新冠疫情所致远程办公和云端迁移的大潮,为网络罪犯开辟了新的途径。2021年,在远程工作状态影响下,世界各地的网络攻击急剧上升,勒索软件、网络钓鱼、人为错误操作等导致的数据泄露不断增加,全球范围内网络威胁依旧不断。特别是勒索软件的高度猖獗,在上半年的攻击次数已达到3.047亿,同比增长达151%,远超2020年全年攻击总数,对多国家、多行业、多领域造成不同程度的影响。
一、全球网络冲突加剧,网络雇佣军兴起
2021年,全球网络空间局部冲突依旧不断,国家级网络攻击频次不断增加,攻击复杂性持续上升。同时,国家级网络攻击正与私营企业技术融合发展,网络攻击私有化的趋势带动了网络雇佣军行业的快速扩张,数量众多的高素质、有组织的黑客团体受雇于国家或私人机构,对特定目标发动网络袭击。网络攻击与社会危机交叉结合,全球网络对抗在底线试探中向新阶段发展。
1 全球监听门再现,涉及34国600多政要
7月,非政府组织“禁忌故事”(Forbidden Stories)与国际特赦组织(Amnesty International)联手美国《华盛顿邮报》、英国《卫报》、法国《世界报》等17家媒体机构,共同披露以色列软件监控公司NSO集团涉嫌向某些专制政府兜售手机间谍软件飞马(Pegasus)。
调查团指出,飞马软件自2016年起通过感染苹果iPhone与谷歌安卓(Google Android)手机来让客户监听并截取目标人物的信息、照片与电邮等,甚至秘密录音、启动话筒与镜头。
在5万个遭监听手机号码中,包含法国总统、伊拉克总统、南非总统、摩洛哥国王等众多国家元首、王室成员、部长、企业高管、记者,共涉及全球34个国家,超过600名政府官员与政客的号码。
2 美国共和党全国委员会被黑客入侵
7月,根据美国共和党全国委员会(RNC)的一份声明,网络犯罪分子获得了该委员会承包商Synnex的IT基础设施的访问权限。
RNC表示,虽然基础设施遭到破坏,但没有数据因网络攻击而丢失。在发生攻击后,RNC立即阻止了Synnex帐户对云环境的所有访问,并与微软合作对内部IT系统进行了审查。
据知情人士透露,这次袭击来自一个与俄罗斯有关的名为APT 29或Cozy Bear的组织。如果攻击来源得到确认,此次网络活动将是俄罗斯APT组织于7月对美国发起的第二次重大网络攻击。
3 黑客攻击联合国计算机网络并窃取数据
9月,联合国秘书长发言人表示,不明身份的黑客于4月利用从暗网上购买的联合国员工的失窃用户名及密码入侵了联合国的计算机网络系统,并窃取到大量可用于攻击联合国组织的机构内部数据。
网络安全公司Resecurity表示,黑客掌握联合国系统访问权的最早日期为4月5日,截至8月7日他们在联合国网络上仍然保持活跃。这次黑客攻击属于侦察行为,黑客试图找出关于联合国计算机网络架构设计的更多信息,并攻破了53个联合国账户。
Resecurity公司网络安全专家称,“联合国类的组织是网络间谍活动中的高价值目标。攻击者入侵的目的是窃取联合国网络中的大量用户数据,以进一步进行长期的情报收集。”
4 俄罗斯APT组织使用新后门攻击美、德等国
9月,security affair网站披露,思科Talos团队(Cisco Talos)研究人员发现,至少从2020年开始,俄罗斯Turla APT组织使用了一个名为TinyTurla的新后门,对美国、德国和阿富汗进行了一系列攻击。
研究人员发现TinyTurla能够实现多种功能,例如上传和执行文件和有效载荷,创建子进程,以及渗出数据。攻击者使用一个.bat文件来传递后门,该文件以一个名为w64time.dll的服务DLL形式出现,但尚未发现TinyTurla后门是如何安装在受害者系统上。
在塔利班接管该国政府以及美国及其盟国的所有军队撤出之前,威胁者攻击了阿富汗实体,因此Talos推测此次攻击目标可能是阿富汗政府。
5 以色列针对伊朗核设施进行破坏性网络攻击导致断电
4月,伊朗启动纳坦兹核设施内近200台IR-6型离心机,重启其核研究。但次日,该核设施的配电系统即发生故障,导致大规模断电。
以色列媒体Kan声称,以色列摩萨德是对伊朗纳坦兹核设施进行网络攻击的幕后黑手,该行动导致核设施断电。情报人士称,网络攻击成功渗透了核设施的物理和网络保护层,导致应急备用电源系统受到损害,引起了爆炸发生。据悉,伊朗纳坦兹核设施受到的破坏是巨大的,至少需要9个月时间才能恢复。
6 伊朗APT组织瞄准美国、以色列国防公司
10月,微软威胁情报中心(MSTIC)和微软数字安全部(DSU)的研究人员发现了一个恶意活动集群(DEV-0343团伙、与伊朗相关),其目标是美国和以色列国防技术公司的Office 365用户,如生产军事级雷达、无人机技术、卫生系统和应急通信系统的国防公司。
研究人员称,DEV-0343团伙于2021年7月下旬首次观察到并开始追踪,该团伙模拟火狐浏览器,使用托管在Tor代理网络上的IP对250多个Office 365用户进行大范围密码喷射,混淆其攻击行为和基础设施。结果显示只有不到20个Office 365用户被入侵,但DEV-0343团伙仍然在不断改进技术以提高攻击完成度。
