2024年上半年已結(jié)束,全球網(wǎng)絡(luò)安全形勢(shì)依然不容樂(lè)觀(guān)����,網(wǎng)絡(luò)攻擊事件層出不窮�,給企業(yè)和政府機(jī)構(gòu)帶來(lái)了前所未有的挑戰(zhàn)和威脅。黑客組織利用各種手段和技術(shù)�����,不斷試圖突破網(wǎng)絡(luò)安全防線(xiàn)����,竊取敏感信息����、破壞系統(tǒng)運(yùn)行�,甚至進(jìn)行勒索和敲詐,使得網(wǎng)絡(luò)安全問(wèn)題日益凸顯其重要性和緊迫性����。
1 網(wǎng)絡(luò)戰(zhàn)伊朗黑客利用新后門(mén)瞄準(zhǔn)美國(guó)國(guó)防工業(yè)基地實(shí)體
1月3日消息,微軟對(duì)伊朗國(guó)家支持的針對(duì)美國(guó)國(guó)防工業(yè)基地(DIB)組織員工的新攻擊發(fā)出警報(bào)�����。這家科技巨頭將這些攻擊歸咎于Peach Sandstorm���,它用來(lái)命名活動(dòng)集群的名稱(chēng)也被追蹤為APT33�。攻擊方式為向被攻擊者提供一個(gè)新開(kāi)發(fā)的名為FalseFont的后門(mén)����,為攻擊者提供了對(duì)受感染系統(tǒng)的遠(yuǎn)程訪(fǎng)問(wèn),允許他們執(zhí)行文件并將數(shù)據(jù)泄露到命令和控制(C&C)服務(wù)器����。
2 烏克蘭指責(zé)俄羅斯沙蟲(chóng)黑客制造了 Kyivstar 攻擊
1月5日消息����,烏克蘭安全部門(mén)將對(duì)移動(dòng)運(yùn)營(yíng)商 Kyivstar 的網(wǎng)絡(luò)攻擊歸咎于俄羅斯黑客組織 Sandworm�。Kyivstar 是烏克蘭最大的移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商���,2023 年 12 月的網(wǎng)絡(luò)攻擊導(dǎo)致其客戶(hù)暫時(shí)無(wú)法訪(fǎng)問(wèn)互聯(lián)網(wǎng)和移動(dòng)通信�����。Sandworm被認(rèn)為是俄羅斯軍事情報(bào)部門(mén)(GRU)的一個(gè)單位��,被指責(zé)對(duì)烏克蘭關(guān)鍵基礎(chǔ)設(shè)施發(fā)動(dòng)了多次網(wǎng)絡(luò)攻擊��。這次復(fù)雜的攻擊擦除了數(shù)千臺(tái)虛擬服務(wù)器和個(gè)人電腦�,造成了“災(zāi)難性”破壞����。
3 瑞士空軍敏感文件在黑客攻擊中被泄露
1月10日消息,美國(guó)安全公司 Ultra Intelligence & Communications 遭遇數(shù)據(jù)泄露后�����,瑞士空軍的文件在暗網(wǎng)上泄露��。瑞士聯(lián)邦國(guó)防部確認(rèn)瑞士空軍是受影響的組織之一。該勒索軟件團(tuán)伙從這家美國(guó)公司竊取了大約 30 GB 的敏感文件����。泄露的文件包括瑞士國(guó)防部與美國(guó)公司之間的一份價(jià)值近 500 萬(wàn)美元(428 萬(wàn)瑞士法郎)的合同。根據(jù)這份文件和其他泄露的文件�����,國(guó)防部購(gòu)買(mǎi)了用于空軍加密通信的技術(shù)����。在泄露的文件中,還有顯示交易發(fā)生時(shí)間的電子郵件和付款收據(jù)�。瑞士聯(lián)邦國(guó)防部證實(shí),武裝部隊(duì)的作戰(zhàn)系統(tǒng)沒(méi)有受到該事件的影響��。
4 烏克蘭安全局聯(lián)合黑客組織入侵俄互聯(lián)網(wǎng)提供商
1月11日消息����,烏克蘭黑客組織Blackjack稱(chēng)其入侵了俄羅斯互聯(lián)網(wǎng)提供商M9com,以報(bào)復(fù)俄羅斯對(duì)烏克蘭最大電信公司Kyivstar的網(wǎng)絡(luò)攻擊��。據(jù)稱(chēng)烏克蘭安全局(SBU)參與了此次攻擊�����,但具體情況并未公布。目前攻擊方提供了據(jù)稱(chēng)被入侵的M9com系統(tǒng)的屏幕截圖����,并在通過(guò)Tor瀏覽器訪(fǎng)問(wèn)的暗網(wǎng)網(wǎng)站上發(fā)布了竊取的數(shù)據(jù)�。目前M9com在正常運(yùn)營(yíng),其官方網(wǎng)站和俄羅斯媒體也沒(méi)有提及此次攻擊����。這不是烏克蘭黑客組織第一次與SUB合作攻擊俄羅斯:在2023年10月,兩個(gè)親烏克蘭黑客組織和SBU聲稱(chēng)入侵了俄羅斯最大的私人銀行Alfa Bank��。
