沒有詳細說明攻擊的影響，只是說他沒有收到關于攻擊導致個人信息嚴重泄露的建議。他還說，這次襲擊并不完全是新的，類似的襲擊還在繼續，這是意料之中的。他沒有詳細說明在這次活動或事件中有沒有新的高峰。

澳大利亞的網絡防御咨詢機構——澳大利亞網絡安全中心(ACSC)發布了一份名為“針對多個澳大利亞網絡的復制粘貼妥協策略、技術和程序”的咨詢報告，報告中提供了很多細節。

該文件的意見包括“在調查期間，ACSC沒有發現該行為者在受害者環境中進行任何破壞或破壞活動的意圖。”

還揭示了攻擊開始于“初始訪問媒介的數量，最普遍的是利用面向公眾的基礎設施——主要是通過在未打補丁的Telerik用戶界面版本中使用遠程代碼執行漏洞。”

該參與者利用的面向公眾的基礎架構中的其他漏洞包括利用微軟互聯網信息服務(IIS)中的沙漠化漏洞、2019年SharePoint漏洞和2019年Citrix漏洞。

ACSC表示，對面向公眾的基礎設施的攻擊沒有成功，因此攻擊者轉而使用魚叉式網絡釣魚，并獲得了一些系統的訪問權限。

“在與受害者網絡互動的過程中，該行為者被認定利用受到危害的合法澳大利亞網站作為指揮和控制服務器，”該顧問說。“首先，指揮和控制是使用網絡外殼和HTTP/HTTPS流量進行的。這種技術使得地理阻斷變得無效，并在調查期間增加了惡意網絡流量的合法性。”

在調查結束后，ACSC的建議是修補面向互聯網的一切，對電子郵件、遠程桌面、虛擬專用網絡和協作平臺采用多種多樣的方法，遵循澳大利亞政府以前的安全建議，并啟用詳細的日志記錄來幫助區分未來的攻擊。