DEV-0343团伙主要瞄准美国和以色列的国防技术公司、波斯湾港口或在中东有业务的全球海运和货运公司。研究人员推测,攻击者目的是获得商业卫星图像和航运计划日志。
7 乌克兰国安公开警告俄罗斯APT组织
11月,乌克兰官方表示,俄罗斯联邦安全局(FSB)是对其政府机构长期进行网络攻击的幕后黑手。
乌克兰安全局(SSU)公布了5名俄罗斯APT组织Gamaredon的真实身份,并表示Gamaredon组织(乌方内部代号为Armageddon)的运营地点为克里米亚半岛的塞瓦斯托波尔市,但他们的行动指令却来自位于莫斯科的俄联邦安全局信息安全中心。据悉,该团伙曾先后对1500多个乌克兰政府部门开展过超5000次网络攻击。
为了证明其公告的可信度,乌安全局还发布了截获自两名Gamaredon成员间的通话内容,包括他们开展的攻击活动以及对俄联邦安全局工资的不满情绪。这也是首次有公开证据支持,确认Gamaredon组织同俄联邦安全局间的关系。
8 网络间谍组织SideCopy攻击印度政府和军队
7月,印度Quick Heal公司的威胁情报团队指出,有网络间谍组织正在攻击印度政府和军队组织,以恶意软件感染受害者。该组织被命名为“SideCopy”,早在2019年就已活跃,Seqrite 团队在去年9月份首次发现该组织发动的钓鱼攻击。
思科Talos发布报告指出,自去年攻击和攻击工具集被曝光后,该组织并未退缩或停止行动。Talos团队发现:
· SideCopy以印度政府和国防军相关为邮件主题,发动鱼叉式钓鱼攻击;
· 邮件含有恶意文件附件,如LNK文件、字体去RAR EXEs和基于MSI 的安装程序,将远程访问木马(RATs)安装在受感染系统上;
· 该组织同时使用RATs和商用RATs;
· 感染受害者后,SideCopy操纵人员通常部署具有多种功能RAT插件,如文件枚举工具、凭据窃取工具和键盘记录器;
· SideCopy很多操作和APT36此前执行的攻击活动有关,APT36 此前被指和巴基斯坦有关。
二、网络攻击持续增加,席卷全球多行业
2021年,新冠疫情迫使工作场所和运营环境发生巨大变化,针对全球组织的网络攻击激增。根据埃森哲公司发布的报告,2021年上半年全球网络入侵活动量同比增长了125%。从行业角度看,政务、医疗、工业/制造业、金融、电信及交通等行业都成为了网络攻击的重点目标。尤其是能源行业,2021年针对能源行业员工的移动网络钓鱼攻击增加了161%,而且该趋势没有放缓的迹象。
1 美国数十个政军网站遭严重网络攻击
9月,安全研究人员Zach Edwards发现,近一年来约50个美国政军网站被发现托管有色情及垃圾内容,多次反馈下线又重新出现。其中包括参议员Jon Tester网站、明尼苏达州国民警卫队网站等。
经分析,这些网站域名中出现色情内容问题的源头是政府承包商Laserfiche Forms提供的通用软件产品。Laserfiche旗下的电子表格(Forms)产品存在一个漏洞,给.gov与.mil域带来了网络钓鱼诱饵,会将访问者重新定向至恶意目的地,并可能配合其他漏洞共同发起攻击,并允许攻击者在拥有良好信誉的政府网站上推送恶意与垃圾内容。
后续,Laserfiche已经发布了针对此项漏洞的安全公告,并给出网站垃圾内容的清除说明。问题的根本原因在于未经身份验证的文件上传漏洞,未经身份验证的外部人士可以访问该表单,借此将文件上传至其他用户的Web门户,这样发布的内容就能在网络上接受临时访问。
2 加拿大遭遇史上最严重网络攻击
10月,加拿大纽芬兰和拉布拉多省的卫生网络遭到网络攻击,导致多个地方卫生系统瘫痪,全省数千人的医疗预约被取消。其中,纽芬兰和拉布拉多省东部地区卫生局受到的冲击最大,由于无法访问电子邮件、诊断图像及实验室结果等信息,所有非急诊预约都被取消,医生只能依靠纸笔记录继续为患者提供紧急服务。该省卫生部长透露,此次攻击系由贝尔公司运营的网络数据中心被破坏,包括主要和备用计算机系统。直至11月4日,东部地区卫生局内部电子邮件系统才重新上线运行。
官方披露称,黑客窃取了近14年以来众多东部卫生系统患者与员工的个人信息,以及拉布拉多Grenfell Health近9年以来的敏感内容。其中,患者信息包括姓名、地址、医保编号、就诊原因、主治医师与出生日期等,员工信息则可能包括姓名、地址、联系信息与社会保险号码。
安全专家表示,这起针对纽芬兰及拉布拉多卫生系统的网络攻击是加拿大历史上最严重的一次,其影响程度与后果严重性都创造历史记录。因此,专家建议将此次攻击升级到国家安全层面。
3 爱尔兰卫生系统遭遇史上最严重网络攻击
5月,爱尔兰卫生服务执行局(HSE)宣布遭受重大勒索软件攻击,随后关闭了其大部分计算机系统。IT系统的关闭导致所有HSE的电子邮件无法使用,新冠疫苗的在线注册网站无法运行,爱尔兰全科医生的转诊系统和密切接触者检测系统关闭。
入侵爱尔兰医疗系统的软件被称为“双重勒索”软件,因为它在加密控制系统信息的同时还威胁要暴露部分系统信息。其威胁要永久封锁一个系统或公开受害者的数据,除非向黑客支付赎金2500万美元。
