在信息技术飞速发展的今天,网络安全事件频发,给个人隐私、企业运营乃至国家安全带来了严峻挑战。本文旨在通过对2023年至2024年全球重大网络安全事件的梳理,分析网络安全的现状和趋势。
在这段时间内,全球经历了多起重大网络安全事件,包括数据泄露、勒索软件攻击、供应链攻击等。这些事件不仅对受影响组织造成了直接经济损失,还对公众信任和品牌价值造成了长远影响。
2023年重量级别安全事件
网络安全公司wangsucloudy在2023年互联网安全报告中公布的数据表明,仅该公司web app流量中检测到的攻击请求相比2022年增加了30%。通过下图2023年和2022年攻击趋势对比可以看出,全球Web应用程序攻击仍在持续增长。
图:wangsucloud公司web app流量中检测到的攻击请求相比2022年增加了30%。
23andMe个人关键信息遭窃:2023年10月,基因检测巨头23andMe遭遇撞库攻击,导致690万用户的敏感信息被泄露,包括家族谱系、出生年份和地理位置等关键数据。
供应链攻击事件:MOVEit Transfer数据盗窃攻击影响了2706个组织,超过9300万人的个人资料被泄露,受害者遍及20多个国家、10多个行业。这种类型的攻击通常利用软件或服务的漏洞,通过供应链传播恶意软件,影响广泛且难以防范;同期,VoiP 软件提供商 3CX 遭遇供应链攻击,攻击发起方是朝鲜黑客组织 UNC4736 ,他们大约在 2021 年入侵了提供交易软件的 Trading Technologies 公司,篡改了 X_Trader 软件的安装程序,植入了 VEILEDSIGNAL 后门,2023 年一名 3CX 员工下载了被植入后门的 X_Trader 软件,攻击者在感染了员工计算机之后渗透进入企业网络,最终篡改了 3CX 的桌面应用。
间谍软件攻击:技术复杂的间谍软件攻击如“三角测量”,利用多达四个零日漏洞,自2019年以来被用于监听iPhone用户。数千台苹果手机受到了感染,包括俄罗斯公民及外交官员的手机,受影响的对象还包括北约国家、以色列、叙利亚和中国等国,这类攻击往往由国家级别的黑客组织发起,目的在于窃取敏感信息和监控目标。
金融业安全事件:中国工商银行美国子公司遭受LockBit勒索软件攻击,导致部分系统中断,影响了美国国债市场的交易。金融行业的网络安全事件可能导致严重的经济损失和市场动荡。
云数据安全事故:丹麦云服务商CloudNordic和AzeroCloud在被勒索软件攻击后,无法恢复客户数据,导致大多数客户丢失了他们的所有数据。随着云计算的普及,云服务提供商成为攻击者的重要目标,一旦发生安全事件,影响范围广泛。
游戏业网络安全事件:GTA5源代码在2023年圣诞夜被泄露,这是继2022年Lapsus$黑客组织入侵游戏公司Rockstar游戏后的又一事件。游戏行业的网络安全事件可能导致知识产权泄露和品牌形象受损。
DDoS攻击:“匿名苏丹”的黑客组织的DDoS攻击瘫痪了多家全球科技巨头的网站和服务,包括微软服务(包括Outlook、OneDrive和Azure门户)。DDoS攻击通过流量超载使服务不可用,影响用全球范围得户体验,一度使得使用者更新和升级服务无法连接。
在线金融服务数据泄露:PayPal披露其用户帐户在大规模撞库攻击中被泄露,涉及34942个PayPal账户。在线金融服务的数据泄露可能导致用户财产损失和信任危机。
博彩业受到黑客攻击:米高梅国际酒店集团遭受BlackCat勒索软件攻击,攻击影响了米高梅酒店、赌场的网络系统,造成了巨大的经济损失。博彩行业由于其高利润和疏松得监管环境,成为网络犯罪分子的目标。
军工企业安全事件:GE(通用电气)疑遭黑客攻击,包含大量敏感军事机密信息数据被黑客在论坛中出售,数据报括大量与 DARPA 相关的军事信息、文件等;波音公司遭遇LockBit勒索软件攻击,LockBit声称窃取了波音的大量敏感数据。军工企业的网络安全事件可能威胁国家安全和军事优势。
2023 年底的 12 月,美国爱达荷国家实验室(INL)遭受网络攻击。黑客组织 SiegedSec 宣布已获得 INL 数据的访问权限,其中包括“数十万”员工、系统用户和公民的详细信息。SiegedSec 没有与受害者谈判或索要赎金,而是直接在黑客论坛和该组织运营的 Telegram 频道上公开泄露了被盗数据。作为美国最大的核能研究设施,爱达荷国家实验室在核能领域具有举足轻重的地位。此次攻击事件引起了广泛关注并采取措施确保员工数据安全。
尽管2024年还没有走完,但是一系列安全事件依然让身处其中的人们神经紧绷
