2019年重大信息安全事件解读,网络信息安全值得重视(上)
2008年以来,Verizon(中文“威瑞森”)作为美国最大的无线通信服务供应商,每年都会如期推出数据泄露调查报告,由于其业务广泛(在全球45个国家经营电信及无线业务),对数据泄露事件的分析较为深入,可以说每年的《数据泄露调查报告》都颇具参考意义,当之无愧成为数据安全从业者必读的报告之一。由于报告本身描述众多,中科信安选取了其中最后的部分——年度信息安全事件,进行解读、汇总,以供各位读者参考。
Verizon报告的事件来源:Verizon研究咨询中心(VTRAC)、合作伙伴、其它组织、互联网公开披露的事件等。
一月重大信息安全事件:黑客冒充跨国集团总部首席执行官
1月10日下午,北京时间,《印度经济时报》报道称,意大利工程集团Tecnimont Spa最近警告称,该公司被来自中国的黑客欺诈了13亿卢比(约合1845万美元),这些黑客甚至在欺诈活动中担任意大利工程公司的首席执行官。
警方称,这名黑客利用一个与Tecnimont首席执行官相似的账户向该公司的印度同行发送了一封电子邮件,称他将组织一次电话会议,讨论在中国进行的“秘密”收购。
然后,黑客说服印度首席执行官将收购资金从印度转移到香港的银行,分为三批。
黑客们表示,由于监管原因,这些资金无法从意大利转移。
在电话会议上,黑客组织中的许多人假装是Tecnimont的CEO和其他高管,以及来自瑞士的高级律师。
Tecnimont已经对欺诈行为展开了法医调查,并与法律和信息安全公司进行了接触。Tecnimont并未将该事件视为“信息安全事件”,而是将其视为“欺诈事件”,但拒绝进一步评论。该公司已经解雇了其印度首席执行官,以及首席会计师和财务官。
二月重大信息安全事件:黑客试图从马耳他的瓦莱塔银行窃取1300万欧元
2月13日,马耳他时报报道,瓦莱塔银行是历史最悠久的金融服务提供商,也是该国最大的金融服务提供商之一,在发生网络安全漏洞后关闭了所有业务。
黑客设法闯入银行的系统,并向外国账户转移了1300万欧元。
该银行的所有功能,包括ATM,分支机构,手机银行甚至其电子邮件服务都被暂停,而其网站则脱机。
黑客攻击发生后,该国总理表示欺诈交易已被追查并正在被撤销。与此同时,该银行向客户保证,他们的账户不会受到损害。
瓦莱塔银行是马耳他最古老的银行,也是最大的银行之一。马耳他*官员周三密切关注该银行的业务,因为黑客破坏了小岛的经济,迫使大量公民和游客只进行现金交易。*也是BOV的客户之一,其服务用于支付社会保障金。
三月重大信息安全事件:全球最大的铝制巨头造商挪威海德鲁,因勒索软件攻击而关门
据外媒报道,全球最大铝生产商之一挪威海德鲁 ( Norsk Hydro ) 公司于3月 19 号遭到一款新型勒索软件 LockerGoga 攻击,企业 IT 系统遭到破环,*临时关闭多个工厂并将挪威、卡塔尔和巴西等国家的工厂运营模式改为 " 可以使用的 " 手动运营模式,以继续执行某些运营。
安全专家Kevin Beaumont本月早些时候表示,该恶意软件上个月也曾用于法国巴黎咨询公司Altran。他表示,恶意软件不像其他勒索软件那样需要网络连接或命令和控制服务器。与恶意软件分析站点共享的勒索软件样本VirusTotal显示,只有少数反恶意软件产品可以检测并中和LockerGoga恶意软件。
四月重大信息安全事件:印度IT外包巨头Wipro IT系统遭入侵
4月18日,FREEBUF报道,印度IT外包巨头Wipro 的IT系统遭到入侵,并被用于对其客户发动攻击。Wipro是印度第三大IT外包公司,匿名消息来源称该公司的系统被用于作为起跳点对其数十家客户的系统发动钓鱼式刺探。它的客户跟踪到了可疑的恶意网络侦查活动,攻击者被发现来自于 Wipro的网络。Wipro 的一家客户已经取消了与该公司的合同,但不清楚是否与网络入侵有关。Wipro 则发表声明声称其网络系统有多重安全保障,并已针对该次攻击事件进行调查。
五月重大信息安全事件:勒索软件凶猛:“罗宾汉”打瘫美国市*
美国海港城市、巴尔的摩市*陷入瘫痪已经整整一个月。从5月7日开始,市*的大约1万台电脑被病毒入侵,重要文件系统被加密锁定,所有*雇员无法登陆电子邮件系统,房地产交易无法完成,甚至连工资都没办法发放。
而这一切的根源,在于一个名为“Robbin Hood”的勒索软件病毒,Robbin Hood的中文译名,是“罗宾汉”。这个“侠盗”病毒,让巴尔的摩市*的网络陷入瘫痪,攻击者索要13个比特币才肯交出**。巴尔的摩市*估计,要想把被破坏的系统重新运行起来,需要至少10万美元的费用、以及大约几个月的时间。这么算来,13个比特币也大约价值10万美元,交出赎金似乎是个不错的主意。
市政官员表示他们无意支付这部分赎金,因为“只要妥协过一次,无疑会鼓励别有用心者在未来发起更多类似的攻击。只是在此期间,巴尔的摩市正在耗费大量的心力、以恢复基础服务的正常运行”。
巴尔的摩市的技术力量,并不足以应对如此规模的电脑病毒攻击。
在几天前的新闻稿中,巴尔的摩市市长 Bernard Young 指出,“我们已经将操作转换到了手动模式,并会通过其它方案来继续向公众提供服务。在恢复的过程中,我们还与 FBI 合作展开了调查,不过具体的细节还无法公开。”
从公开信息来看,巴尔的摩市*的重要系统,并未像国内的同类重要系统一样:与互联网物理隔绝,实行严格的安全等级保护,以及对重要系统和数据进行备份。
六月重大信息安全事件:这个最危险的黑客组织正在探测电网
外媒报道,XENOTIME黑客组织将目标从石油和天然气扩大到电力公用事业领域,该组织以在安全仪表系统(SIS)中破坏性强而闻名。著名恶意软件TRITON就是由XENOTIME黑客组织使用,会造成设备物理破坏并停止运营。
2017年 Trisis/Triton 恶意软件攻击的幕后威胁者 Xenotime 目前除了攻击石油和天然气组织机构以外,还在攻击位于美国和亚太地区的电力设施。
Xenotime 至少活跃于2014年,但直到2017年攻击沙特阿拉伯的一家石油和和天然气工厂之时才为人所知。该组织使用名为 Trisis、Triton 或 HatMan 的恶意软件利用一个0day 漏洞攻击施耐德电气公司的安全联锁系统(SIS)。该攻击是在 SIS 触发某些工业系统关闭之后被发现的,专家认为这是黑客不慎造成的后果。
Xenotime 最初仅攻击位于中东地区的石油和天然气行业,不过2018年5月,Dragos 机构指出,黑客开始攻击全球范围内的组织机构以及除了 Triconex 以外的安全系统。
纵观2020年度 Verizon 数据泄露报告,我们可以看到,在众多行业数据泄漏统计排名中,*行业数据泄露排名超过医疗、金融行业,首次登居榜首。而往年排名第一的医疗行业虽已退居第二,金融行业虽继续排名第三,其形势依然严峻、不容忽视。
其中*行业数据泄漏日益增长的根本原因在于网络间谍和国家活动的活跃程度不断增强。