HSE已接受网络安全专家以及警方、国防军和政府的支持。爱尔兰国家网络犯罪局正在与国家网络安全中心(NCSC)等其他机构合作,试图控制局面。NCSC已经启动了其危机管理计划,预计NCSC将与欧洲刑警组织等国际警察机构就此案进行联络,并与欧盟网络安全机构Enisa进行联络。
4 美国一地区遭遇火灾与网络攻击双重打击
6月,美国海外岛屿、自治邦波多黎各的新晋电力供应商Luma能源公司,其位于圣胡安的Monacillo变电站发生大火,导致波多黎各出现大面积停电。当地官员指出,截至目前停电事件已经影响到超过100万客户,暂未包括受到首府圣胡安变电站爆炸及火灾影响的群体。同日,一次大规模DDoS攻击中断了Luma公司的在线服务,该DDoS攻击每秒对其客户门户与移动应用发出200万次访问,严重影响到众多用户访问账户信息。
现任总督Pedro Pierluisi透露,波多黎各邦内及联邦政府执法部门正着手调查这两起事故,目前尚不清楚火灾与DDoS攻击之间是否存在关联。
5 能源巨头壳牌公司遭受Accelion黑客攻击
3月,能源巨头壳牌公司(Shell)遭遇黑客攻击。公司表示,攻击者利用了安全厂商Accellion的文件传输程序FTA的零日漏洞,已经访问了一些个人数据以及属于壳牌利益相关方和子公司的数据。壳牌表示,该事件暂未影响到壳牌的IT系统本身,壳牌公司正在与当局和监管机构合作调查这一事件。
尽管在壳牌公司的声明中没有披露攻击者的身份,但Accellion公司和另一安全厂商Mandiant 于2月份发表的联合声明更加清楚地说明了这些攻击,并将其与FIN11网络犯罪组织联系起来。Clop勒索软件团伙还一直在使用Accellion FTA零日漏洞破坏和窃取多家公司的数据。
6 保险巨头安盛遭勒索软件袭击
5月,保险巨头安盛集团(AXA)在泰国、马来西亚、中国香港和菲律宾的分公司遭到了勒索软件网络攻击。同时,Avaddon勒索软件集团声称对袭击保险巨头安盛亚洲分支机构负责,并在其泄密网站上公布窃取的3TB敏感数据,包括客户的医疗报告、身份证复印件、银行账户报表、索赔表格、付款记录、合同等。
此外,针对安盛全球网站的分布式拒绝服务(DDoS)正在进行,这使得安盛的全球网站在一段时间内无法访问。安盛尚未评论Avaddon要求的赎金数额。
7 电信巨头遭DDoS攻击致全国网络关闭
10月,韩国三大通信服务提供商之一的KT公司,其有线及无线等网络服务突然中断,造成韩国全国范围内出现大面积网络服务中断,中断时间持续约1小时左右。韩国电信公司KT表示,全国范围内暂时关闭其网络是由大规模分布式拒绝服务 (DDoS)攻击造成的。韩国警方表示,已针对相关情况展开调查。
此次服务中断期间,用户无法使用信用卡、交易股票或访问在线应用程序。一些大型商业网站在停电期间也被关闭,包括证券交易系统、饭店结算系统以及居民家中的网络、手机信号等服务均受到影响。使用电信网络的客户在大约 40 分钟内无法访问互联网。
8 航旅业超级供应商SITA被黑
3月,管理着全球主要航空公司的机票处理和常旅客数据的IT服务公司——SITA公司宣布服务器被黑客入侵,攻击者使用了高度复杂的攻击手段,全球多家知名航空公司和航旅企业的顾客数据遭泄漏。
SITA公司目前管理超过400家航空公司,包括星空联盟和OneWorld会员。目前大约有十二家航空公司已经通知乘客,攻击者已经入侵了SITA的旅客服务系统(PSS)来访问他们的某些隐私数据,PSS是SITA用来处理乘客从订票、登机和行李控制的一系列交易的关键业务系统。
有业内人士估计受影响旅客数超过210万,其中大多数是汉莎航空集团的Miles&More飞行常旅客奖励计划的参与者,该计划是欧洲最大的常旅客计划。
三、勒索软件全面升级,影响上升至国家安全
2021年,受比特币等虚拟加密货币飙涨刺激,DDoS勒索攻击抬头,攻击方式从大规模通用攻击转变为更具针对性的攻击,运营模式升级为“三重勒索”。政府实体、国防承包商、关键基础设施组织、金融机构等组织机构已经成为勒索软件团伙的主要攻击目标。美国现已将勒索攻击提升至与恐怖袭击同等级别。2021年上半年至少发生了1200多起勒索软件攻击事件,与去年全年发生数量持平,平均赎金从去年的40万美元提高到今年的80万美元。
1 勒索软件切断半个美国的燃油管道
5月,美国最大燃油管道商科洛尼尔(Colonial Pipeline)遭高强度勒索软件攻击,导致东部沿海各州关键燃油网络被迫关闭,美国交通部宣布进入紧急状态。
作为美国最大的燃油运输管道商,科洛尼尔负责运营美国东海岸地区约45%的液体燃料管道运输供应服务,覆盖5000万用户。事件发生后,为防止事态扩大,科洛尼尔被迫暂停输送业务。拜登政府成立了紧急工作小组,宣布在阿拉巴马等东部17个州和华盛顿特区实施紧急状态,并由能源部牵头联合联邦调查局、国土安全部、火眼公司等机构共同对该事件进行调查取证,全力帮助科洛尼尔恢复运营。