5 美國(guó)網(wǎng)絡(luò)安全巨頭Mandiant的X賬號(hào)被盜
1月11日消息����,網(wǎng)絡(luò)安全公司Mandiant的X賬戶(hù)被Drainer-as-a-Service(DaaS)團(tuán)伙劫持。攻擊者可能使用了暴力密碼攻擊�,并利用了X公司改組期間因更改策略而產(chǎn)生的雙重認(rèn)證(2FA)漏洞。目前Mandiant重新獲得了其賬戶(hù)的控制權(quán)���,且沒(méi)有發(fā)現(xiàn)其系統(tǒng)受到進(jìn)一步的損害��。然而攻擊者此前已將Mandiant賬戶(hù)關(guān)注者重定向到加密貨幣盜竊的網(wǎng)絡(luò)釣魚(yú)頁(yè)面����,以利用CLINKSINK等Drainer腳本來(lái)竊取偽裝成虛假代幣的資金。近期美國(guó)證券交易委員會(huì)�、Netgear、現(xiàn)代MEA和Web3安全公司CertiK的X賬戶(hù)也遭到類(lèi)似攻擊�,其中利用美國(guó)證券交易委員會(huì)賬戶(hù)發(fā)布的虛假消息甚至導(dǎo)致比特幣價(jià)格一度飆升。
6 俄羅斯黑客組織在世界經(jīng)濟(jì)論壇期間對(duì)瑞士網(wǎng)站發(fā)動(dòng)DDoS攻擊
1月23日消息��,瑞士國(guó)家網(wǎng)絡(luò)安全中心(NCSC)稱(chēng)聯(lián)邦管理局運(yùn)營(yíng)的多個(gè)網(wǎng)站遭受了一波分布式拒絕服務(wù)(DDoS)攻擊����,導(dǎo)致網(wǎng)站運(yùn)行暫時(shí)中斷。名為NoName的俄羅斯黑客組織承認(rèn)發(fā)動(dòng)了此次攻擊�,理由是在瑞士舉行的達(dá)沃斯世界經(jīng)濟(jì)論壇邀請(qǐng)了烏克蘭總統(tǒng)弗拉基米爾?澤連斯基出席。除政府網(wǎng)站外�,NoName還聲稱(chēng)襲擊了當(dāng)?shù)氐臋C(jī)場(chǎng)、鐵路�、酒店和餐館。NoName自2022年3月起發(fā)動(dòng)了1500多次DDoS攻擊����,其經(jīng)常使用免費(fèi)或廉價(jià)的公共云和Web服務(wù)作為DDoS僵尸網(wǎng)絡(luò)的啟動(dòng)平臺(tái)。在攻擊瑞士后���,NoName稱(chēng)未來(lái)將攻擊愛(ài)沙尼亞�����。
7 烏克蘭的關(guān)鍵基礎(chǔ)設(shè)施遭受一系列網(wǎng)絡(luò)攻擊
1月29日消息���,包括該國(guó)最大的國(guó)有石油和天然氣公司Naftogaz在內(nèi)的幾個(gè)烏克蘭關(guān)鍵基礎(chǔ)設(shè)施遭到網(wǎng)絡(luò)攻擊�。Naftogaz 報(bào)告說(shuō)�,惡意行為者攻擊了其數(shù)據(jù)中心,其專(zhuān)家正在尋求解決這個(gè)問(wèn)題��。據(jù)報(bào)道����,烏克蘭網(wǎng)絡(luò)安全機(jī)構(gòu)也在調(diào)查這個(gè)問(wèn)題����,盡管它沒(méi)有提供有關(guān)網(wǎng)絡(luò)攻擊的細(xì)節(jié)。
8 烏克蘭聲稱(chēng)入侵俄羅斯國(guó)防部服務(wù)器
