如果水門事件發(fā)生在今天，也許尼克松團隊根本不需要潛入辦公室進行物理竊聽。如今的秘密情報工作借助網(wǎng)絡(luò)，在屏幕后遠程部署就能侵入目標的電子設(shè)備，獲取機密信息。

在過去的十年中，網(wǎng)絡(luò)攻擊變得更具破壞性，影響范圍更廣，甚至在許多情況下更具政治性。各國政首和政要的私人信息和設(shè)備被間諜軟件入侵，造成隱私信息泄露的事件時有發(fā)生；政府機構(gòu)則不僅面臨間諜軟件，還包括勒索軟件的雙重攻擊。在網(wǎng)絡(luò)攻擊指數(shù)級增長的當(dāng)下，各國將網(wǎng)絡(luò)安全視為國家安全的關(guān)鍵挑戰(zhàn)。

數(shù)國元首遭網(wǎng)絡(luò)攻擊，竊取機密信息

近年來，數(shù)十名政府官員的手機遭到黑客攻擊，包括法國總統(tǒng)埃馬紐埃爾·馬克龍、西班牙總理佩德羅·桑切斯、英國首相鮑里斯·約翰遜的工作人員、英國前首相利茲·特拉斯、歐盟司法專員以及美國外交官等。

這些政要手機上被安裝的通常是以色列公司NSO Group的Pegasus軟件（飛馬間諜軟件）。Pegasus可以在受害者不知情的情況下感染目標設(shè)備并訪問個人數(shù)據(jù)，還可以遠程啟用攝像頭和麥克風(fēng)。據(jù)了解，2021年馬克龍更換了手機并更改了電話號碼，據(jù)稱他的號碼在Pegasus的某個監(jiān)視名單上。

2022年10月30日，英國前首相利茲·特拉斯（Liz Truss）的私人手機被網(wǎng)絡(luò)間諜入侵。據(jù)《每日郵報》報道，利茲·特拉斯和25名英國內(nèi)閣部長的個人手機號碼、郵件地址、密碼和其他個人信息在美國網(wǎng)站上曝光。

據(jù)稱該網(wǎng)站上包含14億件被盜數(shù)據(jù)，一些文件可以追溯到十多年前的攻擊事件，而公眾能夠輕而易舉地獲取這些信息，該網(wǎng)站每周只需6.49英鎊（7.25美元）即可訂閱其數(shù)據(jù)庫。

雖然黑客攻擊的細節(jié)尚不清楚，但據(jù)信攻擊者下載了長達一年的錄音，包括特拉斯及其政治盟友夸西·克沃騰批評約翰遜的私人談話，以及特拉斯“與高級國際外交部長就烏克蘭戰(zhàn)爭進行的高度敏感討論，包括關(guān)于武器運輸?shù)脑敿氂懻摗薄?/p>

據(jù)了解，該事件早在當(dāng)年夏季首相選舉時就已被發(fā)現(xiàn)，但時任外交部長的特拉斯正在角逐保守黨黨魁和下任首相，時任首相鮑里斯·約翰遜決定壓下此事。據(jù)報道，黑客獲得的消息包括特拉斯 。

對英國情報部門來說，特拉斯和內(nèi)閣大臣的私人手機如此輕易地被入侵，顯然不太好看。但英國政府發(fā)言人堅稱，英國政府擁有“強大的系統(tǒng)來防范網(wǎng)絡(luò)威脅”。

政府機構(gòu)頻遭攻擊

除了各國政要，政府機構(gòu)也經(jīng)常遭遇黑客攻擊。2020年末，俄羅斯情報機構(gòu)利用SolarWinds軟件包中的漏洞入侵了美國國務(wù)院、國土安全部、五角大樓的部分地區(qū)以及數(shù)十個聯(lián)邦機構(gòu)。

國家級政府機構(gòu)通常是黑客攻擊的首要目標，但攻擊者也經(jīng)常瞄準地方政府，而地方政府通常因為防御薄弱而產(chǎn)生較大的影響。2023年2月，新西蘭奧克蘭市因勒索軟件攻擊導(dǎo)致所有IT系統(tǒng)脫機，不得不宣布進入緊急狀態(tài)。

美國戰(zhàn)略與國際研究中心（Center for Strategic and International Studies）保留了一份重大網(wǎng)絡(luò)事件清單，基本上每個月都有針對世界各地政府機構(gòu)的重大攻擊。網(wǎng)絡(luò)安全公司CloudSek的最新報告也指出，與2021年同期相比，2022年下半年全球針對政府部門的攻擊數(shù)量增加了95%。報告顯示，過去兩年，印度、美國、印度尼西亞和中國是最受攻擊的國家，占全球政府部門攻擊事件的40%。

2021至2022年全球針對政府部門的攻擊數(shù)量

CloudSek觀察到，攻擊政府機構(gòu)和組織的威脅主體在過去兩年中保持不變。Kelvin Security、Against The West、PoCExploiter Admin、LockBit和Holistic-K 1ller是2022年的前五大威脅主體。