后续,联邦调查局确认名为“黑暗面”(DarkSide)的俄罗斯犯罪集团是此次事件幕后黑手。关于攻击的起因,英国网络安全公司Digital Shadows认为是,DarkSide购买了远程桌面软件的帐户信息,新冠疫情期间科洛尼尔工程师在家中通过远程访问管道控制系统进行办公,致使其账户遭受DarkSide入侵。
2 勒索软件连环攻击16家美国医疗和应急响应机构
5月,联邦调查局(FBI)发布安全通告指出,勒索软件团伙Conti试图攻击破坏十多家美国医疗和应急机构的网络。
FBI网络部门声称:“FBI在去年一年内至少发现了16起针对美国医疗和应急响应机构的Conti勒索软件攻击,包括执法机构、紧急医疗服务、911调度中心和市政当局。Conti在全球攻击了超过400家医疗和应急响应机构,其中290多个位于美国。”
根据FBI说法,Conti赎金要求是针对每位受害者量身定制的,最近的要求高达2500万美元。如果勒索赎金在八天内没有支付,Conti勒索软件运营商还将使用互联网语音(VOIP)服务或加密电子邮件服务与受害者联系。
3 勒索软件攻击致使美国一市短暂步入“纸质社会”
5月,美国俄克拉何马州塔尔萨市遭受勒索软件攻击,该攻击影响了其政府网络,迫使政府关闭了官方网站。受攻击影响,该城市的居民无法通过电子邮件访问在线账单支付系统、公用事业账单和网络服务。
攻击事件发生后,安全人员已经关闭了受影响的内部系统,911等紧急服务和城市公共安全响应将继续正常运行。塔尔萨市向当局报告了这一事件,并正在外部安全专家的协助下调查感染情况。此次攻击影响了基础设施的一小部分,内部专家正试图从备份中恢复受影响的系统。
但在此次攻击事件中,黑客获得了超过1.8万份城市文件,泄露文件大多是警方传票和部门内部文件,包括个人姓名、出生日期、地址和驾照号码等个人信息。
4 美国核武器合同商遭勒索软件攻击
6月,美国能源部核安全管理局(NNSA)的核武器合同商Sol Oriens公司遭遇REvil勒索软件攻击,攻击者扬言不缴纳赎金就将核武器机密信息泄露给其他国家的军方。
据透露,Sol Oriens的内部信息已经被发布到REvil的暗网博客上。但目前来看,暗网上披露的泄漏数据并不涉及高度机密的军事秘密,只包括了2020年9月的公司工资单,列出了少数员工姓名、社会保障号码和季度工资。还有一个公司合同账本,以及工人培训计划的备忘录(备忘录顶部有能源部和NNSA国防计划的标志)的一部分。REvil是否得到了美国核武器的更敏感、更秘密的信息还有待观察。但是,黑客从核武器承包商那里拿到任何信息都足以让人深感担忧。
5 美国软件商Kaseya遭REvil勒索软件供应链攻击
7月,美国IT系统管理公司卡西亚(Kaseya)发布声明,确认其下产品KASEYA VSA软件存在漏洞,已被REvil黑客勒索组织利用攻击,目前已经关闭了其SaaS服务器,并且建议所有客户关闭VSA服务器。
Kaseya 为托管服务提供商(MSP)提供远程管理软件服务,已知受影响的托管服务提供商包括Synnex Corp.和Avtex LLC,由于MSP提供商的客户分布全球,导致此次事件影响范围颇广。目前瑞典最大连锁超市之一的Coop受此次供应链勒索攻击事件影响,被迫停止全国约800多家商店服务。
此次攻击中,攻击者利用漏洞发送恶意 Kaseya VSA 软件更新,该更新被打包了一种勒索软件,可以加密受感染系统上的文件。一旦感染了受害者系统,恶意软件试图禁用各种Microsoft Defender for Endpoint保护,包括实时监控、IPS、脚本扫描、网络保护、云样本提交、云查找和受控文件夹访问。在部署勒索软件之前,VSA 管理员帐户显然已被禁用。
美国Corellium公司首席运营官马特·泰特、前英国政府通讯总部信息安全专家马特·泰特发表评论,Kaseya遭勒索攻击事件可能是今年影响最大的网络安全事件,甚至比美国Colonial管道勒索软件事件以及太阳风(SolarWinds)入侵影响更大。
6 勒索软件袭击或导致美国食品供应链中断
9月,美国最大农业合作社之一的New Cooperative遭到Black Matter勒索软件攻击,勒索软件团伙声称已经获取了该合作社的财务和人力资源信息、网络信息和密码、研发结果以及Soilmap软件(农业生产者技术平台)的源代码,并要求合作社为解密密钥支付590万美元。
同月,美国明州的农业合作社Crystal Valley同样遭Black Matter勒索软件袭击,此次攻击致使合作社所有计算机系统关闭,运营被迫中断。两次针对农业合作社的攻击可能会直接导致食品供应链中断,最终引发意外后果甚至有可能带来全国粮食短缺。
安全专家认为,农业组织技术债务较重,小型组织常外包技术和安全事务,面临较高的安全风险。两轮攻击表明接下来还将会出现更多针对食品体系的广泛供应链攻击或行为。
7 水处理设施成为勒索软件重点攻击目标
