信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

被業(yè)內(nèi)人士定性為網(wǎng)絡(luò)安全“災年”的2023年已經(jīng)翻篇，但過去一年發(fā)生的創(chuàng)記錄的數(shù)據(jù)泄露、勒索軟件、零日漏洞、間諜軟件和供應(yīng)鏈攻擊事件已經(jīng)為2024年全球網(wǎng)絡(luò)安全威脅態(tài)勢定下了主旋律和基調(diào)。

以下我們將回顧各行業(yè)2023年最具影響力和破壞力的十大網(wǎng)絡(luò)安全事件，回顧并總結(jié)這些事件將是2024年伊始網(wǎng)絡(luò)安全專業(yè)人士制訂風險管理策略和目標的重要參考：

一、

殺傷半徑最大的供應(yīng)鏈攻擊：MOVEit Transfer數(shù)據(jù)盜竊攻擊

據(jù)Emsisoft報道，文件傳輸服務(wù)MOVEit的漏洞已經(jīng)導致已2706個組織遭到（勒索軟件）攻擊，超過9300萬人的個人數(shù)據(jù)被泄露。

MOVEit Transfer是由美國Progress Software Corporation子公司Ipswitch開發(fā)的托管文件傳輸(MFT)解決方案，允許企業(yè)使用SFTP、SCP和基于HTTP的上傳在業(yè)務(wù)合作伙伴和客戶之間安全地傳輸文件。

攻擊者可利用MOVEit Transfer服務(wù)器曝出的漏洞入侵并下載用戶存儲的數(shù)據(jù)。

Clop勒索軟件團伙很快聲稱對這些攻擊負責，該團伙此前曾通過Accellion FTA和GoAnywhere中的零日漏洞發(fā)起過類似的攻擊。

2023年另外一起影響廣泛的供應(yīng)鏈攻擊是3CX被朝鮮黑客組織Lazarus攻破，利用該公司的互聯(lián)網(wǎng)語音協(xié)議(VOIP)桌面客戶端通過供應(yīng)鏈攻擊推送惡意軟件。

3CX是一家VoIP IPBX軟件開發(fā)公司，其3CX電話系統(tǒng)被全球超過35萬家公司使用，每天的活躍用戶超過1200萬。

二、

技術(shù)最復雜的間諜軟件攻擊：三角測量

近日，卡巴斯基安全研究人員鮑里斯·拉林（Boris Larin）披露了iPhone歷史上最復雜的間諜軟件攻擊——三角測量（Triangulation）的技術(shù)細節(jié)。該攻擊技術(shù)自2019年以來被用于監(jiān)聽iPhone用戶。

2023年6月俄羅斯政府首次曝光了大規(guī)模的iPhone后門活動，攻擊者利用三角測量攻擊感染了俄羅斯外交使團和數(shù)千名使館工作人員的iPhone。甚至卡巴斯基在自己的網(wǎng)絡(luò)中也發(fā)現(xiàn)了三角測量攻擊，多名卡巴斯基員工中招，這在網(wǎng)絡(luò)安全行業(yè)一度傳為笑談。俄羅斯情報部門(FSB)則指責蘋果公司向美國國家安全局提供針對俄羅斯政府和大使館人員的后門。

三角測量行動（Triangulation）是一種針對蘋果iPhone設(shè)備的間諜軟件活動，利用了多達四個零日漏洞。這些漏洞組合在一起構(gòu)成一個零點擊漏洞，攻擊者可提升權(quán)限并執(zhí)行遠程代碼執(zhí)行。

三、

金融業(yè)最具影響力的安全事件：工商銀行美國子公司被LockBit勒索軟件攻擊

2023年11月10日，中國工商銀行（ICBC）的美國全資子公司工銀金融服務(wù)有限責任公司（ICBCFS）在官網(wǎng)發(fā)布申明稱11月8日遭受了LockBit勒索軟件攻擊，導致部分系統(tǒng)中斷。

攻擊發(fā)生后，由于被攻擊的系統(tǒng)被隔離斷網(wǎng)，工行總部和其他海外分支機構(gòu)并未受到影響，但也導致工銀金融無法清算待處理的美國國債交易，被迫通過U盤發(fā)送結(jié)算數(shù)據(jù)。據(jù)彭博社報道，對工商銀行美國子公司的攻擊已經(jīng)擾亂了美國國債市場。

