2021全球⽹络空间安全态势分析
2021全球⽹络空间安全态势分析
新冠疫情所致远程办公和云端迁移的⼤潮,为⽹络罪犯开辟了新的途径。2021年,在远程⼯作状态影响下,世界各地的⽹络攻击急剧上升,软件、⽹络钓鱼、⼈为错误操作等导致的数据泄露不断增加,全球范围内⽹络威胁依旧不断。特别是软件的⾼度猖獗,在上半年的攻击次数已达到3.047亿,同⽐增长达151%,远超2020年全年攻击总数,对多国家、多⾏业、多领域造成不同程度的影响。
⼀全球⽹络冲突加剧,⽹络雇佣军兴起
2021年,全球⽹络空间局部冲突依旧不断,国家级⽹络攻击频次不断增加,攻击复杂性持续上升。同时,国家级⽹络攻击正与私营企业技术融合发展,⽹络攻击私有化的趋势带动了⽹络雇佣军⾏业的快速扩张,数量众多的⾼素质、有组织的⿊客团体受雇于国家或私⼈机构,对特定⽬标发动⽹络袭击。⽹络攻击与社会危机交叉结合,全球⽹络对抗在底线试探中向新阶段发展。
1 全球监听门再现,涉及34国600多政要
7⽉,⾮政府组织“禁忌故事”(Forbidden Stories)与国际特赦组织(Amnesty International)联⼿美国《华盛顿邮报》、英国《卫报》、法国《世界报》等17家媒体机构,共同披露以⾊列软件监控公司NSO集
团涉嫌向某些专制政府兜售⼿机间谍软件飞马(Pegasus)。
调查团指出,飞马软件⾃2016年起通过感染苹果iPhone与⾕歌安卓(Google Android)⼿机来让客户监听并截取⽬标⼈物的信息、照⽚与电邮等,甚⾄秘密录⾳、启动话筒与镜头。
在5万个遭监听⼿机号码中,包含法国总统、伊拉克总统、南⾮总统、摩洛哥国王等众多国家元⾸、王室成员、部长、企业⾼管、记者,共涉及全球34个国家,超过600名政府官员与政客的号码。
2 美国共和党全国委员会被⿊客⼊侵
7⽉,根据美国共和党全国委员会(RNC)的⼀份声明,⽹络犯罪分⼦获得了该委员会承包商Synnex的IT基础设施的访问权限。
RNC表⽰,虽然基础设施遭到破坏,但没有数据因⽹络攻击⽽丢失。在发⽣攻击后,RNC⽴即阻⽌了Synnex帐户对云环境的所有访问,并与微软合作对内部IT系统进⾏了审查。
据知情⼈⼠透露,这次袭击来⾃⼀个与俄罗斯有关的名为APT 29或Cozy Bear的组织。如果攻击来源得到确认,此次⽹络活动将是俄罗斯APT组织于7⽉对美国发起的第⼆次重⼤⽹络攻击。
3 ⿊客攻击联合国计算机⽹络并窃取数据
9⽉,联合国秘书长发⾔⼈表⽰,不明⾝份的⿊客于4⽉利⽤从暗⽹上购买的联合国员⼯的失窃⽤户名及密码⼊侵了联合国的计算机⽹络系统,并窃取到⼤量可⽤于攻击联合国组织的机构内部数据。
⽹络安全公司Resecurity表⽰,⿊客掌握联合国系统访问权的最早⽇期为4⽉5⽇,截⾄8⽉7⽇他们在联合国⽹络上仍然保持活跃。这次⿊客攻击属于侦察⾏为,⿊客试图出关于联合国计算机⽹络架构设计的更多信息,并攻破了53个联合国账户。
Resecurity公司⽹络安全专家称,“联合国类的组织是⽹络间谍活动中的⾼价值⽬标。攻击者⼊侵的⽬的是窃取联合国⽹络中的⼤量⽤户数据,以进⼀步进⾏长期的情报收集。”
4 俄罗斯APT组织使⽤新后门攻击美、德等国
