美国政府发布2023网络安全年报,披露11起重大事件,软件供应链攻击近50%

2024-06-17 16:00

根据白宫最新发布的报告显示,2023年,美国联邦机构报告的网络安全事件数量高达32211起,同比增长9.9%,卫生与公众服务部、财政部、司法部等部门一共上报了11起重大事件,其中软件供应链安全相关攻击达5件,占比近50%。

美国政府发布2023网络安全年报,披露11起重大事件.jpg

根据M-23-03备忘录,如果事件符合以下两种描述之一,就被定义为重大事件:

  • 任何可能会对美国的国家安全利益、外交关系或经济,或对公众信心、公民自由或美国人民的公共健康和安全造成实际危害的事件;

  • 涉及个人可识别信息(PII)的数据泄露。如果数据被窃取、修改、删除或以其他方式破坏,可能会对美国的国家安全利益、外交关系或经济,或对公众信心、公民自由或美国人民的公共健康和安全造成实际危害。

卫生与公众服务部

//关键词:勒索攻击,供应链攻击,承包商

报告将首起事件描述为勒索软件攻击,主要针对支持该部门卫生与医疗保险服务中心的承包商拥有和运营的系统。这次攻击专门针对网络文件共享,导致280万人的个人数据暴露,其中约一半个人已经去世。暴露信息包括姓名、地址、出生日期、医疗保险号码和银行信息。事件听起来类似Maximus公司遭遇的MOVEit攻击事件。该公司负责为医疗保险和医疗补助提供行政服务。不过,那起事件影响了800-1100万人,而不仅仅是280万人,攻击者也没有部署勒索软件。

卫生与公众服务部的另一起重大事件依然是承包商的过失。攻击者利用零日漏洞入侵了两名承包商的个人数据托管系统。据信,188万人的数据可能受到影响,包括所有常见的数据类型,某些情况下还涉及社会保障号码和医疗诊断。


财政部

//关键词:编码错误,网络钓鱼,数据泄露

2023年,美国财政部也发生了两起重大事件。第一起可以被认为是两起单独的事件,因为事件中同一数据集被连续披露两次。这起事件于2022年9月被美国国税局(IRS)公布。攻击导致990-T表格中包含的姓名、地址、电子邮件地址和电话号码可以公开下载。事件源于编码错误。尽管数据很快从公共网络服务器中删除,但相关供应商却没有从缓冲服务器中删除数据,不经意地导致数据第二次公开。

第二起事件中,该部门监察长办公室(OIG)的一名员工被一名某国政府支持的攻击者钓鱼,之后无意中泄露了登录凭据。攻击者接管了账户大约15小时,可以访问各种文件。好在,攻击者尚未进行横向移动或部署恶意软件之前就被逐出系统。


司法部

//关键词:勒索软件,供应链攻击,数据泄露

美国司法部在2023财年遭遇了两起成功的勒索软件攻击。第一起事件攻击了美国法警(USMS)的一台计算机,暴露了相关人员的个人数据。由于响应迅速,事件影响有限。

关于第二起事件的详细信息并不多。这次攻击对提供案件数据分析支持的供应商造成影响,导致了个人和医疗数据的泄露。所有受影响的人都获得了必要的信用监控服务。


政部

//关键词:内部人为失误,数据泄露

美国内政部仅发生了一起重大案件,而这纯属意外。据报告描述,一位授权开发人员修改了工资系统的安全政策,错误地允许人力资源人员查看36个联邦机构客户的记录。

据信,大约147000的个人数据可能因此泄露。尽管架构更改引发事故,操作受影响系统的内政业务中心没有进行隐私影响评估。事后,内政部加强了内部流程和培训。


消费者金融保护局

//关键词:内部泄密,数据泄露

由于员工(现已被开除)作案,美国消费者金融保护局遭受了数据泄露。该员工发送了14封电子邮件和两张电子表格,其中包含约256000名与单一金融机构相关的消费者的个人数据。消费者金融保护局要求这名犯罪分子删除电子邮件并提供删除证据,却遭到无视。官方评估认为,这些电子邮件包含的数据无法用于访问个人账户或进行身份盗用,但仍然选择向受影响个人发出通知。


交通部

//关键词:漏洞,系统入侵,供应链攻击,数据泄露

交通部多个管理系统遭到入侵,且支持TRANServe计划的停车和交通福利系统(PTBS)中的个人数据遭到窃取。大约237000人的个人信息可能受到影响。攻击者通过利用一个未修补的“商业Web应用开发平台”中的关键漏洞获取了访问权限,并窃取了姓名、住址和工作地址以及社会安全号码的最后四位数字等详细信息。


人事管理局

//关键词:MOVEit攻击,供应链攻击,数据泄露

虽然报告未明确提到MOVEit,但几乎可以肯定Cl0p是美国人事管理局2023财年唯一一起重大事件的幕后黑手。该局一名承包商使用MOVEit MFT软件协助管理联邦雇员观点调查信息。结果导致数据泄露,涉及约632000名司法和国防部门雇员。


能源部

//关键词:MOVEit攻击,供应链攻击,数据泄露

这大概率是另一起MOVEit攻击事件,影响了美国能源部的废物隔离试验场和橡树岭大学联盟。34000名参与可能接触核废料等危险物质人员补助项目的前能源部员工遭遇数据泄露,泄露数据包括个人和健康数据。

能源部下属的科学办公室约有66000员工也受到了影响。他们的姓名、出生日期、完整或部分社会安全号码、护照细节和国籍遭到泄露。


本文主要内容来源于https://www.theregister.com/2024/06/12/white_house_report/