随着新组织的加入,数据泄露事件的曝光声浪越来越大。但是,去年12月和今年1月曝光的一系列黑客入侵事件,在最近几周悄悄给我们上了一堂实际的课:当黑客发现数十个潜在目标的入侵之时,情况会变得多么糟糕——而他们是为了赚钱。
防火墙供应商Accellion在去年12月底悄悄发布了一个补丁,并在今年1月发布了更多补丁,以解决其一个网络设备产品中的一系列漏洞。从那以后,世界范围内数十家公司和政府机构承认,由于这些漏洞,他们的网络遭到了入侵,而且许多公司还面临着勒索,因为勒索软件组织Clop威胁说,如果他们不付钱,就将数据公之于众。
3月1日,安全公司FireEye分享了对该事件的调查结果,结论是两个以前不为人知的独立黑客组织分别进行了黑客攻击和敲诈勒索。这些黑客似乎与金融犯罪集团FIN11和勒索软件团伙Clop有联系。到目前为止,已知的公开受害者包括新西兰储备银行(Reserve Bank of New Zealand)、华盛顿、澳大利亚证券与投资委员会(Australian Securities and investment Commission)、新加坡电信(Singtel)、知名律师事务所众达律师事务所(Jones Day)、连锁杂货店克罗格(Kroger)和科罗拉多大学(University of Colorado);就在上周,网络安全公司Qualys加入了他们的行列。
这四个漏洞存在于Accellion的文件传输设备(File Transfer Appliance)中,这实际上是一台用于在网络中移动大型敏感文件的专用计算机。
“这些漏洞尤其有害,因为在正常情况下攻击者狩猎找到你敏感的文件,这是一个猜谜游戏,但是在这种情况下,工作已经完成了,”杰克·威廉姆斯说安全公司的创始人引渡的信息安全,致力于医治一个Accellion FTA-related违反。“根据定义,所有通过Accellion FTA发送的信息都被用户预先识别为敏感信息。”
近几个月来,阿泰龙自由贸易协定的广泛利用,以及针对IT服务公司太阳风(Solarwinds)和电子邮件管理系统微软交换服务器(Microsoft Exchange Server)的大规模民族国家黑客攻击。这两项举措似乎都打击了数千家公司,但主要是出于间谍目的。相比之下,Accellion的黑客似乎是受到了犯罪利润的驱使。
“在世界范围内,行为者利用这些漏洞攻击多个联邦和州、地方、部落和领土政府组织,以及包括医疗、法律、电信、金融和能源部门在内的私营行业组织。”美国国土安全部(Department of Homeland Security)的网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)在2月底与国际权威机构的一份联合声明中表示。“在观察到的一些案例中,攻击者随后向受害者组织勒索钱财,以防止从Accellion设备中泄露的信息公开。”
Accellion一直强调,已经诞生20多年的FTA产品已经走到了生命的尽头。此前,三星电子曾计划于上月30日停止对FTA的支持,并于上月30日停止了对操作系统Centos 6的支持。该公司表示,三年来,他们一直在努力将客户从FTA转移到其新平台Kiteworks上。
Accellion首席执行官乔纳森•亚隆在周一的一份声明中表示:“自从意识到这些攻击后,我们的团队一直在夜不继日地工作,开发并发布补丁,解决每个已发现的FTA漏洞,并为受此事件影响的客户提供支持。”
事故反应人员说,尽管如此,Accellion迟迟没有对FTA用户的潜在风险发出警报。
企业事故响应咨询公司TrustedSec的首席执行官大卫•肯尼迪表示:“Accellion零日漏洞造成的损害尤其严重,因为黑客们正在迅速大规模利用这个漏洞,而Accellion并没有告知其严重性。”“我们有很多客户联系Accellion了解影响,但没有得到任何回应。有很长的时间可以进行积极开发。”
由于大规模入侵,该公司在北加州和华盛顿州法院面临多项诉讼。
“在正常情况下,攻击者必须搜索你的敏感文件,这有点像一个猜谜游戏,但在这种情况下,工作已经完成了。”
杰克·威廉姆斯,情报部门的
可能还有更多Accellion的受害者,并不是所有已知的受害者的数据样本都被泄露到Clop的网站上。反病毒公司Emsisoft的威胁研究人员布雷特·卡洛(Brett Callow)说,这个勒索软件组织每周都会从少数受害者那里公布勒索要求和相应的泄露数据。他说,他们可能会缓慢地公布数据,以跟上管理勒索请求的后勤工作,而且还会有更多的数据。
TrustedSec的Kennedy说:“像这样的攻击,是通过寻求从黑客攻击中获利的团体实施的,我们通常不会同时看到大规模的攻击。”“这是精心策划、深思熟虑的,由这些特定的对手执行,以最大化这些攻击的经济利益。”
Accellion设备位于内部,这意味着攻击者必须在目标的网络中寻找易受攻击的设备部件。但事故响应人员表示,这种情况也让人们担心,如果类似类型的漏洞出现在公共云服务中,比如亚马逊网络服务(Amazon Web services)、谷歌云服务(谷歌cloud)或微软Azure等提供的云服务中,那将是多么灾难性的后果。一把钥匙能打开许多扇门,其效果会被放大。
Emsisoft的Callow说:“公共云绝对是伟大的,除非它不是。”“云中的数据可能和本地数据一样脆弱。人们有一种误解,认为自动使用云会让你的数据更安全,但事实并非如此。”
例如,在2020年底的一起事件中,由于Blackbaud云平台的漏洞,全球包括大学和慈善机构在内的数百家组织遭遇了数据泄露。
Rendition Infosec的威廉姆斯表示:“这种情况绝对有可能发生在云服务提供商身上。“像FTA这样的本地设备唯一的特点是代码更容易检查漏洞,”因为攻击者可以自己获取设备。
对于像FTA这样生命垂危的产品,攻击者肯定会把最坏的留到最后。但考虑到企业可能需要数年时间才能真正摆脱传统网络设备,更多与自由贸易协定相关的入侵可能会曝光,未来还可能在未打补丁的设备上发生其他事件。
