2023年，數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊事件仍然頻發(fā)，涉及面廣，影響力大，很多全球知名的企業(yè)組織也因此面臨著監(jiān)管合規(guī)與社會(huì)輿情的雙重壓力。近日，IT專業(yè)媒體CRN.COM梳理了2023年受到行業(yè)廣泛關(guān)注的十大網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件，并對(duì)事件進(jìn)行了點(diǎn)評(píng)分析。

1、2023年2月，ESXi勒索軟件攻擊

今年2月，“ESXiArgs”勒索軟件組織攻擊了運(yùn)行VMware ESXi虛擬機(jī)管理程序的客戶。據(jù)美國(guó)聯(lián)邦調(diào)查局和美國(guó)計(jì)算機(jī)安全管理局調(diào)查數(shù)據(jù)顯示，全球受到攻擊影響的服務(wù)器數(shù)量超過(guò)了3800臺(tái)。

據(jù)網(wǎng)絡(luò)安全供應(yīng)商Censys的安全研究人員介紹，這起活動(dòng)的目標(biāo)主要是針對(duì)美國(guó)、加拿大、法國(guó)和德國(guó)等國(guó)家的企業(yè)組織，攻擊者利用了一個(gè)已經(jīng)存在兩年之久的漏洞（編號(hào)為CVE-2021-21974），主要影響舊版本VMware ESXi中的OpenSLP服務(wù)，可以被用來(lái)遠(yuǎn)程執(zhí)行代碼。此次ESXiArgs勒索軟件攻擊事件，再次凸顯了保護(hù)虛擬化應(yīng)用基礎(chǔ)設(shè)施的重要性。

2、2023年2月，GoAnywhere攻擊

今年2月，F(xiàn)ortra公司緊急發(fā)布公告并通知其客戶，在其GoAnywhere文件傳輸平臺(tái)上發(fā)現(xiàn)了一個(gè)被大肆利用的零日漏洞，該漏洞可用于在被控制的計(jì)算機(jī)系統(tǒng)上遠(yuǎn)程執(zhí)行惡意代碼。調(diào)查顯示，在此次GoAnywhere漏洞利用攻擊活動(dòng)中，最具代表性的事件是黑客攻擊了醫(yī)療福利服務(wù)機(jī)構(gòu)NationsBenefits，并獲取了其300萬(wàn)會(huì)員的部分個(gè)人隱私信息。

據(jù)了解，黑客還利用GoAnywhere平臺(tái)漏洞竊取了包括寶潔和數(shù)據(jù)安全公司Rubrik在內(nèi)的眾多大型組織業(yè)務(wù)數(shù)據(jù)。根據(jù)Fortra在調(diào)查攻擊的過(guò)程中發(fā)現(xiàn)，GoAnywhere漏洞被用來(lái)攻擊少數(shù)運(yùn)行特定配置的GoAnywhere MFT解決方案的內(nèi)部部署環(huán)境，這種情形早在今年1月就已經(jīng)出現(xiàn)。

3、2023年3月，3CX軟件供應(yīng)鏈攻擊

今年3月，全球知名的通訊軟件服務(wù)商3CX遭到網(wǎng)絡(luò)攻擊，在許多關(guān)鍵特征方面與2020年爆發(fā)的SolarWinds供應(yīng)鏈攻擊非常相似。

在此次事件中，攻擊者們主要利用了3CX的一款VoIP電話系統(tǒng)應(yīng)用軟件，該軟件的客戶群涵蓋了全球60余萬(wàn)家組織，以及2.5萬(wàn)個(gè)渠道合作伙伴，其中主要的客戶包括美國(guó)運(yùn)通、麥當(dāng)勞、可口可樂、NHS、豐田、寶馬和本田。

網(wǎng)絡(luò)安全Mandiant聲稱，3CX攻擊有別于以往軟件供應(yīng)鏈攻擊的地方在于：3CX活動(dòng)是由早期的供應(yīng)鏈攻擊造成的。Mandiant的研究人員透露：我們監(jiān)測(cè)到攻擊者篡改了金融軟件公司Trading Technologies發(fā)布的一款軟件包。這是Mandiant首次看到由一起軟件供應(yīng)鏈攻擊導(dǎo)致了另一起軟件供應(yīng)鏈攻擊。

