在信息技術飛速發展的今天,網絡安全事件頻發,給個人隱私、企業運營乃至國家安全帶來了嚴峻挑戰。本文旨在通過對2023年至2024年全球重大網絡安全事件的梳理,分析網絡安全的現狀和趨勢。
在這段時間內,全球經歷了多起重大網絡安全事件,包括數據泄露、勒索軟件攻擊、供應鏈攻擊等。這些事件不僅對受影響組織造成了直接經濟損失,還對公眾信任和品牌價值造成了長遠影響。
2023年重量級別安全事件
網絡安全公司wangsucloudy在2023年互聯網安全報告中公布的數據表明,僅該公司web app流量中檢測到的攻擊請求相比2022年增加了30%。通過下圖2023年和2022年攻擊趨勢對比可以看出,全球Web應用程序攻擊仍在持續增長。
圖:wangsucloud公司web app流量中檢測到的攻擊請求相比2022年增加了30%。
23andMe個人關鍵信息遭竊:2023年10月,基因檢測巨頭23andMe遭遇撞庫攻擊,導致690萬用戶的敏感信息被泄露,包括家族譜系、出生年份和地理位置等關鍵數據。
供應鏈攻擊事件:MOVEit Transfer數據盜竊攻擊影響了2706個組織,超過9300萬人的個人資料被泄露,受害者遍及20多個國家、10多個行業。這種類型的攻擊通常利用軟件或服務的漏洞,通過供應鏈傳播惡意軟件,影響廣泛且難以防范;同期,VoiP 軟件提供商 3CX 遭遇供應鏈攻擊,攻擊發起方是朝鮮黑客組織 UNC4736 ,他們大約在 2021 年入侵了提供交易軟件的 Trading Technologies 公司,篡改了 X_Trader 軟件的安裝程序,植入了 VEILEDSIGNAL 后門,2023 年一名 3CX 員工下載了被植入后門的 X_Trader 軟件,攻擊者在感染了員工計算機之后滲透進入企業網絡,最終篡改了 3CX 的桌面應用。
間諜軟件攻擊:技術復雜的間諜軟件攻擊如“三角測量”,利用多達四個零日漏洞,自2019年以來被用于監聽iPhone用戶。數千臺蘋果手機受到了感染,包括俄羅斯公民及外交官員的手機,受影響的對象還包括北約國家、以色列、敘利亞和中國等國,這類攻擊往往由國家級別的黑客組織發起,目的在于竊取敏感信息和監控目標。
金融業安全事件:中國工商銀行美國子公司遭受LockBit勒索軟件攻擊,導致部分系統中斷,影響了美國國債市場的交易。金融行業的網絡安全事件可能導致嚴重的經濟損失和市場動蕩。
云數據安全事故:丹麥云服務商CloudNordic和AzeroCloud在被勒索軟件攻擊后,無法恢復客戶數據,導致大多數客戶丟失了他們的所有數據。隨著云計算的普及,云服務提供商成為攻擊者的重要目標,一旦發生安全事件,影響范圍廣泛。
游戲業網絡安全事件:GTA5源代碼在2023年圣誕夜被泄露,這是繼2022年Lapsus$黑客組織入侵游戲公司Rockstar游戲后的又一事件。游戲行業的網絡安全事件可能導致知識產權泄露和品牌形象受損。
DDoS攻擊:“匿名蘇丹”的黑客組織的DDoS攻擊癱瘓了多家全球科技巨頭的網站和服務,包括微軟服務(包括Outlook、OneDrive和Azure門戶)。DDoS攻擊通過流量超載使服務不可用,影響用全球范圍得戶體驗,一度使得使用者更新和升級服務無法連接。
在線金融服務數據泄露:PayPal披露其用戶帳戶在大規模撞庫攻擊中被泄露,涉及34942個PayPal賬戶。在線金融服務的數據泄露可能導致用戶財產損失和信任危機。
博彩業受到黑客攻擊:米高梅國際酒店集團遭受BlackCat勒索軟件攻擊,攻擊影響了米高梅酒店、賭場的網絡系統,造成了巨大的經濟損失。博彩行業由于其高利潤和疏松得監管環境,成為網絡犯罪分子的目標。
軍工企業安全事件:GE(通用電氣)疑遭黑客攻擊,包含大量敏感軍事機密信息數據被黑客在論壇中出售,數據報括大量與 DARPA 相關的軍事信息、文件等;波音公司遭遇LockBit勒索軟件攻擊,LockBit聲稱竊取了波音的大量敏感數據。軍工企業的網絡安全事件可能威脅國家安全和軍事優勢。
2023 年底的 12 月,美國愛達荷國家實驗室(INL)遭受網絡攻擊。黑客組織 SiegedSec 宣布已獲得 INL 數據的訪問權限,其中包括“數十萬”員工、系統用戶和公民的詳細信息。SiegedSec 沒有與受害者談判或索要贖金,而是直接在黑客論壇和該組織運營的 Telegram 頻道上公開泄露了被盜數據。作為美國最大的核能研究設施,愛達荷國家實驗室在核能領域具有舉足輕重的地位。此次攻擊事件引起了廣泛關注并采取措施確保員工數據安全。
盡管2024年還沒有走完,但是一系列安全事件依然讓身處其中的人們神經緊繃