安全專家Kevin Beaumont推測，攻擊者可能利用了未及時修補的Citrix Bleed漏洞（CVE-2023-4966）。

瑞典網(wǎng)絡(luò)安全公司Truesec的創(chuàng)始人馬庫斯·穆雷(Marcus Murray)表示：“工商銀行遭遇勒索軟件攻擊對全球大型金融企業(yè)來說是一次重大沖擊。從曝光那一刻開始，中國工商銀行的黑客事件將迫使全球大型銀行競相提高防御能力。”

據(jù)路透社11月15日報道，LockBit聲稱工商銀行已經(jīng)支付贖金。

四、

最嚴重的醫(yī)療數(shù)據(jù)泄露事件：23andMe數(shù)據(jù)泄露

2023年10月基因檢測提供商23andMe遭遇撞庫攻擊，導致重大數(shù)據(jù)泄露，690萬用戶的數(shù)據(jù)被泄露。

23andMe表示，攻擊者在撞庫攻擊中僅泄露了少量帳戶，但共精子和濫用其他功能來竊取了數(shù)百萬人的數(shù)據(jù)。

攻擊者試圖出售竊取的數(shù)據(jù)，但在沒有買家接手，最終黑客在論壇上泄露了100萬德系猶太人和400萬英國居民的個人數(shù)據(jù)。其中包括550萬DNA尋親功能用戶和140萬家譜功能用戶。

最終，該數(shù)據(jù)泄露事件導致23andMe因未充分保護數(shù)據(jù)而被提起多起集體訴訟。

五、

最嚴重的云數(shù)據(jù)安全事故：丹麥云服務(wù)商丟失所有用戶數(shù)據(jù)

2023年8月，在被勒索軟件攻擊加密了大部分客戶數(shù)據(jù)后，丹麥托管服務(wù)商CloudNordic和AzeroCloud（兩個品牌屬于同一家公司）被迫關(guān)閉，且數(shù)據(jù)恢復不成功。

CloudNordic的聲明寫道：“由于我們既不能也不想滿足犯罪黑客的贖金要求，CloudNordic的IT團隊和外部專家一直在加緊工作，評估損失并確定可以恢復的內(nèi)容。”

“遺憾的是，我們無法恢復更多數(shù)據(jù)，因此我們的大多數(shù)客戶都丟失了他們的所有數(shù)據(jù)。”

2023年曝光的另外一次嚴重云數(shù)據(jù)安全事故是GoDaddy客戶個人信息泄露。網(wǎng)絡(luò)托管巨頭GoDaddy表示，該公司多年來遭受了一次漏洞，允許未知攻擊者竊取源代碼并在其服務(wù)器上安裝惡意軟件。

此漏洞始于2021年，被攻擊者利用后泄露了120萬托管WordPress客戶的個人信息（包括憑據(jù)），并利用該訪問權(quán)限將網(wǎng)站重定向到其他域名。

沒有黑客組織聲稱對GoDaddy的攻擊負責。

六、

最嚴重的游戲業(yè)網(wǎng)絡(luò)安全事件：GTA5源碼泄露

史上最暢銷游戲大作GTA5（俠盜獵車手5）的源代碼在2023年圣誕夜被泄露，發(fā)布者聲稱此舉是為了替近日被宣判永久監(jiān)視醫(yī)療的Lapsus$黑客組織成員Arion Kurtaj復仇，同時也是為了阻止惡意版本的GTA5源代碼在網(wǎng)上流傳。

2022年黑客組織Lapsus$入侵了游戲公司Rockstar游戲，獲得了對Rockstar內(nèi)部Slack服務(wù)器和Confluencewiki的訪問權(quán)限，并竊取了大量機密數(shù)據(jù)（包括GTA5和GTA6的源代碼及后者的測試版本），Lapsus$隨即泄漏了包括GTA6測試版本在內(nèi)的被盜數(shù)據(jù)，但是GTA5的源代碼直到一年后的圣誕夜才公開泄漏。

目前GTA5的源代碼的下載鏈接在多個渠道上共享，包括暗網(wǎng)網(wǎng)站、Discord以及黑客此前用來泄露被盜Rockstar數(shù)據(jù)的Telegram渠道。

七、

對科技行業(yè)威脅最大的DDoS組織：匿名蘇丹

2023年中，一個名為“匿名蘇丹”的黑客組織的DDoS攻擊癱瘓了多家全球科技巨頭的網(wǎng)站和服務(wù)，這讓所有人都大吃一驚。

該組織的攻擊甚至成功拿下微軟服務(wù)（包括Outlook、OneDrive和Azure門戶）的登錄頁面，這立刻引起了媒體的廣泛關(guān)注。一周多后，微軟最終確認DDoS攻擊導致了這些中斷。