4、2023年5月，MOVEit攻擊

今年5月，勒索軟件Clop組織利用了Progress的MOVEit文件傳輸工具中的一個(gè)嚴(yán)重漏洞，開始了大規(guī)模的勒索軟件攻擊活動(dòng)。與傳統(tǒng)的勒索軟件攻擊不同，本次的攻擊行動(dòng)并沒有采用任何加密機(jī)制，而是以非法泄露數(shù)據(jù)作為勒索條件。Clop聲稱，如果受害者公司支付贖金，它將不會(huì)在其暗網(wǎng)網(wǎng)站上泄露受害者的被盜數(shù)據(jù)。針對(duì)數(shù)百家選擇不支付贖金的公司，Clop確實(shí)是這么做的。

目前尚不清楚哪些公司實(shí)際上支付了贖金。但據(jù)網(wǎng)絡(luò)安全事件響應(yīng)公司Coveware估計(jì)，Clop將從攻擊活動(dòng)中獲利7500萬(wàn)美元至1億美元。截至目前，受MOVEit活動(dòng)影響的組織總數(shù)或許已經(jīng)接近3000家。就已知受影響的個(gè)人而言，如今總數(shù)接近8400萬(wàn)人。這使其成為2023年影響最廣泛的攻擊之一，也使其成為近年來(lái)最嚴(yán)重的數(shù)據(jù)泄露事件之一。在IT行業(yè)，MOVEit數(shù)據(jù)勒索活動(dòng)的受害者包括IBM、高知特、德勤、普華永道和安永。

5、2023年5月，PBI Research Services泄密

2023年5月，同樣是受到MOVEit漏洞影響，導(dǎo)致了一家大型軟件系統(tǒng)開發(fā)供應(yīng)商的眾多下游客戶企業(yè)泄密。數(shù)據(jù)顯示，就受影響的人員數(shù)量而言，PBI Research Services（PBI）泄密事件或許是與MOVEit相關(guān)的最大單一事件，最終導(dǎo)致超過(guò)1400萬(wàn)人的個(gè)人隱私數(shù)據(jù)遭到泄露。

使用PBI服務(wù)的組織包括政府養(yǎng)老金系統(tǒng)、保險(xiǎn)公司以及知名的投資公司。美國(guó)最大的公共養(yǎng)老基金CalPERS在事件說(shuō)明的新聞發(fā)布會(huì)上就表示，有76.9萬(wàn)名退休人員的個(gè)人數(shù)據(jù)遭到泄露。

6、2023年6月，梭子魚電子郵件安全網(wǎng)關(guān)攻擊

今年6月，知名網(wǎng)絡(luò)安全公司梭子魚發(fā)布公告披露，超過(guò)5%該公司生產(chǎn)的ESG設(shè)備已被攻擊者入侵。攻擊活動(dòng)利用了該公司電子郵件安全網(wǎng)關(guān)（ESG）內(nèi)部設(shè)備中的一個(gè)嚴(yán)重漏洞。通過(guò)進(jìn)一步調(diào)查發(fā)現(xiàn)，該漏洞早在2022年10月就被利用了。這些攻擊促使梭子魚建議其受影響的客戶免費(fèi)更換ESG設(shè)備。

Mandiant公司將這次大范圍的活動(dòng)歸咎于編號(hào)為UNC4841的黑客組織。該公司的研究人員報(bào)告，政府部門是該攻擊團(tuán)伙特別偏愛的目標(biāo)，尤其是針對(duì)美國(guó)的政府機(jī)構(gòu)。

7、2023年6月，微軟云電子郵件泄露

今年6月，屬于多家美國(guó)政府機(jī)構(gòu)的微軟云電子郵件賬戶遭到非法入侵，其中包括了多位高級(jí)政府官員的電子郵件。據(jù)報(bào)道，美國(guó)國(guó)務(wù)院的10個(gè)郵件賬戶中共有6萬(wàn)封電子郵件被盜。這起事件促使美國(guó)參議員Ron Wyden要求聯(lián)邦政府展開調(diào)查，以確定微軟公司松懈的安全防護(hù)措施是否是導(dǎo)致本次泄密事件的主要原因。

微軟公司表示，安全專家已經(jīng)發(fā)現(xiàn)了使威脅團(tuán)伙“Storm-0558”得以闖入美國(guó)官員云電子郵件賬戶的原因和問(wèn)題。在2021年Windows系統(tǒng)崩潰后，一個(gè)漏洞導(dǎo)致攻擊中使用的Azure Active Directory密鑰被不適當(dāng)?shù)夭东@，并存儲(chǔ)在一個(gè)文件中。微軟表示，有一個(gè)漏洞導(dǎo)致這些不規(guī)范存放的密鑰沒有被檢測(cè)出來(lái)。