Ivanti VPN攻擊:Ivanti Connect Secure VPN的兩個零日漏洞被利用,加拿大全球事務部 VPN 系統被“破壞”:1 月 30 日,加拿大全球事務部(即外交部)的虛擬專用網絡系統被入侵,隱私數據和電子郵件被泄露。受害者名單包括世界各地的政府和軍事部門、國家電信公司、國防承包商、技術公司、銀行、金融和會計機構、全球咨詢公司以及航天、航空和工程公司。這些攻擊促使CISA向美國聯邦政府的行政部門發出緊急命令,要求采取緊急措施,在48小時內斷開其ICS VPN的連接。
多區域互聯網注冊機構數據泄露:1 月 29 日,全球五大區域互聯網注冊機構中的 RIPE、APNIC、AFRINIC 和 LACNIC 四家,因感染惡意軟件,導致暗網上出現大量數據泄露,受害者包含來自多個國家政府、大型金融機構、研究機構和 IT 企業等。
微軟高管賬戶泄露:2024年2月,微軟公司高管的電子郵件系統被泄露,攻擊者訪問到了很多企業電子郵件帳戶。名為Volt Typhoon組織劫持了位于美國的“數百臺”小型辦公室/家庭辦公室(SOHO)路由器,并將其組成僵尸網絡對美國關鍵基礎設施發動攻擊。FBI表示,Volt Typhoon攻擊的目標包括通信、能源、水和交通等關鍵服務提供商。
2月底,FBI發現并消滅了俄羅斯網絡間諜在惡意軟件活動中使用的另一個小型辦公室/家庭辦公室(SOHO)路由器僵尸網絡。該僵尸網絡由網絡犯罪分子使用已知的“Moobot”惡意軟件構建,后來被俄羅斯APT組織(APT28,也被稱為Forest Blizzard/Sofacy/Fancy Bear,與俄羅斯情報局GRU有聯系)收編。網絡犯罪分子在Ubiquiti Edge OS路由器上安裝了Moobot惡意軟件,而這些路由器仍然使用公開的默認管理員密碼。GRU黑客隨后使用Moobot惡意軟件安裝他們自己的定制腳本和文件,重新調整僵尸網絡的用途,將其變成一個全球網絡間諜平臺。
醫療保健系統中斷:Change Healthcare公司遭受勒索軟件攻擊,導致美國醫療保健系統中斷數周,許多藥店和醫院無法處理索賠和接收付款。
ConnectWise ScreenConnect存在兩個漏洞,可導致數萬家企業遭受重大網絡攻擊,黑客們利用這兩項漏洞部署勒索病毒。
XZ Utils軟件供應鏈攻擊:在最新版本的XZ Utils中發現被植入的惡意代碼,涉及Linux發行版中的通用數據壓縮格式,Redhat 和美國網絡安全與基礎設施安全局(CISA)警告稱,這些惡意代碼可能會引發軟件供應鏈攻擊危機。
AT&T資料泄露攻擊:涉及約760萬當前客戶和約6540萬前客戶的個人信息泄露。
美國國家環境保護局資料泄露攻擊:涉及超過850萬用戶的個人隱私信息泄露。
Giant Tiger用戶數據竊取攻擊:超過280萬客戶的個人信息被竊取。
佳士得拍賣行網絡攻擊:導致其拍賣網站在春季拍賣活動開始前臨時脫機。
CDK網絡攻擊:CDK Global遭遇勒索軟件攻擊,導致其汽車經銷商客戶軟件平臺癱瘓。
2024 年4月到7月間,微軟發現伊朗 APT 組織使用新型 Tickler 惡意軟件對美國和阿聯酋的政府、國防、衛星、石油和天然氣部門組織的網絡進行后門攻擊。該組織利用 Microsoft Azure 基礎設施進行命令和控制,使用欺詐性的、攻擊者控制的基礎設施。此外,微軟還發現伊朗 APT 組織冒充著名記者進行魚叉式網絡釣魚攻擊。
根據中國大陸有關機構公布的資料,從2023 年 7 月至 2024 年 6 月間,全球共有 26 個勒索病毒組織向中國大陸的 71 個機構組織發動了攻擊并實施勒索,同比增長 100%!其中制造業受害情況最為嚴重。中國的制造業企業的運營技術系統落實最優的網絡安全實踐方案,其有限的防御能力使得制造業企業更容易成為勒索軟件攻擊的目標。
提升網絡安全防護能力
上述網絡安全事件的原因多種多樣,包括技術漏洞、人為失誤、內部威脅、國家間的網絡戰爭等。為了應對日益復雜的網絡安全威脅,企業和政府機構正在采取多層次的安全策略。這包括技術防護、員工培訓、應急響應計劃和合規性管理。此外,定期的風險評估和危害分析、業務影響分析、應急組織的建立、應急程序和流程的制定也成為必不可少的工作之一。
網絡安全事件的頻發和復雜性要求全球范圍內的政府、企業和組織加強合作,共同提升網絡安全防護能力。通過實施綜合性的安全策略和持續的技術創新,可以有效地降低網絡安全風險,保護關鍵數據和系統免受攻擊。
(本文參考了包括零信任關鍵技術與產業發展研究、2023年下半年全球威脅態勢研究報告、CyberEdge 2024 Cyberthreat Defense Report以及Microsoft Digital Defense Report 2023等多個數據源,以確保分析的準確性和全面性。)
