据泄密披露平台DDoSecrets接到线报称,北约机密云平台的重要供应商Everis遭网络攻击,与云平台相关的重要代码、文档等数据全部失窃,攻击者声称有能力植入后门,勒索超10亿欧元赎金,甚至要把数据发给俄情报机构。该消息未得到业内其它媒体佐证,真实性未知。以下为DDoSecrets的报道:
2021年5月,有黑客入侵一家名为Everis的西班牙企业及其位于南美洲的子公司,成功窃取多套数据集,包括与北约云计算平台相关的源代码及文档。除了拿到数据副本之外,黑客团伙还宣称已经删除了公司内的原始数据,并有能力修改代码内容甚至在项目中植入后门。攻击方还打算勒索Everis公司,甚至开玩笑称要把数据发送给俄罗斯情报部门。
这套平台的全称叫北约面向服务架构与身份访问管理(SOA & IdM)项目,是北约IT现代化战略中的四大核心项目之一。这项IT现代化战略被命名为“北极星”计划,旨在对北约的IT基础设施进行整体合并。根据Everis与一份北约非保密文件,这个架构与管理项目将构建一套集中平台,“负责实现安全保障、集成化、注册与存储库、服务管理、信息发现与托管等功能。”
根据招标文件的说明,这套架构与管理平台将被安装在NATO SECRET级别的数据中心之内以负责实现多项关键功能,特别是日志记录、安全、消息传递以及其他服务的全面集成。北约通信与信息(NCI)部门北极星项目主管Paul Howland表示,这个项目未来有望“改变北约服务体系的开发与部署方式,极大程度提升服务的可重用性以推动创新进展、降低运营成本。”
根据Everis网站的说明,他们同北约通信与信息部门签署了一份价值1040万欧元的合同,平台开发工作也于2020年1月正式启动。Everis公司之前曾于2019年与北约开展合作,双方签署网络安全合作协议以实现“对网络安全威胁相关的非保密技术信息的快速双边交换。”
Everis向北约各机构提供IT服务的历史可以进一步追溯到2017年,当时任Everis公司CEO的Els Blaton曾表示“数据是新时代下的黄金,但必须要保证充分理解该如何处理数据资产。Everis一直致力于帮助客户以务实的态度安全分析大数据内容。与来自比利时的客户群体一样(包括欧洲各机构、北约以及其他国际机构与金融部门),我们始终关注网络安全议题。我们投资建立了一支专业团队,负责为大型企业及机构提供网络安全策略。”2017年,Everis还拿下一份价值150万欧元的合同,负责为北约开发用于下一代电子对抗发射器的数据库。目前还没有迹象表明这些过往项目或往来信息受到此次攻击的影响。
根据黑客方的说法,他们宣称自己是“出于政治动机的攻击者”,并对Everis/NTT Data南美洲子公司掌握的数据抱有浓厚兴趣。根据发布的说明,黑客团伙最初只打算夺取南美洲子公司掌握的部分数据以及合同内容,而且其中似乎涉及拉塔姆航空公司的清单记录。但在经过进一步研究并发现系统中存放的无人机与国防系统信息之后,他们决定继续深挖下去。
在简短的沟通中,我们了解到黑客对“地球与网络空间”和平问题相当关注。黑客解释称,他们也正是为此才打算以破坏的方式推迟北极星计划、并向Everis方面开出了超过10亿欧元的赎金要求(目前还不清楚这个数字有何依据,毕竟10亿欧元已经远远超过了这份架构与管理平台开发合同的总价值)。尽管如此,黑客们坚持表示这次入侵“既是在打击北约,也是为了帮助北约”,因为如果不及时堵住漏洞、其他势力很可能造成远超数据删除与泄露的其他严重破坏。目前我们看到的架构与管理项目数据包括数千个源代码、文档及项目规范文件。
收到数据之后,我们还从黑客提供的README文件中发现他们试图勒索Everis,条件是用14500枚门罗币换取他们不再公布除拉塔姆航空之外的其他受影响企业名称、后续也不会发布任何北约数据。但作为一直力主拒绝屈服的“硬骨头”,Everis公司果然言行一致,似乎没有支付赎金。根据报道,Everis早在2019年就曾经遭遇过勒索软件攻击,但事件没有得到官方证实。而考虑到数据内容的敏感性、有损公共利益、相关平台与军事行动间接相关、存在明显的被滥用可能性以及此前敲诈未遂事件中信息最终没有实际公布等情况,我们决定不发布任何已经获得的数据。
在Everis此前收到的README文件以及我们掌握的材料中,黑客都提到了他们有能力也有意愿篡改架构与管理软件本体(而非直接删除或者直接公开)。他们在README文件中写道,“如果这些未来将被部署在北约秘密数据中心内的代码受到篡改,后果恐怕难以估量。我们认为直接删掉应该才是对方最想看到的结果。”而在与我们媒体一方的沟通中,他们则提到“希望Everis能感谢我们只是删掉了那些软件垃圾,至少没开设后门或者把数据通过SecureDrop交给俄罗斯联邦安全局(FSB)。”
在发给DDoSecrets的最后一段消息中,黑客方还表达了担忧,称Everis可能不仅会向公众隐藏事件、还会想办法阻止客户们发现安全问题的存在。
“我们怀疑Everis当前事件响应工作的重点在于抹去我们存在的痕迹,避免被客户所发觉。”
攻击者
参考来源:ddosecrets.substack.com
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。