2023年一年发生的创记录的数据泄露、勒索软件、零日漏洞、间谍软件和供应链攻击事件已经为2024年全球网络安全威胁态势定下了主旋律和基调。以下我们将回顾各行业2023年最具影响力和破坏力的十大网络安全事件,回顾并总结这些事件将是2024年伊始网络安全专业人士制订风险管理策略和目标的重要参考。
一、杀伤半径最大的供应链攻击:MOVEit Transfer数据盗窃攻击
据Emsisoft报道,文件传输服务MOVEit Transfer服务器曝出安全漏洞,漏洞已经导致已2706个组织遭到(勒索软件)攻击,超过9300万人的个人数据被泄露。MOVEit Transfer是由美国Progress Software Corporation子公司Ipswitch开发的托管文件传输(MFT)解决方案,允许企业使用SFTP、SCP和基于HTTP的上传在业务合作伙伴和客户之间安全地传输文件。
Clop勒索软件团伙很快声称对这些攻击负责,该团伙此前曾通过Accellion FTA和GoAnywhere中的零日漏洞发起过类似的攻击。
2023年另外一起影响广泛的供应链攻击是3CX被朝鲜黑客组织Lazarus攻破,利用该公司的互联网语音协议(VOIP)桌面客户端通过供应链攻击推送恶意软件。3CX是一家VoIP IPBX软件开发公司,其3CX电话系统被全球超过35万家公司使用,每天的活跃用户超过1200万。
二、技术最复杂的间谍软件攻击:三角测量
近日,卡巴斯基安全研究人员鲍里斯·拉林(Boris Larin)披露了iPhone历史上最复杂的间谍软件攻击——三角测量(Triangulation)的技术细节。该攻击技术自2019年以来被用于监听iPhone用户。
2023年6月俄罗斯政府首次曝光了大规模的iPhone后门活动,攻击者利用三角测量攻击感染了俄罗斯外交使团和数千名使馆工作人员的iPhone。甚至卡巴斯基在自己的网络中也发现了三角测量攻击,多名卡巴斯基员工中招,这在网络安全行业一度传为笑谈。俄罗斯情报部门(FSB)则指责苹果公司向美国国家安全局提供针对俄罗斯政府和大使馆人员的后门。
三角测量行动(Triangulation)是一种针对苹果iPhone设备的间谍软件活动,利用了多达四个零日漏洞。这些漏洞组合在一起构成一个零点击漏洞,攻击者可提升权限并执行远程代码执行。
三、金融业最具影响力的安全事件:工商银行美国子公司被LockBit勒索软件攻击
2023年11月10日,中国工商银行(ICBC)的美国全资子公司工银金融服务有限责任公司(ICBCFS)在官网发布申明称11月8日遭受了LockBit勒索软件攻击,导致部分系统中断。攻击发生后,由于被攻击的系统被隔离断网,工行总部和其他海外分支机构并未受到影响,但也导致工银金融无法清算待处理的美国国债交易,被迫通过U盘发送结算数据。据彭博社报道,对工商银行美国子公司的攻击已经扰乱了美国国债市场。
安全专家Kevin Beaumont推测,攻击者可能利用了未及时修补的Citrix Bleed漏洞(CVE-2023-4966)。瑞典网络安全公司Truesec的创始人马库斯·穆雷(Marcus Murray)表示:“工商银行遭遇勒索软件攻击对全球大型金融企业来说是一次重大冲击。从曝光那一刻开始,中国工商银行的黑客事件将迫使全球大型银行竞相提高防御能力。”
据路透社11月15日报道,LockBit声称工商银行已经支付赎金。
四、最严重的医疗数据泄露事件:23andMe公司690万数据泄露
2023年10月基因检测提供商23andMe遭遇撞库攻击,导致重大数据泄露,690万用户的数据被泄露。23andMe表示,攻击者在撞库攻击中仅泄露了少量帐户,但共精子和滥用其他功能来窃取了数百万人的数据。
攻击者试图出售窃取的数据,但在没有买家接手,最终黑客在论坛上泄露了100万德系犹太人和400万英国居民的个人数据。其中包括550万DNA寻亲功能用户和140万家谱功能用户。最终,该数据泄露事件导致23andMe因未充分保护数据而被提起多起集体诉讼。
五、最严重的云数据安全事故:丹麦云服务商丢失所有用户数据
2023年8月,在被勒索软件攻击加密了大部分客户数据后,丹麦托管服务商CloudNordic和AzeroCloud(两个品牌属于同一家公司)被迫关闭,且数据恢复不成功。CloudNordic的声明写道:“由于我们既不能也不想满足犯罪黑客的赎金要求,CloudNordic的IT团队和外部专家一直在加紧工作,评估损失并确定可以恢复的内容。”
“遗憾的是,我们无法恢复更多数据,因此我们的大多数客户都丢失了他们的所有数据。”
2023年曝光的另外一次严重云数据安全事故是GoDaddy客户个人信息泄露。网络托管巨头GoDaddy表示,该公司多年来遭受了一次漏洞,允许未知攻击者窃取源代码并在其服务器上安装恶意软件。