9⽉,security affair⽹站披露,思科Talos团队(Cisco Talos)研究⼈员发现,⾄少从2020年开始,俄罗斯Turla APT组织使⽤了⼀个名为TinyTurla的新后门,对美国、德国和阿富汗进⾏了⼀系列攻击。
研究⼈员发现TinyTurla能够实现多种功能,例如上传和执⾏⽂件和有效载荷,创建⼦进程,以及渗出数据。攻击者使⽤⼀个.bat⽂件来传递后门,该⽂件以⼀个名为w64time.dll的服务DLL形式出现,但尚未发现TinyTurla后门是如何安装在受害者系统上。
受害者系统上。
在塔利班接管该国政府以及美国及其盟国的所有军队撤出之前,威胁者攻击了阿富汗实体,因此Talos推测此次攻击⽬标可能是阿富汗政府。
5 以⾊列针对伊朗核设施进⾏破坏性⽹络攻击导致断电
4⽉,伊朗启动纳坦兹核设施内近200台IR-6型离⼼机,重启其核研究。但次⽇,该核设施的配电系统即发⽣故障,导致⼤规模断电。
以⾊列媒体Kan声称,以⾊列摩萨德是对伊朗纳坦兹核设施进⾏⽹络攻击的幕后⿊⼿,该⾏动导致核设施断电。情报⼈⼠称,⽹络攻击成功渗透了核设施的物理和⽹络保护层,导致应急备⽤电源系统受到损害,引起了爆炸发⽣。据悉,伊朗纳坦兹核设施受到的破坏是巨⼤的,⾄少需要9个⽉时间才能恢复。
6 伊朗APT组织瞄准美国、以⾊列国防公司
10⽉,微软威胁情报中⼼(MSTIC)和微软数字安全部(DSU)的研究⼈员发现了⼀个恶意活动集(DEV-0343团伙、与伊朗相关),其⽬标是美国和以⾊列国防技术公司的Office 365⽤户,如⽣产军事级雷达、⽆⼈机技术、卫⽣系统和应急通信系统的国防公司。
研究⼈员称,DEV-0343团伙于2021年7⽉下旬⾸次观察到并开始追踪,该团伙模拟⽕狐浏览器,使⽤托管在Tor代理⽹络上的IP对250多个Office 365⽤户进⾏⼤范围密码喷射,混淆其攻击⾏为和基础设施。
结果显⽰只有不到20个Office 365⽤户被⼊侵,但DEV-0343团伙仍然在不断改进技术以提⾼攻击完成度。
DEV-0343团伙主要瞄准美国和以⾊列的国防技术公司、波斯湾港⼝或在中东有业务的全球海运和货运公司。研究⼈员推测,攻击者⽬的是获得商业卫星图像和航运计划⽇志。
7 乌克兰国安公开警告俄罗斯APT组织
11⽉,乌克兰官⽅表⽰,俄罗斯联邦安全局(FSB)是对其政府机构长期进⾏⽹络攻击的幕后⿊⼿。
乌克兰安全局(SSU)公布了5名俄罗斯APT组织Gamaredon的真实⾝份,并表⽰Gamaredon组织(乌⽅内部代号为Armageddon)的运营地点为克⾥⽶亚半岛的塞⽡斯托波尔市,但他们的⾏动指令却来⾃位于莫斯科的俄联邦安全局信息安全中⼼。据悉,该团伙曾先后对1500多个乌克兰政府部门开展过超5000次⽹络攻击。
为了证明其公告的可信度,乌安全局还发布了截获⾃两名Gamaredon成员间的通话内容,包括他们开展的攻击活动以及对俄联邦安全局⼯资的不满情绪。这也是⾸次有公开证据⽀持,确认Gamaredon组织同俄联邦安全局间的关系。
8 ⽹络间谍组织SideCopy攻击印度政府和军队