Ivanti VPN攻击:Ivanti Connect Secure VPN的两个零日漏洞被利用,加拿大全球事务部 VPN 系统被“破坏”:1 月 30 日,加拿大全球事务部(即外交部)的虚拟专用网络系统被入侵,隐私数据和电子邮件被泄露。受害者名单包括世界各地的政府和军事部门、国家电信公司、国防承包商、技术公司、银行、金融和会计机构、全球咨询公司以及航天、航空和工程公司。这些攻击促使CISA向美国联邦政府的行政部门发出紧急命令,要求采取紧急措施,在48小时内断开其ICS VPN的连接。
多区域互联网注册机构数据泄露:1 月 29 日,全球五大区域互联网注册机构中的 RIPE、APNIC、AFRINIC 和 LACNIC 四家,因感染恶意软件,导致暗网上出现大量数据泄露,受害者包含来自多个国家政府、大型金融机构、研究机构和 IT 企业等。
微软高管账户泄露:2024年2月,微软公司高管的电子邮件系统被泄露,攻击者访问到了很多企业电子邮件帐户。名为Volt Typhoon组织劫持了位于美国的“数百台”小型办公室/家庭办公室(SOHO)路由器,并将其组成僵尸网络对美国关键基础设施发动攻击。FBI表示,Volt Typhoon攻击的目标包括通信、能源、水和交通等关键服务提供商。
2月底,FBI发现并消灭了俄罗斯网络间谍在恶意软件活动中使用的另一个小型办公室/家庭办公室(SOHO)路由器僵尸网络。该僵尸网络由网络犯罪分子使用已知的“Moobot”恶意软件构建,后来被俄罗斯APT组织(APT28,也被称为Forest Blizzard/Sofacy/Fancy Bear,与俄罗斯情报局GRU有联系)收编。网络犯罪分子在Ubiquiti Edge OS路由器上安装了Moobot恶意软件,而这些路由器仍然使用公开的默认管理员密码。GRU黑客随后使用Moobot恶意软件安装他们自己的定制脚本和文件,重新调整僵尸网络的用途,将其变成一个全球网络间谍平台。
医疗保健系统中断:Change Healthcare公司遭受勒索软件攻击,导致美国医疗保健系统中断数周,许多药店和医院无法处理索赔和接收付款。
ConnectWise ScreenConnect存在两个漏洞,可导致数万家企业遭受重大网络攻击,黑客们利用这两项漏洞部署勒索病毒。
XZ Utils软件供应链攻击:在最新版本的XZ Utils中发现被植入的恶意代码,涉及Linux发行版中的通用数据压缩格式,Redhat 和美国网络安全与基础设施安全局(CISA)警告称,这些恶意代码可能会引发软件供应链攻击危机。
AT&T资料泄露攻击:涉及约760万当前客户和约6540万前客户的个人信息泄露。
美国国家环境保护局资料泄露攻击:涉及超过850万用户的个人隐私信息泄露。
Giant Tiger用户数据窃取攻击:超过280万客户的个人信息被窃取。
佳士得拍卖行网络攻击:导致其拍卖网站在春季拍卖活动开始前临时脱机。
CDK网络攻击:CDK Global遭遇勒索软件攻击,导致其汽车经销商客户软件平台瘫痪。
2024 年4月到7月间,微软发现伊朗 APT 组织使用新型 Tickler 恶意软件对美国和阿联酋的政府、国防、卫星、石油和天然气部门组织的网络进行后门攻击。该组织利用 Microsoft Azure 基础设施进行命令和控制,使用欺诈性的、攻击者控制的基础设施。此外,微软还发现伊朗 APT 组织冒充著名记者进行鱼叉式网络钓鱼攻击。
根据中国大陆有关机构公布的资料,从2023 年 7 月至 2024 年 6 月间,全球共有 26 个勒索病毒组织向中国大陆的 71 个机构组织发动了攻击并实施勒索,同比增长 100%!其中制造业受害情况最为严重。中国的制造业企业的运营技术系统落实最优的网络安全实践方案,其有限的防御能力使得制造业企业更容易成为勒索软件攻击的目标。
提升网络安全防护能力
上述网络安全事件的原因多种多样,包括技术漏洞、人为失误、内部威胁、国家间的网络战争等。为了应对日益复杂的网络安全威胁,企业和政府机构正在采取多层次的安全策略。这包括技术防护、员工培训、应急响应计划和合规性管理。此外,定期的风险评估和危害分析、业务影响分析、应急组织的建立、应急程序和流程的制定也成为必不可少的工作之一。
网络安全事件的频发和复杂性要求全球范围内的政府、企业和组织加强合作,共同提升网络安全防护能力。通过实施综合性的安全策略和持续的技术创新,可以有效地降低网络安全风险,保护关键数据和系统免受攻击。
(本文参考了包括零信任关键技术与产业发展研究、2023年下半年全球威胁态势研究报告、CyberEdge 2024 Cyberthreat Defense Report以及Microsoft Digital Defense Report 2023等多个数据源,以确保分析的准确性和全面性。)