10月,美国多家机构包括FBI、NSA、CISA和EPA联合发布网络安全咨询报告指出,水处理等关键基础设施领域正成为勒索软件重点攻击的目标。报告重点披露了三起由勒索软件引起的美国水和废水处理设施 (WWS) 攻击事件,在所有攻击中,勒索软件都对受感染系统文件进行了加密,其中一起事件中攻击者破坏了用于控制监控和数据采集(SCADA)工业设备的系统。
3月,网络攻击者对位于内华达州的WWS设施使用了一种未知的勒索软件变体,该勒索软件影响了受害者的SCADA系统和备份系统。该SCADA系统提供可见性和监控,但不是完整的工业控制系统(ICS)。
7月,网络攻击者使用远程访问将ZuCaNo勒索软件部署到缅因州WWS设施处理废水的SCADA计算机,此次攻击导致处理系统切换到手动模式,直到使用本地控制和更频繁的操作员巡查,才恢复SCADA计算机。
8月,攻击者对位于加利福尼亚WWS设施实施Ghost变体勒索软件攻击,该勒索软件变种已在系统中存在大约一个月,并在三个SCADA服务器显示勒索软件消息时被发现。
8 北约机密云平台疑遭黑客入侵
5月,黑客入侵一家名为“Everis”的西班牙企业及其位于南美洲的子公司,成功窃取多套数据集,包括与北约云计算平台相关的源代码及文档。除了拿到数据副本之外,黑客团伙还宣称已经删除了公司内的原始数据,并有能力修改代码内容甚至在项目中植入后门。攻击方还打算勒索Everis公司,宣称要把数据发送给俄罗斯情报部门。
这套平台的全称叫“北约面向服务架构与身份访问管理(SOA & IdM)”项目,是北约IT现代化战略中的四大核心项目之一。这项IT现代化战略被命名为“北极星”计划,旨在对北约的IT基础设施进行整体合并。根据Everis与北约的公开文件,这个架构与管理项目将构建一套集中平台,负责实现安全保障、集成化、注册与存储库、服务管理、信息发现与托管等功能。
根据黑客说法,其攻击出于政治动机,以破坏方式推迟北极星计划为目的,并向Everis方面开出了超过10亿欧元的赎金要求。
9 勒索软件首次成功攻击国家核心金融系统
8月,巴西政府发布声明,其国库内部秘书处网络遭遇勒索软件攻击。根据经济部公告,政府立即采取了初步措施,并召集了联邦警察,以遏制勒索软件的影响。迄今为止的初步评估显示,此次行动没有损害国库秘书处的结构系统,例如综合财务管理系统(SIAFI)和与公共债务相关的系统。目前暂无任何组织和个人表示对此次攻击负责,但巴西政府也不排除未来一段时间内会收到勒索信件的可能。这是勒索软件首次成功攻击国家核心金融系统,勒索软件已成为全球网络空间安全的重大破坏因素之一。
在此次巴西国库遭遇攻击之前,巴西高级选举法院也曾遭遇重大网络攻击,该袭击使该法院的系统停顿了两个多星期。就其复杂性和所造成损害的范围而言,当时该事件被认为是有史以来针对巴西公共部门机构精心策划的最全面的攻击。
四、安全漏洞威胁严峻,漏洞利用武器化
2021年,安全漏洞增长趋势渐缓,但超高危漏洞、高龄漏洞比率大幅增加,漏洞影响面逐步扩大。根据Risk Based Security公司报告指出,2021年上半年披露超1.25万个漏洞,谷歌、微软、甲骨文三大科技巨头贡献了绝大部分漏洞,其中仍有多数漏洞是可远程利用但根本没有任何解决方案。此外,随着网络犯罪团伙日益职业化,勒索软件组织将多个漏洞利用程序添入武器库,积极利用各种未修补漏洞和零日漏洞,提高入侵系统网络的成功率,以进一步实施敲诈勒索。
1 阿帕奇Log4j2惊曝“核弹级”漏洞
12月,阿帕奇(Apache)Log4j2组件被曝存在严重远程代码执行漏洞,可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害。由于此次漏洞组件属于Java产品的基础组件,Log4j2本身的使用量、影响量几乎覆盖全行业,相关开源社区将其定义为“核弹级”漏洞。
随后,coinminers、DDOS恶意软件和一些勒索软件便开始利用该漏洞开展相关攻击。据悉,全球超过40%的企业网络都遭遇了漏洞利用攻击,包括苹果、谷歌、亚马逊、特斯拉等大量互联网科技企业。同时,比利时国防部已确认其遭受到了涉及 Log4j2 漏洞的网络攻击。
该漏洞公示后的几天内,网络安全公司即检测到数十万次针对Log4j应用的网络攻击。安全专家称,Log4j2是2021年最大的网络安全灾难。
2 Sudo漏洞影响全球Unix/Linux系统
1月,Qualys网络安全公司研究小组发现Sudo中一个隐藏了十年的堆溢出漏洞,包括Linux在内的几乎所有Unix主流操作系统都存在该漏洞。通过利用该漏洞,任何没有特权的本地用户都可以使用默认的Sudo配置在易受攻击的主机上获得root特权,而无需密码。
该漏洞存在于2011年7月发布的Sudo程序中,至今已满10年。因此,该漏洞或将影响过去十年发布的所有Sudo版本。Qualys安全研究人员已经在多个Sudo版本中发现、验证该漏洞的多种利用形式,并称该漏洞可能会被滥用攻击的第二阶段帮助入侵者获得root权限,最终获得服务器控制权。
3 Zyxel安全产品爆出管理员级别后门