7⽉,印度Quick Heal公司的威胁情报团队指出,有⽹络间谍组织正在攻击印度政府和军队组织,以恶意软件感染受害者。该组织被命名为“SideCopy”,早在2019年就已活跃,Seqrite 团队在去年9⽉份⾸次发现该组织发动的钓鱼攻击。思科Talos发布报告指出,⾃去年攻击和攻击⼯具集被曝光后,该组织并未退缩或停⽌⾏动。Talos团队发现:
· SideCopy以印度政府和国防军相关为邮件主题,发动鱼叉式钓鱼攻击;
· 邮件含有恶意⽂件附件,如LNK⽂件、字体去RAR EXEs和基于MSI 的安装程序,将远程访问⽊马(RATs)安装在受感染系统上;
· 该组织同时使⽤RATs和商⽤RATs;
· 感染受害者后,SideCopy操纵⼈员通常部署具有多种功能RAT插件,如⽂件枚举⼯具、凭据窃取⼯具和键盘记录器;· SideCopy很多操作和APT36此前执⾏的攻击活动有关,APT36 此前被指和巴基斯坦有关。
⼆⽹络攻击持续增加,席卷全球多⾏业
2021年,新冠疫情迫使⼯作场所和运营环境发⽣巨⼤变化,针对全球组织的⽹络攻击激增。根据埃森哲公司发布的报告,2021年上半年全球⽹络⼊侵活动量同⽐增长了125%。从⾏业⾓度看,政务、医疗、
⼯业/制造业、⾦融、电信及交通等⾏业都成为了⽹络攻击的重点⽬标。尤其是能源⾏业,2021年针对能源⾏业员⼯的移动⽹络钓鱼攻击增加了161%,⽽且该趋势没有放缓的迹象。
1 美国数⼗个政军⽹站遭严重⽹络攻击
9⽉,安全研究⼈员Zach Edwards发现,近⼀年来约50个美国政军⽹站被发现托管有⾊情及垃圾内容,多次反馈下线⼜重新出现。其中包括参议员Jon Tester⽹站、明尼苏达州国民警卫队⽹站等。
经分析,这些⽹站域名中出现⾊情内容问题的源头是政府承包商Laserfiche Forms提供的通⽤软件产品。Laserfiche旗下的电⼦表格(Forms)产品存在⼀个漏洞,给.gov与.mil域带来了⽹络钓鱼诱饵,会将访问者重新定向⾄恶意⽬的地,并可能配合其他漏洞共同发起攻击,并允许攻击者在拥有良好信誉的政府⽹站上推送恶意与垃圾内容。
后续,Laserfiche已经发布了针对此项漏洞的安全公告,并给出⽹站垃圾内容的清除说明。问题的根本原因在于未经⾝份验证的⽂件上传漏洞,未经⾝份验证的外部⼈⼠可以访问该表单,借此将⽂件上传⾄其他⽤户的Web门户,这样发布的内容就能在⽹络上接受临时访问。
2 加拿⼤遭遇史上最严重⽹络攻击
10⽉,加拿⼤纽芬兰和拉布拉多省的卫⽣⽹络遭到⽹络攻击,导致多个地⽅卫⽣系统瘫痪,全省数千⼈
的医疗预约被取消。其中,纽芬兰和拉布拉多省东部地区卫⽣局受到的冲击最⼤,由于⽆法访问电⼦邮件、诊断图像及实验室结果等信息,所有⾮急诊预约都被取消,医⽣只能依靠纸笔记录继续为患者提供紧急服务。该省卫⽣部长透露,此次攻击系由贝尔公司运营的⽹络数据中⼼被破坏,包括主要和备⽤计算机系统。直⾄11⽉4⽇,东部地区卫⽣局内部电⼦邮件系统才重新上线运⾏。
全球三大检测机构官⽅披露称,⿊客窃取了近14年以来众多东部卫⽣系统患者与员⼯的个⼈信息,以及拉布拉多Grenfell Health近9年以来的敏感内容。其中,患者信息包括姓名、地址、医保编号、就诊原因、主治医师与出⽣⽇期等,员⼯信息则可能包括姓名、地址、联系信息与社会保险号码。
