今年4月，聯(lián)合國曾遭遇網(wǎng)絡攻擊，攻擊者盜取了大量數(shù)據(jù)，這些數(shù)據(jù)可能被用來攻擊聯(lián)合國。

黑客們進入聯(lián)合國網(wǎng)絡的方法不復雜，他們很可能是利用暗網(wǎng)上購買的被盜的聯(lián)合國雇員的用戶名和密碼進入。目前無法確定黑客的身份，也無法確定他們?nèi)肭致?lián)合國的目的。

[[423202]]

黑客進入聯(lián)合國內(nèi)部系統(tǒng)偵察，可能是為攻擊或收集情報

聯(lián)合國秘書長發(fā)言人Stéphane Dujarric在9月9日的一份聲明中表示，“我們可以確認，未知的攻擊者在2021年4月入侵了聯(lián)合國的部分基礎設施。”

在聲明中，聯(lián)合國稱經(jīng)常成為網(wǎng)絡攻擊的目標，且面臨持續(xù)性的攻擊，已經(jīng)發(fā)現(xiàn)并正在應對進一步的攻擊，這些攻擊與先前的入侵有關。

發(fā)現(xiàn)該事件的網(wǎng)絡安全公司Resecurity稱，黑客能夠借此深入訪問聯(lián)合國網(wǎng)絡。黑客最早進入聯(lián)合國系統(tǒng)是4月5日，最晚活動時間是8月7日。

據(jù)聯(lián)合國官員向Resecurity表示，這次黑客攻擊活動僅限于偵察，黑客只是在內(nèi)網(wǎng)拍攝了屏幕截圖。但當Resecurity向聯(lián)合國提供被盜數(shù)據(jù)的證據(jù)時，聯(lián)合國并未回應。

黑客的偵察活動可能是為了籌備后續(xù)攻擊，也可能是打算把信息出售給試圖入侵聯(lián)合國的其他團伙。

Ressecurity稱，在最近的黑客入侵中，黑客試圖獲取更多有關聯(lián)合國計算機網(wǎng)絡架構(gòu)的信息，并入侵了53個聯(lián)合國賬戶。

Resecurity首席執(zhí)行官Gene Yoo說：“像聯(lián)合國這樣的組織是網(wǎng)絡間諜活動的高價值目標。"黑客入侵目的是竊取聯(lián)合國網(wǎng)絡中的大量用戶數(shù)據(jù)，以進一步收集長期情報。

聯(lián)合國及其機構(gòu)曾經(jīng)成為黑客的目標。2018年，荷蘭和英國執(zhí)法部門挫敗了俄羅斯對禁止化學武器組織(Organisation for the Prohibition of Chemical Weapons)的網(wǎng)絡攻擊，當時該組織正在調(diào)查一種致命神經(jīng)毒劑在英國本土的使用情況。

根據(jù)《福布斯》的一份報告，在2019年8月，聯(lián)合國的“核心基礎設施”在一次網(wǎng)絡攻擊中遭到破壞，該攻擊原本針對的是微軟SharePoint平臺的一個已知漏洞。

聯(lián)合國內(nèi)網(wǎng)帳號在暗網(wǎng)打包出售，僅售1000美元

此次的泄露憑證屬于聯(lián)合國專有項目管理軟件Umoja上的某個賬戶。黑客使用的Umoja賬戶并未啟用雙因素身份驗證，這是一項基礎安全功能。根據(jù)Umoja網(wǎng)站7月發(fā)布的公告，該系統(tǒng)已經(jīng)遷移至微軟Azure，這套云平臺直接提供多因素身份驗證機制。Umoja的遷移公告稱，此舉“降低了網(wǎng)絡安全風險”。

[[423203]]

Recorded Future的高級威脅分析師Allan Liska表示，聯(lián)合國一直是民族國家攻擊者的主要目標。他曾看到暗網(wǎng)出售聯(lián)合國雇員的帳號和密碼。網(wǎng)絡犯罪分子正在尋求將被盜數(shù)據(jù)高效變現(xiàn)的方法，初始訪問者頻繁出售自己掌握的入侵資源，在可預見的未來，攻擊活動將呈現(xiàn)愈發(fā)明確的針對性與滲透趨勢。

安全情報公司Intel 471的首席執(zhí)行官Mark Arena表示，一些講俄語的網(wǎng)絡犯罪分子，將聯(lián)合國憑證和幾十個帳號和密碼一起，出售給各個組織，價格僅為1000美元。

彭博社查詢了暗網(wǎng)論壇上的廣告，至少有三個論壇的用戶，直到7月5日還在出售這些相關憑證。

Arena稱，“自2021年初以來，我們已經(jīng)發(fā)現(xiàn)多名出于經(jīng)濟動機的網(wǎng)絡犯罪分子在出售聯(lián)合國Umoja系統(tǒng)的訪問權限。這些參與者會同時出售來自多個犯罪團伙的泄露憑證。根據(jù)之前的經(jīng)驗，這些被盜的憑證還會被出售給其他網(wǎng)絡犯罪分子，再由他們用于實施后續(xù)入侵活動。”