1月,荷兰网络安全公司Eye Control的安全研究人员发现,超过10万个合勤科技(Zyxel)公司的防火墙、接入点控制器和VPN网关产品中存在管理员级后门账户。这些在二进制代码中硬编码的管理员级别账户使攻击者可通过Web管理面板或SSH界面获得对设备的root访问权限。
Zyxel固件中发现的后门被称为关键固件漏洞,网络罪犯通过滥用后门账户可以访问易受攻击的设备并感染内部网络以发起其他攻击。攻击者可以使用管理特权登录设备,并轻易破坏网络设备。
该漏洞影响许多Zyxel设备,主要是运行4.0版的设备。受影响的模块还包括企业级Zyxel设备,包括统一安全网关(USG)、ATP系列、NCX系列、USG FLEX系列和VPN系列。
4 AirDrop漏洞使十亿人面临数据泄露风险
4月,德国达姆施塔特工业大学的一个漏洞调查小组曾对AirDrop(iOS和macOS的临时无线文件共享服务)进行了逆向工程,结果发现发送方和接收方可能会在文件传输过程中泄漏联系人信息,据说有十亿以上的人面临这种隐私泄漏风险。
黑客只要待在距离目标iPhone非常近的范围内就能获得一张公开分享表,用户的个人信息就会泄露。虽然AirDrop为了确定对方是不是已知联络人,会利用一种双向机制来对比双方的电话号码以及电邮地址,但是黑客只要使用简单的技巧就可以快速破解,从而得到用户信息。所以,研究人员认为这个漏洞非常严重,很大程度上造成了隐私泄露,这对于安全性极高的iPhone机来说,无疑是一个大漏洞。
一直到现在Apple依旧没有确认这个问题存在,而且也没有着手研究解决方案,甚至说苹果并不认为这个漏洞会对用户造成隐私泄露的危害。但是,经过研究人员的研究,发现目前超过15亿部Apple设备存在隐私攻击的风险,除非用户直接关掉AirDrop,才能够确保自己的隐私不会泄露。
5 高通芯片高危漏洞影响全球40%手机
5月, 高通公司的移动调制解调器MSM芯片(包括最新的5G版本芯片)中发现了一个高危安全漏洞,攻击者可以利用该漏洞获取手机用户的短信、通话记录、监听对话甚至远程解锁SIM卡。但是,该漏洞的利用无法被常规系统安全功能检测到。
高通MSM芯片包含2G、3G、4G和5G功能的一系列片上系统(SoC),全部都存在该高危漏洞。目前全球约40%的手机都使用了MSM芯片,其中包括三星、谷歌、LG、OnePlus和小米在内的多家手机供应商的产品。
根据Check Point研究人员的说法,如果该漏洞被利用,攻击者将能使用安卓操作系统本身作为向手机中注入恶意和隐藏式代码的入口点。
6 FragAttacks漏洞横扫全球所有WiFi设备
5月, 纽约大学阿布扎比分校的安全研究员发现了一种堪称“核弹级”的Wi-Fi安全漏洞——破片和聚合攻击(FragAttacks),该漏洞存在于1997年Wi-Fi技术诞生以来的所有Wi-Fi设备(包括计算机、智能手机、园区网络、家庭路由器、智能家居设备、智能汽车、物联网等)。
FragAttack是一组漏洞,其中三个影响大多数WiFi设备,属于Wi-Fi 802.11标准帧聚合和帧分段功能中的设计缺陷,而其他漏洞是Wi-Fi产品中的编程错误。
黑客只要在目标设备的Wi-Fi范围内,就能利用FragAttacks漏洞窃取敏感用户数据并执行恶意代码,甚至可以接管整个设备。
7 Unicode编译器漏洞威胁全球软件代码
10月,剑桥大学研究人员发现了一个可影响当今大多数计算机软件代码编译器和软件开发环境的漏洞。这个漏洞来自数字文本编码标准Unicode的一个组件,Unicode目前在154种不同的编程语言脚本中定义了超过14.3万个字符。
简而言之,几乎所有的编译器(将人类可读的源代码转换为计算机可执行的机器代码的程序)都容易受到恶意攻击。在这种攻击中,攻击者可以在不被发现的情况下将有针对性的漏洞引入任何软件。该漏洞的披露由多个组织协调完成,其中一些组织现在正在发布漏洞缓解更新。
通过将Unicode Bidi控制字符注入注释和字符串中,攻击者可以在大多数现代计算机语言中生成句法有效的源代码,从而对源代码实施新型供应链攻击。然后,这样的攻击对于人类代码审查人员来说可能很难检测到。
研究人员敦促依赖关键软件的政府和公司确定其供应商的安全态势,向他们施加压力以部署足够的防御,并确保工具链中任何一个环节都被覆盖。
8 美英澳联合发布2020-2021年被利用最多的30个漏洞
7月,美国网络安全和基础设施安全局 (CISA)、美国联邦调查局 (FBI)、澳大利亚网络安全中心 (ACSC)和英国国家网络安全中心 (NCSC)联合发布安全公告,列出了2020年至2021年间被利用次数最多的安全缺陷。
安全公告指出,这些漏洞影响大量产品,如 VPN 设备、邮件服务器、企业Web应用和桌面软件的网络访问网关。然而,该联合报告强调威胁行动者一般会利用最近发布的漏洞,漏洞一旦被公开,威胁行动者就会快速武器化安全缺陷。
第一份清单说明2020年利用频率最高的漏洞:
· CVE-2019-19781:Citrix Netscaler,目录遍历漏洞
· CVE-2019-11510:Pulse Secure Connect VPN,未认证任意文件泄露漏洞
