英国国防部数百个账号口令在暗网被发现

CSO Online网站2024年12月2日报道，英国国防部（MOD）在暗网搜索中发现了近600个被盗的员工登录凭证，这些凭证用于访问MOD的国防网关网站，一个非机密的员工门户，用于人力资源、电子邮件和协作以及教育和培训。

据报道，这些被盗凭证涉及124个在2024年被泄露的情况。受影响的个人包括从伊拉克、卡塔尔、塞浦路斯以及欧洲和英国本身访问该网关的员工。目前尚不清楚这些被盗凭证是否被成功使用，但由于网站使用多因素身份验证（MFA），这增加了额外的安全屏障。被盗凭证可能使员工面临其他网站的攻击风险，尤其是如果他们在其他网站上重复使用了相同的口令。此外，这些凭证可能被用来构建使用MOD门户的个人画像，使员工面临其他风险。尽管被盗凭证数量相对较小，但这仍然凸显了网络攻击的普遍性和对主动安全措施的需求。

泄露情况

据inews网站11月29日的报道，被盗凭证属于国防部国防网关网站，这是一个非机密门户网站，员工可以使用该网站进行人力资源、电子邮件和协作以及教育和培训。盗窃行为仍在继续，据称2024年已发现124个被盗凭证。受影响的个人包括来自伊拉克、卡塔尔和塞浦路斯等国家以及欧洲和英国本身访问该网关的员工。

报道中缺少一些细节。首先，尚不清楚被盗凭证是否曾被成功使用。这将使人们能够访问个人数据，但报道中并未提及这一点。这可能是因为该网站曾单独报道过使用多因素身份验证 (MFA)，这是目前所有面向公众的政府网站都使用的一项额外的防御攻击措施。根据攻击者的隐秘程度，更深层次的入侵也可能会在日志文件的某个地方留下法医痕迹。

一个重要的问题是谁窃取了这些凭证，以及这是一次投机取巧还是一场更大规模行动的一部分。人们推测这些攻击是由与俄罗斯政府有联系的犯罪分子实施的，尽管这种联系的证据仍不充分。

然而，如果俄罗斯情报部门确实从中受益，那么允许这些凭证发布到暗网上就显得非常草率了，因为他们肯定知道这些损失最终会被发现。

至于凭证是如何被泄露的，inews提到，员工用来访问网站的设备大多是个人设备，而不是军方发放的设备。作为非托管设备，这会增加被泄露的风险。最有可能的途径是通过网络钓鱼攻击，或者不太可能的是，在设备本身上使用信息窃取恶意软件。

CSO Online联系了英国国防部，请其对此事发表评论，但截至发稿时尚未收到回复。

口令隐患何时休？

每次口令在暗网上被发现（如今这种情况很常见）时，这都会再次证实网络安全界每个人都知道的事实：口令本身现在几乎无法防御。即使添加MFA也无法完全解决这一弱点。

网络安全专家兼播客Graham Cluley告诉CSO Online：“使用2FA并不意味着不可能入侵网站。它只是意味着，任何试图入侵网站的人都必须更加坚定，并付出更多努力才能从潜在受害者那里获取2FA代码，并将其与用户名和口令一起输入。”“当然，一个受政府支持的、试图侵入国防部门户网站的黑客更有可能表现出这样的决心。”

更为严重的是，被盗的凭证可能会使暴露的个人在其他网站上受到攻击，因为相同的口令可能被重复使用。

更普遍的担忧是，即使是相对低级别的凭证也可以与其他数据结合使用，以构建使用国防部门户的个人画像。克鲁利说，这可能会以其他方式使员工面临风险。

“国防部员工可能成为网络犯罪分子和政府支持的黑客的目标，他们热衷于从他们那里窃取更多信息或用间谍软件感染他们的系统。网络犯罪分子还对获取个人信息感兴趣，例如私人电子邮件地址、网上银行详细信息和社交媒体帐户，”他说。

可以说，考虑到每天使用国防部网站的人数，四年内窃取600个凭证只是一笔小数目。相反的观点是，网络钓鱼攻击只需危害少数人即可实现其目的。

网络安全专家认为，黑客可能会获取国防部工作人员的其他敏感凭证，包括私人电子邮件账户、网上银行和社交媒体账户，这可能会带来潜在的勒索风险。

一名情报人士称：“这类活动通常是对手秘密招募行动的第一阶段。窃取的数据为黑客提供了个人信息，敌对分子随后可以利用这些信息胁迫或勒索员工。”

网络犯罪情报公司Hudson Rock的首席技术官Alon Gal表示：“此类凭证被盗可能会带来重大的安全挑战，包括供应链风险，以及攻击者在连接平台之间横向移动的能力。”他补充道：“对于国防部人员和承包商来说，这将危及更广泛的运营安全，并可能暴露敏感数据。”

好消息是，尽管每天都有关于俄罗斯混合战争的警告，但至少有人在暗网上搜索时发现了凭证泄露。这意味着主动安全措施。

不太乐观的是，这也表明了当前网络攻击无处不在。10月，英国国家网络安全中心(NCSC)警告称，俄罗斯正在进行大规模数据收集和侦察演习，旨在探查弱点。

又一则凭证泄露事件的消息凸显出，多年前的凭证丢失现在可能会助长这一努力。

日益复杂的网络威胁

网络攻击已经成为现代战争的常见组成部分。仅今年一年，受克里姆林宫保护的黑客就对英国国民医疗服务体系造成了灾难性的破坏，严重威胁了英国的关键紧急服务，并积累了大量敏感数据，以便对英国的关键基础设施发动进一步攻击。

在集成在线系统对于英国关键服务和军事防御的日常运行至关重要的时代，采取足够的措施来保护这些系统并避免遭到国家或其他黑客的进一步破坏和混乱至关重要。

动态黑客软件（称为信息窃取程序）极大地增加了这种风险。受害者点击虚假链接或广告、下载虚假软件更新或成为网络钓鱼电子邮件的受害者后，这种复杂的工具会迅速从设备中提取数据。这些工具可以在俄罗斯市场上以每月约150 元（120英镑）的价格购买，并用于突袭系统以获取有价值的数据，包括登录凭据、浏览器cookie、加密货币钱包和系统数据。

被盗信息随后在地下市场上出售，供其他同伙犯罪分子对机构发动进一步攻击，这使其成为最具活力和紧迫的网络安全威胁之一。

随着俄罗斯对西方的混合战争愈演愈烈，破坏活动席卷了欧洲供应链，扰乱了旅游网络，并在普通人心中植入了恐惧，信息窃取者的影响被人们深刻认识到，对这些攻击的抵御能力也将受到考验。

上个月早些时候，英国军情五处处长肯·麦卡勒姆在接受记者采访时宣布，俄罗斯正致力于在英国各地制造“混乱”。作为其中的一部分，他说英国应该“预计未来测试——并且在某些地方击败——西方的网络防御”。

参考资源

1、https://www.csoonline.com/article/3615760/hundreds-of-uk-ministry-of-defence-passwords-found-circulating-on-the-dark-web.html

2、https://inews.co.uk/news/russian-hacking-software-steal-mod-log-ins-3406382

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。