3月5日消息��,烏克蘭國(guó)防部情報(bào)局(GUR)聲稱(chēng)入侵了俄羅斯國(guó)防部(Minoborony)的服務(wù)器并竊取了敏感文件�。烏克蘭政府官方網(wǎng)站上發(fā)布的新聞稿將此次攻擊描述為 GUR 網(wǎng)絡(luò)專(zhuān)家實(shí)施的一次“特別行動(dòng)”。由于此次違規(guī)行為�,GUR 聲稱(chēng)已獲得包含特工信息的敏感文件,包括俄羅斯國(guó)防部用于保護(hù)和加密數(shù)據(jù)的軟件�,俄羅斯國(guó)防部的一系列特勤文件�����,包括命令�����、報(bào)告����、指令和各種其他文件���,在該部的 2000 多個(gè)下屬單位中流傳�,以及建立 Minoborony 系統(tǒng)及其鏈接的完整結(jié)構(gòu)信息����。此前,GUR 聲稱(chēng)俄羅斯空間水文氣象中心(又名“planeta”(планета))���、俄羅斯聯(lián)邦航空運(yùn)輸局(“Rosaviatsia”)和俄羅斯聯(lián)邦稅務(wù)局(FNS)遭到未經(jīng)證實(shí)的入侵�。
9 美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局遭到基于Ivanti漏洞的網(wǎng)絡(luò)攻擊
3月12日消息�,美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)表示在2月期間,該機(jī)構(gòu)因網(wǎng)絡(luò)攻擊而被迫關(guān)閉兩套關(guān)鍵系統(tǒng)����。受感染的系統(tǒng)包括CISA的基礎(chǔ)設(shè)施保護(hù)網(wǎng)關(guān)����,以及提供私營(yíng)部門(mén)化學(xué)品安全信息的化學(xué)品安全評(píng)估工具�����。此次攻擊利用了Ivanti虛擬專(zhuān)用網(wǎng)絡(luò)產(chǎn)品有關(guān)的漏洞�����,CISA的運(yùn)行沒(méi)有受到影響�����,并將很快更換采用問(wèn)題技術(shù)的系統(tǒng)���。此前CISA于2月29日發(fā)布有關(guān)Ivanti漏洞的警報(bào),警告稱(chēng)黑客可能會(huì)繞過(guò)監(jiān)控系統(tǒng)�,而采取Ivanti建議的安全更新和恢復(fù)出廠(chǎng)設(shè)置可有效消除該漏洞。
10 伊朗黑客組織聲稱(chēng)入侵以色列核設(shè)施
3月22日消息��,為聲援“巴勒斯坦伊斯蘭抵抗運(yùn)動(dòng)”(哈馬斯)����,與伊朗有關(guān)的匿名黑客組織聲稱(chēng)入侵了以色列的敏感核設(shè)施西蒙?佩雷斯?內(nèi)蓋夫(Shimon Peres Negev)核研究中心��。該組織稱(chēng)其竊取并發(fā)布了數(shù)千份文件���,包括PDF、電子郵件和PPT文件等�。這些文件表明黑客或許破壞了連接該設(shè)施的IT網(wǎng)絡(luò),但沒(méi)有證據(jù)表明其破壞了該設(shè)施的運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)��。該組織還呼吁該設(shè)施附近的居民撤離��。以色列對(duì)該事件未作回應(yīng)��,據(jù)稱(chēng)該設(shè)施有座與以色列核武器計(jì)劃有關(guān)的反應(yīng)堆�,且一直是哈馬斯火箭彈的攻擊目標(biāo)。
11 俄羅斯軍方黑客疑似攻擊烏克蘭互聯(lián)網(wǎng)服務(wù)提供商
3月22日消息���,俄羅斯軍方黑客在入侵開(kāi)始時(shí)使用的擦除軟件AcidRain出現(xiàn)更新版本�,而該新版惡意軟件已被黑客組織Solntsepek用于攻擊Triacom���、Misto TV���、Linktelecom和KIM這四家烏克蘭互聯(lián)網(wǎng)服務(wù)提供商���。AcidRain在俄烏沖突之初被用于攻擊與Viasat公司服務(wù)有關(guān)的數(shù)千臺(tái)KA-SAT調(diào)制解調(diào)器,而且新變體AcidPour則擁有一系列擴(kuò)展功能和潛在的目標(biāo)定位能力��。有跡象表明多個(gè)烏克蘭電信網(wǎng)絡(luò)受到AcidPour干擾��,導(dǎo)致這些網(wǎng)絡(luò)自3月13日以來(lái)一直處于離線(xiàn)狀態(tài)����。Solntsepek是一個(gè)據(jù)說(shuō)由俄羅斯軍事情報(bào)局(GRU)控制的黑客組織,其之所以發(fā)動(dòng)此次攻擊�,是因?yàn)檫@些提供商向?yàn)蹩颂m政府機(jī)構(gòu)和武裝部隊(duì)提供了互聯(lián)網(wǎng)服務(wù)。負(fù)責(zé)網(wǎng)絡(luò)防御的烏克蘭國(guó)家特殊通信和信息保護(hù)局以及烏克蘭安全局均未對(duì)此事作出回應(yīng)�����。