此外，這次攻擊的幕后黑手是通過(guò)侵入屬于微軟工程師的公司賬戶來(lái)訪問(wèn)含有密鑰的文件。而微軟此前表示，被盜的Azure Active Directory密鑰可以被用來(lái)偽造身份驗(yàn)證令牌，并訪問(wèn)來(lái)自約25家組織的電子郵件。

8、2023年9月，賭場(chǎng)運(yùn)營(yíng)商被攻擊

今年9月份，攻擊者針對(duì)賭場(chǎng)運(yùn)營(yíng)商米高梅和凱撒娛樂發(fā)起了極具破壞性的攻擊，攻擊手法包括利用社會(huì)工程伎倆欺騙IT求助臺(tái)，非法進(jìn)入米高梅的網(wǎng)絡(luò)系統(tǒng)。在此次攻擊的調(diào)查中還發(fā)現(xiàn)，一個(gè)名為Scattered Spider的年輕黑客組織與俄羅斯背景的勒索軟件團(tuán)伙Alphv相互勾結(jié)、狼狽為奸。

據(jù)安全研究人員聲稱，Scattered Spider的黑客使用了Alphv提供的BlackCat勒索軟件（Alphv團(tuán)伙的成員之前隸屬于發(fā)動(dòng)Colonial Pipeline攻擊的DarkSide團(tuán)伙）。雖然多年來(lái)勒索軟件即服務(wù)在東歐一直日益猖獗，但歐美黑客與俄羅斯背景黑客團(tuán)伙結(jié)為聯(lián)盟似乎再讓威脅領(lǐng)域向更加令人不安的新方向發(fā)展。

9、2023年10月，思科IOS XE攻擊

今年10月中旬，針對(duì)思科IOS XE客戶的攻擊迅速成為有史以來(lái)影響最廣泛的邊緣攻擊之一。據(jù)Censys研究人員表示，10月16日發(fā)現(xiàn)的一個(gè)嚴(yán)重IOS XE漏洞導(dǎo)致近42000臺(tái)思科設(shè)備中招。

思科在當(dāng)天的安全報(bào)告中表示，IOS XE中的零日漏洞被攻擊者大肆利用。思科對(duì)這個(gè)特權(quán)升級(jí)漏洞賦予了最嚴(yán)重的10.0分。思科的Talos威脅情報(bào)團(tuán)隊(duì)表示，利用這個(gè)嚴(yán)重漏洞，惡意分子就可以全面控制中招的設(shè)備。在大量的思科設(shè)備中使用了IOS XE網(wǎng)絡(luò)軟件平臺(tái)，其中許多設(shè)備被部署在企業(yè)網(wǎng)絡(luò)邊緣環(huán)境中。這些產(chǎn)品包括分支路由器、工業(yè)路由器和聚合路由器，以及Catalyst 9100接入點(diǎn)和支持物聯(lián)網(wǎng)的Catalyst 9800無(wú)線控制器。

10月23日，思科發(fā)布了針對(duì)該漏洞的首個(gè)補(bǔ)丁，以限制嚴(yán)重的IOS XE漏洞。

10、2023年10月，Okta支持系統(tǒng)泄密

10月20日，身份安全廠商Okta公司披露了一起影響其支持案例管理系統(tǒng)的數(shù)據(jù)泄露事件，該公司最初以為只影響其18000家客戶中的很小一部分。然而在11月下旬卻改口表示，稱所有支持客戶的姓名和電子郵件都可能被攻擊者非法竊取。在Okta最初披露支持系統(tǒng)泄密后，BeyondTrust、Cloudflare和1Password都表示自己是這次事件中受影響的客戶。

這家身份管理公司在11月底的最新披露中表示，它一直在重新檢查攻擊者執(zhí)行的操作。攻擊者運(yùn)行并下載了一份報(bào)告，其中包含所有Okta客戶支持系統(tǒng)用戶的姓名和電子郵件地址。然而，攻擊者下載的報(bào)告不包含用戶憑據(jù)及其他敏感數(shù)據(jù)。

在最新披露之后，該公司將產(chǎn)品更新推遲90天發(fā)布，以優(yōu)先考慮安全。

參考鏈接：https://www.crn.com/news/security/10-major-cyberattacks-and-data-breaches-in-2023