安全专家表⽰,这起针对纽芬兰及拉布拉多卫⽣系统的⽹络攻击是加拿⼤历史上最严重的⼀次,其影响程度与后果严重性都创造历史记录。因此,专家建议将此次攻击升级到国家安全层⾯。
3 爱尔兰卫⽣系统遭遇史上最严重⽹络攻击
5⽉,爱尔兰卫⽣服务执⾏局(HSE)宣布遭受重⼤软件攻击,随后关闭了其⼤部分计算机系统。IT系统的关闭导致所有HSE的电⼦邮件⽆法使⽤,新冠疫苗的在线注册⽹站⽆法运⾏,爱尔兰全科医⽣的转诊系统和密切接触者检测系统关闭。
⼊侵爱尔兰医疗系统的软件被称为“双重”软件,因为它在加密控制系统信息的同时还威胁要暴露部分系统信息。其威胁要永久封锁⼀个系统或公开受害者的数据,除⾮向⿊客⽀付赎⾦2500万美元。
HSE已接受⽹络安全专家以及警⽅、国防军和政府的⽀持。爱尔兰国家⽹络犯罪局正在与国家⽹络安全中⼼(NCSC)等其他机构合作,试图控制局⾯。NCSC已经启动了其危机管理计划,预计NCSC将与欧洲刑警组织等国际警察机构就此案进⾏联络,并与欧盟⽹络安全机构Enisa进⾏联络。
4 美国⼀地区遭遇⽕灾与⽹络攻击双重打击
6⽉,美国海外岛屿、⾃治邦波多黎各的新晋电⼒供应商Luma能源公司,其位于圣胡安的Monacillo变电站发⽣⼤⽕,导致波多黎各出现⼤⾯积停电。当地官员指出,截⾄⽬前停电事件已经影响到超过100万客户,暂未包括受到⾸府圣胡安变电站爆炸及⽕灾影响的体。同⽇,⼀次⼤规模DDoS攻击中断了Luma公司的在线服务,该DDoS攻击每秒对其客户门户与移动应⽤发出200万次访问,严重影响到众多⽤户访问账户信息。
现任总督Pedro Pierluisi透露,波多黎各邦内及联邦政府执法部门正着⼿调查这两起事故,⽬前尚不清楚⽕灾与DDoS 攻击之间是否存在关联。
攻击之间是否存在关联。
5 能源巨头壳牌公司遭受Accelion⿊客攻击
3⽉,能源巨头壳牌公司(Shell)遭遇⿊客攻击。公司表⽰,攻击者利⽤了安全⼚商Accellion的⽂件传
输程序FTA的零⽇漏洞,已经访问了⼀些个⼈数据以及属于壳牌利益相关⽅和⼦公司的数据。壳牌表⽰,该事件暂未影响到壳牌的IT系统本⾝,壳牌公司正在与当局和监管机构合作调查这⼀事件。
尽管在壳牌公司的声明中没有披露攻击者的⾝份,但Accellion公司和另⼀安全⼚商Mandiant 于2⽉份发表的联合声明更加清楚地说明了这些攻击,并将其与FIN11⽹络犯罪组织联系起来。Clop软件团伙还⼀直在使⽤Accellion FTA零⽇漏洞破坏和窃取多家公司的数据。
6 保险巨头安盛遭软件袭击
5⽉,保险巨头安盛集团(AXA)在泰国、马来西亚、中国⾹港和菲律宾的分公司遭到了软件⽹络攻击。同
时,Avaddon软件集团声称对袭击保险巨头安盛亚洲分⽀机构负责,并在其泄密⽹站上公布窃取的3TB敏感数据,包括客户的医疗报告、⾝份证复印件、银⾏账户报表、索赔表格、付款记录、合同等。
此外,针对安盛全球⽹站的分布式拒绝服务(DDoS)正在进⾏,这使得安盛的全球⽹站在⼀段时间内⽆法访问。安盛尚未评论Avaddon要求的赎⾦数额。
7 电信巨头遭DDoS攻击致全国⽹络关闭