12 韓國(guó)衛(wèi)星業(yè)務(wù)之心在網(wǎng)絡(luò)攻擊中被攻破
3月28日消息�,韓國(guó)國(guó)家情報(bào)院(NIS)證實(shí),濟(jì)州島的韓國(guó)衛(wèi)星運(yùn)營(yíng)中心最近遭到網(wǎng)絡(luò)入侵���。負(fù)責(zé)管理偵察多用途衛(wèi)星的韓國(guó)衛(wèi)星運(yùn)營(yíng)中心和公共衛(wèi)星Compact Advanced Satellite 500已成為黑客事件的受害者。違規(guī)行為的全部范圍仍不確定���,凸顯了韓國(guó)太空基礎(chǔ)設(shè)施的重大漏洞���。
13 烏克蘭黑客摧毀俄羅斯工業(yè)巨頭數(shù)據(jù)中心
4月9日消息��,與烏克蘭安全局(SBU)網(wǎng)絡(luò)部門(mén)有聯(lián)系的烏克蘭黑客摧毀了俄羅斯工業(yè)巨頭使用的數(shù)據(jù)中心��。其中包括俄羅斯天然氣工業(yè)股份公司����、盧克石油公司�����、電信以及俄羅斯國(guó)防工業(yè)龍頭企業(yè)����。這是烏克蘭黑客組織 BLACKJACK 和 SBU 網(wǎng)絡(luò)部門(mén)的聯(lián)合行動(dòng)。此次攻擊導(dǎo)致超過(guò)300TB的數(shù)據(jù)被毀���,特別是400臺(tái)虛擬服務(wù)器和 42臺(tái)托管物理服務(wù)器內(nèi)部文檔����、備份和其他程序�����。
14 烏克蘭能源部門(mén)受到俄羅斯黑客的網(wǎng)絡(luò)圍攻
4月24日消息,烏克蘭網(wǎng)絡(luò)防御者發(fā)出緊急警告�,稱(chēng)能源部門(mén)正受到俄羅斯黑客網(wǎng)絡(luò)攻擊浪潮的嚴(yán)重威脅,越來(lái)越擔(dān)心今年春天晚些時(shí)候會(huì)發(fā)動(dòng)大規(guī)模攻勢(shì)�����。據(jù)烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組稱(chēng)���,俄羅斯軍事情報(bào)部門(mén)的網(wǎng)絡(luò)戰(zhàn)部門(mén) Sandworm 被稱(chēng)為“全球最廣泛��、最嚴(yán)重的網(wǎng)絡(luò)威脅之一”��。俄羅斯威脅行為者通過(guò)一個(gè)名為“Kapeka”的后門(mén)成功地破壞了至少三條供應(yīng)鏈����。
15 印度警軍方500GB生物特征數(shù)據(jù)遭泄露
5月27日消息�,網(wǎng)絡(luò)安全研究員發(fā)現(xiàn)并報(bào)告了一個(gè)未加密保護(hù)的數(shù)據(jù)庫(kù),包含超過(guò)160萬(wàn)份文檔(總計(jì)約496.4GB)��,內(nèi)容涉及印度軍事人員�����、警察及其他職工的面部掃描圖像�、指紋、簽名等身份標(biāo)記�,同時(shí)還有出生證明、電子郵件地址��、教育信息等文件���。這起數(shù)據(jù)泄露事件涉及2021年至2024年的記錄����,并引發(fā)了對(duì)身份盜竊和選舉安全的擔(dān)憂(yōu)�。
16 黑客使用 MS Excel 宏發(fā)起多階段惡意軟件攻擊
6月5日消息,據(jù)觀(guān)察����,一種針對(duì)定位到烏克蘭端點(diǎn)的新型復(fù)雜網(wǎng)絡(luò)攻擊,旨在部署 Cobalt Strike 并奪取對(duì)受感染主機(jī)的控制權(quán)���。攻擊鏈涉及一個(gè) Microsoft Excel 文件�,該文件帶有嵌入式 VBA 宏以啟動(dòng)感染��。攻擊者使用多階段惡意軟件策略來(lái)提供臭名昭著的Cobalt Strike有效載荷�,并與命令和控制(C2)服務(wù)器建立通信。這種攻擊采用了各種規(guī)避技術(shù)來(lái)確保有效載荷的成功交付。Cobalt Strike 由 Fortra 開(kāi)發(fā)和維護(hù)��,是用于紅隊(duì)行動(dòng)的合法對(duì)手模擬工具包�。然而,多年來(lái)�,該軟件的破解版本已被威脅行為者廣泛利用以達(dá)到惡意目的。