微軟確認：“從2023年6月上旬開始，微軟發(fā)現(xiàn)某些服務(wù)的流量激增，暫時影響了可用性。微軟立即展開調(diào)查，隨后開始追蹤正在進行的DDoS活動，微軟將其追蹤為Storm-1359。”

“匿名蘇丹”后來瞄準了許多其他網(wǎng)站，包括ChatGPT、Cloudflare和美國政府服務(wù)的網(wǎng)站。

不斷增加的DDoS攻擊及其影響促使美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布相關(guān)事件公告。

八、

影響最大的在線金融服務(wù)數(shù)據(jù)泄露事件：PayPal撞庫攻擊

2023年P(guān)ayPal披露其用戶賬戶在大規(guī)模撞庫攻擊中被泄露。該攻擊在2022年12月6日至8日期間發(fā)生，攻擊者攻破了34942個PayPal賬戶。

撞庫攻擊又稱憑據(jù)填充，是指黑客收集大量網(wǎng)絡(luò)上已經(jīng)泄露的某網(wǎng)站的用戶名和密碼，然后使用這些用戶名和密碼去登陸另一個網(wǎng)站。

據(jù)悉，黑客在此次撞庫攻擊中獲取了PayPal賬戶持有人的全名、出生日期、郵政地址、社會安全號碼和個人納稅識別號碼等個人敏感信息。

九、

最嚴重的博彩業(yè)黑客攻擊：米高梅度假村網(wǎng)絡(luò)攻擊導致IT系統(tǒng)關(guān)閉

今年夏天，拉斯維加斯賭場巨頭米高梅國際酒店集團遭受了大規(guī)模攻擊，導致業(yè)務(wù)長期中斷，包括其主要網(wǎng)站、在線預訂以及ATM機、老虎機和信用卡機等賭場內(nèi)服務(wù)。

BlackCat勒索軟件行動聲稱對此次攻擊負責，其附屬機構(gòu)表示，他們在事件期間對100多個ESXi虛擬機管理程序進行了加密。

彭博社報道稱，該組織還入侵了另外一家賭場巨頭Caesars Entertainment的網(wǎng)絡(luò)，后者在SEC的8-K表文件中暗示已向攻擊者付費，以防止客戶被盜數(shù)據(jù)泄露。

這次博彩業(yè)史上最嚴重攻擊據(jù)稱來自一個名為“Scatttered Spider”的松散黑客組織。

Scattered Spider，也稱為0ktapus、Starfraud、UNC3944和MuddledLibra，擅長社會工程，依靠網(wǎng)絡(luò)釣魚、多因素身份驗證(MFA)疲勞轟炸和SIM交換來獲得大規(guī)模的初始網(wǎng)絡(luò)訪問權(quán)限。

該組織的成員是BlackCat勒索軟件團伙的附屬機構(gòu)，由擁有不同技能的年輕英語母語成員組成，經(jīng)常訪問相同的黑客論壇和Telegram頻道。

雖然許多人認為這是一個有凝聚力的團伙，但該團伙本質(zhì)上是一個個人組成的網(wǎng)絡(luò)，每次攻擊都有不同的攻擊者參與。這種流動的結(jié)構(gòu)使得追蹤它們變得具有挑戰(zhàn)性。

Scattered Spider也是之前針對Reddit、MailChimp、Twilio、DoorDash和RiotGames等知名在線服務(wù)發(fā)動攻擊的幕后黑手。

十、

影響最大的軍工企業(yè)安全事件：波音遭LockBit勒索軟件攻擊

2023年10月下旬，波音公司遭遇LockBit勒索軟件攻擊，2023年10月27日，LockBit在數(shù)據(jù)泄露站點發(fā)消息聲稱竊取了波音的大量敏感數(shù)據(jù)，并以此脅迫波音公司，如果不在2023年11月2日前與LockBit組織取得聯(lián)系，將會公開竊取到的敏感數(shù)據(jù)。

此后，波音一度從受害者名單中消失，直至11月7日，LockBit組織再次將波音公司列入受害者名單中，并聲稱波音公司無視其發(fā)出的警告，威脅要發(fā)布大約4GiB的數(shù)據(jù)。可能因雙方談判失敗，LockBit組織于11月10日公開發(fā)布了從波音公司竊取到的21.6GiB數(shù)據(jù)（媒體報道為43GiB，系重復計算了壓縮包和展開后的數(shù)據(jù)）。