2022年攻擊政府機構(gòu)的前五大威脅團伙

這里簡要介紹前兩大威脅團伙。Kelvin Security通常以Kristina的名義運作，該組織通常利用fuzzing技術(shù)和常見的漏洞來鎖定受害者，對工具的使用駕輕就熟并且對漏洞有非常深入的研究。通常該組織瞄準的對象都是有共同的基礎(chǔ)技術(shù)或基礎(chǔ)設(shè)施。他們在網(wǎng)絡(luò)犯罪論壇和通信渠道（如Telegram）上公開分享新的漏洞、目標和數(shù)據(jù)庫等信息，還經(jīng)常分享其工具清單和有效載荷。

Against The West發(fā)現(xiàn)于2021年10月，又稱APT49或BlueHornet。該組織持續(xù)利用一組常見的漏洞和poc入侵特定地區(qū)的數(shù)據(jù)并在暗網(wǎng)出售，其攻擊范圍包括中國、俄羅斯和歐洲。值得注意的是，2021年，針對中國政府機構(gòu)95.7%的攻擊來自Against The West。

攻擊者的三大動機

為何政府官員和政府機構(gòu)總是被黑客攻擊？根據(jù)CloudSek報告，竊取數(shù)據(jù)、入侵系統(tǒng)、黑客主義（hacktivism，泛指因政治或社團目的而產(chǎn)生的黑客行為）是針對政府部門攻擊的前三大動機，分別占比62.7%、13.5%和8.8%。

2022年政府機構(gòu)攻擊動機占比

政府機構(gòu)和組織收集和存儲大量數(shù)據(jù)，包括敏感機密信息和大量公民個人信息，這些數(shù)據(jù)龐大而真實，黑客竊取數(shù)據(jù)后發(fā)布到暗網(wǎng)高價售賣謀取暴利。根據(jù)IBM的一份報告，政府等公共部門的平均違規(guī)總成本從從193萬美元增加到207萬美元，增幅達7.25%。

此外，如果涉及國家安全和軍事數(shù)據(jù)或系統(tǒng)，則要警惕被恐怖組織或敵對勢力利用進行間諜行為的風(fēng)險。

緊張的地緣政治局勢也經(jīng)常引起黑客主義網(wǎng)絡(luò)攻擊。自2022年2月24日俄烏沖突爆發(fā)以來，兩國之間的網(wǎng)絡(luò)攻擊愈發(fā)頻繁，俄羅斯背景的APT組織Primitive Bear自2013年就開始瞄準烏克蘭組織，針對烏克蘭政府、軍隊和執(zhí)法部門，在沖突發(fā)生前后，更是組織了多次網(wǎng)絡(luò)行動。

印度和巴基斯坦、伊朗和以色列的地緣局勢也長期處于緊張狀態(tài)，兩國之間持續(xù)性發(fā)生網(wǎng)絡(luò)攻擊行為。2022年6月，巴基斯坦黎明報（DAWN）稱，一個總部位于印度的黑客團伙針對巴基斯坦政客、軍事官員和外交官進行攻擊，監(jiān)聽其設(shè)備信息以方便情報工作。

根據(jù)網(wǎng)絡(luò)安全公司Sophos的一份報告，地方政府之所以經(jīng)常成為目標，因為其防御薄弱、IT預(yù)算和IT人員有限、計算機系統(tǒng)老化、代碼過時，導(dǎo)致黑客能夠輕而易舉地攻破其防線。與私營組織相比，政府IT部門通常不堪重負，黑客更容易侵入并安裝勒索軟件。而規(guī)模較大的政府部門雖然網(wǎng)絡(luò)安全防御更嚴格，但其吸引黑客之處在于其豐厚的部門資金和公共資金。

應(yīng)對之策

政府機構(gòu)和組織需要提高網(wǎng)絡(luò)安全能力，培養(yǎng)強大的檢測、響應(yīng)、偵察和恢復(fù)能力，對數(shù)據(jù)全流程和IT基礎(chǔ)設(shè)施有清晰的認知和掌握，開啟訪問控制，確保數(shù)據(jù)和關(guān)鍵基礎(chǔ)設(shè)施不受威脅者的影響。

網(wǎng)絡(luò)攻擊的數(shù)量呈指數(shù)級增長意味著政府不僅需要抵御網(wǎng)絡(luò)攻擊，而是需要轉(zhuǎn)變?yōu)榱阈湃文Ｊ?，即預(yù)先假設(shè)用戶身份或網(wǎng)絡(luò)本身可能會被盜，主動地驗證用戶活動的真實性。政府應(yīng)該不斷監(jiān)測暗網(wǎng)和已知的威脅者，了解他們最新的TTPs，并采取措施預(yù)先阻止攻擊；還應(yīng)該主動監(jiān)測基礎(chǔ)設(shè)施、網(wǎng)絡(luò)漏洞和可疑行為。除了傳統(tǒng)的滲透測試外，政府還應(yīng)該關(guān)注漏洞賞金計劃和漏洞披露計劃。