此漏洞始于2021年,被攻击者利用后泄露了120万托管WordPress客户的个人信息(包括凭据),并利用该访问权限将网站重定向到其他域名。
没有黑客组织声称对GoDaddy的攻击负责。
六、最严重的游戏业网络安全事件:GTA5源码泄露
史上最畅销游戏大作GTA5(侠盗猎车手5)的源代码在2023年圣诞夜被泄露,发布者声称此举是为了替近日被宣判永久监视医疗的Lapsus$黑客组织成员Arion Kurtaj复仇,同时也是为了阻止恶意版本的GTA5源代码在网上流传。
2022年黑客组织Lapsus$入侵了游戏公司Rockstar游戏,获得了对Rockstar内部Slack服务器和Confluencewiki的访问权限,并窃取了大量机密数据(包括GTA5和GTA6的源代码及后者的测试版本),Lapsus$随即泄漏了包括GTA6测试版本在内的被盗数据,但是GTA5的源代码直到一年后的圣诞夜才公开泄漏。
目前GTA5的源代码的下载链接在多个渠道上共享,包括暗网网站、Discord以及黑客此前用来泄露被盗Rockstar数据的Telegram渠道。
七、对科技行业威胁最大的DDoS组织:匿名苏丹
2023年中,一个名为“匿名苏丹”的黑客组织的DDoS攻击瘫痪了多家全球科技巨头的网站和服务,这让所有人都大吃一惊。该组织的攻击甚至成功拿下微软服务(包括Outlook、OneDrive和Azure门户)的登录页面,这立刻引起了媒体的广泛关注。一周多后,微软最终确认DDoS攻击导致了这些中断。
微软确认:“从2023年6月上旬开始,微软发现某些服务的流量激增,暂时影响了可用性。微软立即展开调查,随后开始追踪正在进行的DDoS活动,微软将其追踪为Storm-1359。”
“匿名苏丹”后来瞄准了许多其他网站,包括ChatGPT、Cloudflare和美国政府服务的网站。
不断增加的DDoS攻击及其影响促使美国网络安全和基础设施安全局(CISA)发布相关事件公告。
八、影响最大的在线金融服务数据泄露事件:PayPal撞库攻击
2023年PayPal披露其用户账户在大规模撞库攻击中被泄露。该攻击在2022年12月6日至8日期间发生,攻击者攻破了34942个PayPal账户。
撞库攻击又称凭据填充,是指黑客收集大量网络上已经泄露的某网站的用户名和密码,然后使用这些用户名和密码去登陆另一个网站。据悉,黑客在此次撞库攻击中获取了PayPal账户持有人的全名、出生日期、邮政地址、社会安全号码和个人纳税识别号码等个人敏感信息。
九、最严重的博彩业黑客攻击:米高梅度假村网络攻击导致IT系统关闭
今年夏天,拉斯维加斯赌场巨头米高梅国际酒店集团遭受了大规模攻击,导致业务长期中断,包括其主要网站、在线预订以及ATM机、老虎机和信用卡机等赌场内服务。
BlackCat勒索软件行动声称对此次攻击负责,其附属机构表示,他们在事件期间对100多个ESXi虚拟机管理程序进行了加密。彭博社报道称,该组织还入侵了另外一家赌场巨头Caesars Entertainment的网络,后者在SEC的8-K表文件中暗示已向攻击者付费,以防止客户被盗数据泄露。
这次博彩业史上最严重攻击据称来自一个名为“Scatttered Spider”的松散黑客组织。Scattered Spider,也称为0ktapus、Starfraud、UNC3944和MuddledLibra,擅长社会工程,依靠网络钓鱼、多因素身份验证(MFA)疲劳轰炸和SIM交换来获得大规模的初始网络访问权限。该组织的成员是BlackCat勒索软件团伙的附属机构,由拥有不同技能的年轻英语母语成员组成,经常访问相同的黑客论坛和Telegram频道。虽然许多人认为这是一个有凝聚力的团伙,但该团伙本质上是一个个人组成的网络,每次攻击都有不同的攻击者参与。这种流动的结构使得追踪它们变得具有挑战性。
Scattered Spider也是之前针对Reddit、MailChimp、Twilio、DoorDash和RiotGames等知名在线服务发动攻击的幕后黑手。
十、影响最大的军工企业安全事件:波音遭LockBit勒索软件攻击
2023年10月下旬,波音公司遭遇LockBit勒索软件攻击,2023年10月27日,LockBit在数据泄露站点发消息声称窃取了波音的大量敏感数据,并以此胁迫波音公司,如果不在2023年11月2日前与LockBit组织取得联系,将会公开窃取到的敏感数据。
此后,波音一度从受害者名单中消失,直至11月7日,LockBit组织再次将波音公司列入受害者名单中,并声称波音公司无视其发出的警告,威胁要发布大约4GiB的数据。可能因双方谈判失败,LockBit组织于11月10日公开发布了从波音公司窃取到的21.6GiB数据(媒体报道为43GiB,系重复计算了压缩包和展开后的数据)。