2023年11月10日,中国工商银行(ICBC)的美国全资子公司工银金融服务有限责任公司(ICBCFS)在官网发布申明称11月8日遭受了勒索软件攻击,导致部分系统中断。
据彭博社报道,对工商银行美国子公司的攻击已经扰乱了美国国债市场。证券行业和金融市场协会周四的一份声明显示,由于工商银行遭到勒索软件的攻击,无法代表其他市场参与者结算国债交易,这可能对美国国债的流动性产生巨大影响,并可能引发监管审查。
LockBit确认对攻击负责
据安全研究平台VXunderground本周五透露,LockBit组织代表在Tox上公开确认对攻击负责,但否认自己是俄罗斯黑客组织(下图):
LockBit提供勒索软件即服务(RaaS),是2023年最多产的勒索软件组织,其受害者名单不乏世界知名企业和机构,例如IT巨头埃森哲、波音、曼谷航空、英国皇家邮政、德国大陆集团、伦敦市政府等。
用U盘处理美国国债交易
攻击发生后,由于被攻击的系统被隔离断网,工行总部和其他海外分支机构并未受到影响,但也导致工银金融无法清算待处理的美国国债交易,被迫通过U盘发送结算数据。
这让人回想起2018年阿拉斯加某市政府遭遇大规模勒索软件攻击后,公务人员被迫使用打字机办公长达一周的情形。
事件原因:高危漏洞未修补?
虽然工行尚未公布调查结果,但安全专家Kevin Beaumont推测,攻击者可能利用了CitrixBleed漏洞(CVE-2023-4966)。Beaumont表示,工银金融的Citrix服务器最后一次上线是在周一,攻击发生后离线,工银金融可能没有对其Citrix NetScaler Gateway网关设备中的漏洞进行修补。
Citrix上个月发布了该漏洞的补丁。这是一个严重的漏洞,因为黑客/勒索软件团伙可以轻易利用它绕过身份验证,侵入企业系统。这个漏洞最近在针对未打补丁的政府和企业网络的攻击中多次被利用。
“该漏洞可以完全、轻松地绕过所有形式的身份验证,并被勒索软件团体利用。它就像在企业内部滑动鼠标操作电脑一样简单,它为攻击者提供了具备完整交互功能的远程桌面PC客户端。”Beaumont解释道。
LockBit是否有胆量泄漏数据?
对工银金融的攻击距美国宣布与40个国家结成反勒索软件联盟不到一周,该联盟重点强调反对受害者向黑客支付赎金。
KnowBe4数据驱动防御布道者Roger Grimes接受Hackread采访时指出:“像这样涉及‘真钱’的事件,长期来看通常对涉事的勒索软件团伙不利。不仅当局会介入,而且还会有巨大的压力要求逮捕相关人员并关闭该团伙。”
Grimes表示:“我很惊讶LockBit敢于(对如此重要的金融机构和市场)进行攻击和勒索,也许他们没有清醒地认识到利害关系。中国有自己的优秀黑客可以作为攻击资源,而且当涉及足够多的金钱时,美国当局也很擅长识别罪犯并给予严厉打击,本案也不例外。”
另一位不具名的威胁情报研究人员告诉GoUpSec,Lockbit今年连续攻击了多家大型知名企业,其中最引人瞩目的受害者是美国军方承包商波音公司,本周五,就在工行披露遭遇勒索软件攻击的当天,Lockbit公布了据称从波音公司窃取的超过40GB的敏感数据(下图)。因此,在对工商银行的勒索攻击中,Lockbit未必会因忌惮执法部门重拳出击而收手。
或将引发全球金融业的网络安全军备竞赛
瑞典网络安全公司Truesec的创始人马库斯·穆雷(Marcus Murray)表示:“工商银行遭遇勒索软件攻击对全球大型金融企业来说是一次重大冲击。从今天开始,中国工商银行的黑客事件将迫使全球大型银行竞相提高防御能力。”
Truesec威胁情报专家马蒂亚斯·瓦伦(Mattias Wåhlén)表示,针对中国公司的勒索软件攻击很少见,部分原因是中国禁止了与加密货币相关的交易。这使得受害者更难支付赎金,而勒索软件组织通常要求受害者通过加密货币支付赎金。但瓦伦表示,最新的攻击可能暴露了工商银行的防御弱点。
值得注意的是,这并非LockBit今年头一次发动扰乱全球金融体系的网络攻击,八个月前,ION Trading UK(一家为全球衍生品交易者提供服务的公司)遭遇LockBit勒索软件攻击,导致市场瘫痪,迫使其手动处理每天数千亿美元的交易。
最后,多名业内人士一致认为,金融业向来是网络安全能力成熟度最高的行业之一,今年ION和工银金融的重大黑客事件凸显了各国包括金融机构在内的关键基础设施面临的攻击风险正与日俱增。