10⽉,韩国三⼤通信服务提供商之⼀的KT公司,其有线及⽆线等⽹络服务突然中断,造成韩国全国范围内出现⼤⾯积⽹络服务中断,中断时间持续约1⼩时左右。韩国电信公司KT表⽰,全国范围内暂时关闭其⽹络是由⼤规模分布式拒绝服务 (DDoS)攻击造成的。韩国警⽅表⽰,已针对相关情况展开调查。
此次服务中断期间,⽤户⽆法使⽤信⽤卡、交易股票或访问在线应⽤程序。⼀些⼤型商业⽹站在停电期间也被关闭,包括证券交易系统、饭店结算系统以及居民家中的⽹络、⼿机信号等服务均受到影响。使⽤电信⽹络的客户在⼤约 40 分钟内⽆法访问互联⽹。
8 航旅业超级供应商SITA被⿊
3⽉,管理着全球主要航空公司的机票处理和常旅客数据的IT服务公司——SITA公司宣布服务器被⿊客⼊侵,攻击者使⽤了⾼度复杂的攻击⼿段,全球多家知名航空公司和航旅企业的顾客数据遭泄漏。
有业内⼈⼠估计受影响旅客数超过210万,其中⼤多数是汉莎航空集团的Miles&More飞⾏常旅客奖励计划的参与者,该计划是欧洲最⼤的常旅客计划。
三软件全⾯升级,影响上升⾄国家安全
2021年,受⽐特币等虚拟加密货币飙涨刺激,DDoS攻击抬头,攻击⽅式从⼤规模通⽤攻击转变为更具针对性的攻击,运营模式升级为“三重”。政府实体、国防承包商、关键基础设施组织、⾦融机
构等组织机构已经成为软件团伙的主要攻击⽬标。美国现已将攻击提升⾄与同等级别。2021年上半年⾄少发⽣了1200多起软件攻击事件,与去年全年发⽣数量持平,平均赎⾦从去年的40万美元提⾼到今年的80万美元。
1 软件切断半个美国的燃油管道
5⽉,美国最⼤燃油管道商科洛尼尔(Colonial Pipeline)遭⾼强度软件攻击,导致东部沿海各州关键燃油⽹络被迫关闭,美国交通部宣布进⼊紧急状态。
作为美国最⼤的燃油运输管道商,科洛尼尔负责运营美国东海岸地区约45%的液体燃料管道运输供应服务,覆盖5000万⽤户。事件发⽣后,为防⽌事态扩⼤,科洛尼尔被迫暂停输送业务。拜登政府成⽴了紧急⼯作⼩组,宣布在阿拉巴马等东部17个州和华盛顿特区实施紧急状态,并由能源部牵头联合联邦调查局、国⼟安全部、⽕眼公司等机构共同对该事件进⾏调查取证,全⼒帮助科洛尼尔恢复运营。
后续,联邦调查局确认名为“⿊暗⾯”(DarkSide)的俄罗斯犯罪集团是此次事件幕后⿊⼿。关于攻击的起因,英国⽹络
后续,联邦调查局确认名为“⿊暗⾯”(DarkSide)的俄罗斯犯罪集团是此次事件幕后⿊⼿。关于攻击的起因,英国⽹络安全公司Digital Shadows认为是,DarkSide购买了远程桌⾯软件的帐户信息,新冠疫情期间科洛尼尔⼯程师在家中通过远程访问管道控制系统进⾏办公,致使其账户遭受DarkSide⼊侵。
2 软件连环攻击16家美国医疗和应急响应机构
5⽉,联邦调查局(FBI)发布安全通告指出,软件团伙Conti试图攻击破坏⼗多家美国医疗和应急机构的⽹络。FBI⽹络部门声称:“FBI在去年⼀年内⾄少发现了16起针对美国医疗和应急响应机构的Conti软件攻击,包括执法机
构、紧急医疗服务、911调度中⼼和市政当局。Conti在全球攻击了超过400家医疗和应急响应机构,其中290多个位于美国。”