·CVE-2018-13379:Fortinet FortioOS Secure Socket Layer VPN,未认证目录遍历漏洞
· CVE-2020-5902:F5 Big IP,流量管理用户接口远程代码执行漏洞
· CVE-2020-15505:MobileIron Core & Connector,远程代码执行漏洞
· CVE-2020-0688:Microsoft Exchange,内存损坏/远程代码执行漏洞
· CVE-2019-3396:Atlassian Confluence Server Widget Connector,远程代码执行漏洞
· CVE-2017-11882:Microsoft Office,内存损坏/远程代码执行漏洞
· CVE-2019-11580:Atlassian Crowd and Crowd Data Center,远程代码执行漏洞
· CVE-2018-7600:Drupal Core Multiple,远程代码执行漏洞
· CVE-2019-18935:Telerik UI for ASP.NET AJAX,不安全的反序列化
· CVE-2019-0604:Microsoft Share Point,远程代码执行漏洞
· CVE-2020-0787:Windows Background Intelligent Transfer Service, 提权漏洞
· CVE-2020-1472:Windows Netlogon,提权漏洞
第二份清单说明2021年利用频率最高的漏洞,按厂商分类:
· Microsoft Exchange:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065
· Pulse Secure:CVE-2021-22893、CVE-2021-22894、CVE-2021-22899、CVE-2021-22900
· Accellion:CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104
· VMware:CVE-2021-21985
· Fortinet:CVE-2018-13379、CVE-2020-12812、CVE-2019-5591
9 MITRE发布2021年度最重要的硬件漏洞排行
10月,MITRE公司发布了其维护的CWE硬件漏洞2021年度排行,上榜的12个硬件漏洞是其组织的专家团队按照其自研的方法体系进行定性和定量评分选出来的。这是硬件漏洞是同类排行中的第一个,也是硬件CWE 特别兴趣小组(SIG)内部合作努力的结果,SIG是作为学术界和政府代表硬件设计、制造、研究和安全领域的组织的个人社区论坛。
根据CWE标识符,2021年CWE最重要的硬件漏洞排行如下:
· CWE-1189:片上系统 (SoC) 上共享资源的不当隔离
· CWE-1191:具有不当访问控制的片上调试和测试接口
· CWE-1231:锁定位修改不当预防
· CWE-1233:具有丢失锁定位保护的安全敏感硬件控制
· CWE-1240:使用具有风险实施的加密原语
· CWE-1244:暴露于不安全调试访问级别或状态的内部资产
· CWE-1256:软件接口对硬件功能的不当限制
· CWE-1260:受保护内存范围之间重叠处理不当
· CWE-1272:调试/电源状态转换前未清除的敏感信息
· CWE-1274:对包含引导代码的易失性内存的不当访问控制
· CWE-1277:固件不可更新
· CWE-1300:物理侧信道保护不当
另外,CWE团队公布五个额外需要关注的漏洞:
· CWE-226:重用前未删除资源中的敏感信息
· CWE-1247:针对电压和时钟毛刺的不当保护
· CWE-1262:寄存器接口访问控制不当
· CWE-1331:片上网络 (NoC) 中共享资源的不当隔离
· CWE-1332:错误处理导致指令跳过
五、数据泄露再创新高,数据安全引人注目
2021年,全球数据泄露整体形势依旧严峻,泄露事件频次、数量再创新高,全年数据泄露量同比增长达27%,其中多数泄露事件涉及勒索软件攻击。从泄露行业看,医疗保健、金融保险、工业制造、社交媒体、公共基础设施等行业成为数据泄露重灾区;从泄露类型看,个人身份信息泄露仍高居首位。
1 美军事承包商再遭勒索数据被窃
3月, Babuk勒索软件团队运营商(又称Babyk)从美国主要军事承包商之一的Prototype Development(PDI)公司窃取了700GB的机密信息。Babyk勒索软件在暗网发布了从PDI公司下载的公司内部文件,其中包含为美国空军、海军和特征作战司令部开发的武器控制技术和辅助设备文件。
Babyk勒索软件团队对此表示,由于该公司安全系统中的重大问题,获取的所有文件都是公开可用的,其中包括:与第三方的合同(保密协议和军事文件)、客户信息(姓名、信用卡)、员工信息(地址、电话、社保码、医疗信息)等。Babyk团队发布了约120M大小的文件,包含了PDI集团国防和航空航天业第一部分CC卡数据。