17 烏克蘭對(duì)俄政府機(jī)構(gòu)發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊
6月7日消息���,當(dāng)?shù)貢r(shí)間6月5日���,烏克蘭國(guó)防部情報(bào)總局的網(wǎng)絡(luò)專(zhuān)家對(duì)俄政府機(jī)構(gòu)和大公司進(jìn)行了大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊。俄羅斯多個(gè)政府機(jī)構(gòu)和私營(yíng)企業(yè)的工作實(shí)際上已經(jīng)癱瘓���。截至6月5日11時(shí)����,俄羅斯國(guó)防部���、財(cái)政部�、內(nèi)政部�����、司法部、工業(yè)和能源部�、信息技術(shù)部等機(jī)構(gòu)網(wǎng)絡(luò)癱瘓。俄羅斯聯(lián)邦稅務(wù)局的網(wǎng)站和服務(wù)也出現(xiàn)了故障����。此外俄羅斯儲(chǔ)蓄銀行和阿爾法銀行機(jī)構(gòu)的服務(wù)也無(wú)法使用����。俄羅斯方面對(duì)此暫無(wú)回應(yīng)。
18 美中央證券公司遭地下勒索軟件組織攻擊
6月12日消息����,地下勒索軟件組織聲稱(chēng)對(duì)中央證券公司發(fā)起了網(wǎng)絡(luò)攻擊,并聲稱(chēng)竊取了42.8GB的敏感數(shù)據(jù)��,包括歷史報(bào)告��、個(gè)人信件�、員工及其親屬的護(hù)照等機(jī)密信息。中央證券公司的網(wǎng)站因此次攻擊而癱瘓�����,外界對(duì)公司的反應(yīng)和損失程度一無(wú)所知�。勒索軟件組織公然索要近300萬(wàn)美元的贖金�,使公司面臨更大困境���。
19 親俄黑客組織Vermin對(duì)烏軍發(fā)動(dòng)網(wǎng)絡(luò)間諜行動(dòng)
6月14日消息�����,近日���,烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT-UA)稱(chēng),隸屬于烏東部親俄武裝的黑客組織Vermin正試圖竊取烏軍裝備中的敏感信息�。Vermin為此使用了合法的文件同步軟件SyncThing和惡意軟件Spectr,一邊通過(guò)網(wǎng)絡(luò)釣魚(yú)郵件將受密碼保護(hù)的惡意文檔投送到目標(biāo)計(jì)算機(jī)上��。其中Spectr可每10秒執(zhí)行一次的截屏操作����,復(fù)制擁有特定擴(kuò)展名的文件,竊取Telegram����、Signal和Skype等即時(shí)通訊應(yīng)用程序中的身份驗(yàn)證數(shù)據(jù),以及竊取Firefox��、Edge和Chrome等瀏覽器中的身份驗(yàn)證信息���、會(huì)話(huà)數(shù)據(jù)和瀏覽歷史記錄等信息�。
20 日本宇宙航空研究開(kāi)發(fā)機(jī)構(gòu)遭到一系列網(wǎng)絡(luò)攻擊
6月26日消息,近日����,日本官方航天機(jī)構(gòu)“宇宙航空研究開(kāi)發(fā)機(jī)構(gòu)”(JAXA)透露,該機(jī)構(gòu)自去年起多次遭到來(lái)自境外的網(wǎng)絡(luò)攻擊�。在最近的攻擊中�����,黑客入侵了JAXA的服務(wù)器��,并獲取了該機(jī)構(gòu)的一般性業(yè)務(wù)運(yùn)營(yíng)信息��,其中包括JAXA與豐田等外部機(jī)構(gòu)之間的通信內(nèi)容�,以及JAXA工作人員的個(gè)人信息等。不過(guò)日本官房長(zhǎng)官林芳正強(qiáng)調(diào)��,與火箭和衛(wèi)星相關(guān)的敏感信息并未受到這些攻擊的影響����,安全部門(mén)正在對(duì)這些攻擊進(jìn)行深入調(diào)查,并關(guān)閉了受影響的JAXA網(wǎng)段��。