根据FBI说法,Conti赎⾦要求是针对每位受害者量⾝定制的,最近的要求⾼达2500万美元。如果赎⾦在⼋天内没有⽀付,Conti软件运营商还将使⽤互联⽹语⾳(VOIP)服务或加密电⼦邮件服务与受害者联系。
3 软件攻击致使美国⼀市短暂步⼊“纸质社会”
5⽉,美国俄克拉何马州塔尔萨市遭受软件攻击,该攻击影响了其政府⽹络,迫使政府关闭了官⽅⽹站。受攻击影响,该城市的居民⽆法通过电⼦邮件访问在线账单⽀付系统、公⽤事业账单和⽹络服务。
攻击事件发⽣后,安全⼈员已经关闭了受影响的内部系统,911等紧急服务和城市公共安全响应将继续
正常运⾏。塔尔萨市向当局报告了这⼀事件,并正在外部安全专家的协助下调查感染情况。此次攻击影响了基础设施的⼀⼩部分,内部专家正试图从备份中恢复受影响的系统。
但在此次攻击事件中,⿊客获得了超过1.8万份城市⽂件,泄露⽂件⼤多是警⽅传票和部门内部⽂件,包括个⼈姓名、出⽣⽇期、地址和驾照号码等个⼈信息。
4 美国核武器合同商遭软件攻击
6⽉,美国能源部核安全管理局(NNSA)的核武器合同商Sol Oriens公司遭遇REvil软件攻击,攻击者扬⾔不缴纳赎⾦就将核武器机密信息泄露给其他国家的军⽅。
据透露,Sol Oriens的内部信息已经被发布到REvil的暗⽹博客上。但⽬前来看,暗⽹上披露的泄漏数据并不涉及⾼度机密的军事秘密,只包括了2020年9⽉的公司⼯资单,列出了少数员⼯姓名、社会保障号码和季度⼯资。还有⼀个公司合同账本,以及⼯⼈培训计划的备忘录(备忘录顶部有能源部和NNSA国防计划的标志)的⼀部分。REvil是否得到了美国核武器的更敏感、更秘密的信息还有待观察。但是,⿊客从核武器承包商那⾥拿到任何信息都⾜以让⼈深感担忧。
5 美国软件商Kaseya遭REvil软件供应链攻击
7⽉,美国IT系统管理公司卡西亚(Kaseya)发布声明,确认其下产品KASEYA VSA软件存在漏洞,已
被REvil⿊客组织利⽤攻击,⽬前已经关闭了其SaaS服务器,并且建议所有客户关闭VSA服务器。
Kaseya 为托管服务提供商(MSP)提供远程管理软件服务,已知受影响的托管服务提供商包括Synnex Corp.和Avtex LLC,由于MSP提供商的客户分布全球,导致此次事件影响范围颇⼴。⽬前瑞典最⼤连锁超市之⼀的Coop受此次供应链攻击事件影响,被迫停⽌全国约800多家商店服务。
此次攻击中,攻击者利⽤漏洞发送恶意 Kaseya VSA 软件更新,该更新被打包了⼀种软件,可以加密受感染系统上的⽂件。⼀旦感染了受害者系统,恶意软件试图禁⽤各种Microsoft Defender for Endpoint保护,包括实时监控、IPS、脚本扫描、⽹络保护、云样本提交、云查和受控⽂件夹访问。在部署软件之前,VSA 管理员帐户显然已被禁⽤。
美国Corellium公司⾸席运营官马特·泰特、前英国政府通讯总部信息安全专家马特·泰特发表评论,Kaseya遭攻击事件可能是今年影响最⼤的⽹络安全事件,甚⾄⽐美国Colonial管道软件事件以及太阳风(SolarWinds)⼊侵影响更⼤。
6 软件袭击或导致美国⾷品供应链中断
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论