2 美国防承包商公开承认数据泄露
11月,美国国防承包商Electronic Warfare Associates披露黑客入侵他们的电子邮件系统,并窃取包含个人信息的文件后发生的数据泄露事件,泄露信息包括通知接收者的姓名、社会安全号码 (SSN) 和驾驶执照信息。目前尚不清楚被盗信息是否仅影响公司员工,以及是否在事件期间技术文件也被盗。
Electronic Warfare Associates是美国通信、访问控制、模拟、培训、管理、测试和监控系统(雷达)高科技国防硬件和软件解决方案的专家,为其客户提供专业服务和专业产品。其中许多产品是为高度敏感的客户制造的,包括美国国防部(陆军、海军、空军、DARPA、OSD)、司法部和国土安全部 (DHS)。随着EWA在内部开发和设计这些产品,公司电子邮件系统的数据泄露也可能泄露军事技术机密。
3 17国1680万条海关数据泄露
6月, Cyble网络安全公司研究人员获得了一个配置错误的弹性数据库,其中包含1680万条海关数据记录,泄露的数据包括商业和海关相关信息。该事件涉及阿根廷、智利、哥伦比亚、哥斯达黎加、厄瓜多尔、英国、印度、韩国、巴基斯坦、巴拿马、巴拉圭、秘鲁、俄罗斯、乌克兰、乌拉圭、美国和委内瑞拉,总计涉及17个国家。
泄露的数据包含敏感信息,包括:进口商注册日期、进口商详细信息,(姓名、地址、电话号码和电子邮件 ID)、产品描述和数量、商品HS编码、单价、供应商名称和地址等信息。受此次泄漏影响的进口商品数量为11.8万件,暴露的国际标准化编码总数为3.87万条。
泄露的信息有可能揭示竞争对手的策略和定价细节。除此之外,网络犯罪分子可能会进一步滥用它,对受影响的进口商和出口商发起有针对性的网络钓鱼攻击。
4 84亿密码记录库泄露
6月,某黑客论坛发布了一个100GB的txt文件,其中含有84亿条密码记录。据发布用户称,该集合中的所有密码长度都在6-20个字符之间,并移除了所有的非ASCII码字符和空格。该用户称其中包含82亿密码记录,但研究人员检查发现其中包含84.59亿条记录。
论坛用户将其命名为RockYou2021,可能是参考了2009年泄露的RockYou数据集,其中有3200万条明文密码记录泄露。这84亿条唯一的密码集的密码和其他包含用户名、邮箱地址、密码的密码集可以组合使用,因此攻击者可以使用RockYou2021数据集来进行词典攻击和一系列的暴力破解攻击。
5 网络安全公司Cognyte泄露50亿条数据
6月,Comparitech公司安全研究人员在网上发现了一个由网络安全分析公司Cognyte运营的不安全数据库,该数据库采集了从一系列在线数据泄漏事件中收集的约50亿条记录,并且无需身份验证即可访问。
该数据库存储的数据是Cognyte公司网络情报服务的一部分,用于提醒客户注意第三方数据泄漏,但用于交叉检查已知数据泄漏事件的个人信息的数据库本身已暴露。泄露的数据包括姓名、密码、电子邮件地址和泄漏的原始来源。
6 供应商被黑使日本政府大量敏感数据泄露
5月,日本公共广播公司NHK报道,黑客攻击了富士通公司开发的信息共享平台ProjectWEB,多个日本政府部门的敏感数据泄露。目前已知受影响的机构包括国土交通省及基础设施、运输和旅游部、外务省、内阁秘书处及成田国际机场。
富士通指出,攻击者获得了对使用ProjectWEB项目的未经授权访问。尽管此次攻击背后的技术细节尚未公开,但业界人士猜测可能与此前曝光的Accellion公司文件传输工具漏洞有关。
据悉,攻击者已经成功接触到至少76000个邮箱地址与大量专有信息。泄露数据包括内阁秘书处网络安全中心信息系统数据、成田机场空中交通管制数据域航班时刻表、构建数字政府的讨论资料等。
7 以色列最严重数据泄露事件
3月,以色列经济学家报报道称,黑客入侵了选举应用软件Elector背后的开发和运营公司,并窃取了大量数据。目前,包括执政党利库德党在内的多个党派都在使用这款软件。Elector公司已经收到威胁消息,黑客表示除非立即停止运行Elector应用,否则他们将公开窃取到的敏感数据。
此次公开的文件包含约652万位合格选民的姓名与投票编号,以及超过300万以色列公民的详细个人信息,包括姓名、电话号码、身份证号码、家庭住址、性别、年龄与政治倾向等。此次数据泄露意味着超2/3的以色列公民受这次事件的影响。
8 全球最大职业社交网站发生史上最大规模数据泄露事件
6月,全球最大职业社交网站领英被曝发生史上最大规模的数据泄露事件。研究人员发现超过7亿领英用户的数据在暗网平台出售,其中包含了一个100万领英用户的样本数据集。泄露样本数据包括个人姓名、邮箱、电话号码、家庭住址、职业经验和背景信息、工资数据、其他社交媒体账号和用户名等。
领英对此事件回复,通过初步分析发现部分数据都是通过领英API获取的,其余部分数据是来源于其他渠道。
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。