今年早些时候,黑客侵入了联合国(United Nations)的计算机网络,偷走了大量数据,这些数据可能被用来攻击这个政府间组织内的机构。
黑客进入联合国网络的方法似乎并不复杂:他们很可能是用从暗网购买的被盗联合国雇员的用户名和密码进入的。
这些证书属于联合国专有项目管理软件“Umoja”的一个账户。据发现这一漏洞的网络安全公司ressecurity说,黑客从那里能够深入进入联合国的网络。已知黑客进入联合国系统的最早日期是4月5日,截至8月7日,他们仍在网络上活跃。
“像联合国这样的组织是网络间谍活动的高价值目标,”ressecurity首席执行官Gene Yoo说。“这名行动者进行入侵的目的是危及联合国网络内的大量用户,以便进一步长期收集情报。”
这次攻击是今年黑客变得更加肆无忌惮的又一次高调入侵。全球最大的肉类生产商JBS SA今年遭遇网络攻击,迫使其美国工厂关闭。美国最大的汽油管道运营商Colonial Pipeline Co.也受到了所谓的勒索软件攻击。与那些黑客不同,入侵联合国的黑客并没有破坏联合国的任何系统,而是收集了联合国计算机网络的信息。
今年早些时候,ressecurity向联合国通报了最近一次黑客攻击事件,并与联合国安全团队合作,确定了攻击的范围。联合国官员告诉ressecurity,黑客的攻击仅限于侦察,黑客只是在网络内部截屏。他说,当ressecurity的Yoo向联合国提供被盗数据的证据时,联合国停止了与该公司的通信。
黑客使用的Umoja账户没有启用双因素认证,这是一项基本的安全功能。据Umoja网站7月份发布的公告称,该系统已迁移至微软公司(Microsoft Corp.)提供多因素认证的Azure。Umoja网站上的一份声明称,这一举措“降低了网络安全漏洞的风险”。
联合国没有回复记者的置评请求。
联合国及其机构以前也曾成为黑客攻击的目标。2018年,荷兰和英国执法部门挫败了俄罗斯对禁止化学武器组织(Organisation for the Prohibition of Chemical Weapons)的网络攻击,当时该组织正在调查一种致命神经毒剂在英国领土上的使用情况。然后,根据《福布斯》的一份报告,2019年8月,联合国的“核心基础设施”在一次针对微软SharePoint平台一个已知漏洞的网络攻击中遭到破坏。直到新人道主义新闻组织(New Humanitarian news organization)报道了这一事件,该事件才被公开披露。
ressecurity说,在最近的一次入侵中,黑客试图获取更多有关联合国计算机网络如何建立的信息,并入侵了53个联合国账户。彭博新闻无法确定黑客的身份,也无法确定他们入侵联合国的目的
彭博新闻(Bloomberg News)对暗网广告进行了审查,其中至少有三个市场的用户在最近的7月5日出售同样的证书。
这些黑客进行的侦察可能使他们能够在未来进行黑客活动,或者将信息卖给其他可能试图破坏联合国的组织
“传统上,像联合国这样的组织一直是国家行为体的目标,但随着网络犯罪分子正在寻找更有效地将窃取的数据货币化的方法,以及初始接入掮客更频繁地出售进入这些组织的权限,我们预计它们会越来越多地成为网络罪犯的目标和渗透,”Recorded Future的高级威胁分析师艾伦·利斯卡(Allan Liska)说。Liska说,他在暗网上看到联合国雇员的用户名和密码在出售。
据安全情报公司英特尔471的首席执行官马克·阿雷纳(Mark Arena)说,多名讲俄语的网络罪犯提供了这些证书。联合国证书作为数十个用户名和密码补丁的一部分,正在以仅1000美元的价格出售给各个组织。
Arena表示:“自2021年初以来,我们看到多个出于经济动机的网络罪犯出售联合国运营的Umoja系统的访问权限。”“这些演员在同一时间出售来自多个组织的广泛妥协证书。在之前的一些场合中,我们看到过被泄露的证书被卖给其他网络罪犯,他们在这些组织中进行了后续的入侵活动。”
