2023年,数据泄露和网络攻击事件仍然频发,涉及面广,影响力大,很多全球知名的企业组织也因此面临着监管合规与社会舆情的双重压力。近日,IT专业媒体CRN.COM梳理了2023年受到行业广泛关注的十大网络攻击和数据泄露事件,并对事件进行了点评分析。
1、2023年2月,ESXi勒索软件攻击
今年2月,“ESXiArgs”勒索软件组织攻击了运行VMware ESXi虚拟机管理程序的客户。据美国联邦调查局和美国计算机安全管理局调查数据显示,全球受到攻击影响的服务器数量超过了3800台。
据网络安全供应商Censys的安全研究人员介绍,这起活动的目标主要是针对美国、加拿大、法国和德国等国家的企业组织,攻击者利用了一个已经存在两年之久的漏洞(编号为CVE-2021-21974),主要影响旧版本VMware ESXi中的OpenSLP服务,可以被用来远程执行代码。此次ESXiArgs勒索软件攻击事件,再次凸显了保护虚拟化应用基础设施的重要性。
2、2023年2月,GoAnywhere攻击
今年2月,Fortra公司紧急发布公告并通知其客户,在其GoAnywhere文件传输平台上发现了一个被大肆利用的零日漏洞,该漏洞可用于在被控制的计算机系统上远程执行恶意代码。调查显示,在此次GoAnywhere漏洞利用攻击活动中,最具代表性的事件是黑客攻击了医疗福利服务机构NationsBenefits,并获取了其300万会员的部分个人隐私信息。
据了解,黑客还利用GoAnywhere平台漏洞窃取了包括宝洁和数据安全公司Rubrik在内的众多大型组织业务数据。根据Fortra在调查攻击的过程中发现,GoAnywhere漏洞被用来攻击少数运行特定配置的GoAnywhere MFT解决方案的内部部署环境,这种情形早在今年1月就已经出现。
3、2023年3月,3CX软件供应链攻击
今年3月,全球知名的通讯软件服务商3CX遭到网络攻击,在许多关键特征方面与2020年爆发的SolarWinds供应链攻击非常相似。
在此次事件中,攻击者们主要利用了3CX的一款VoIP电话系统应用软件,该软件的客户群涵盖了全球60余万家组织,以及2.5万个渠道合作伙伴,其中主要的客户包括美国运通、麦当劳、可口可乐、NHS、丰田、宝马和本田。
网络安全Mandiant声称,3CX攻击有别于以往软件供应链攻击的地方在于:3CX活动是由早期的供应链攻击造成的。Mandiant的研究人员透露:我们监测到攻击者篡改了金融软件公司Trading Technologies发布的一款软件包。这是Mandiant首次看到由一起软件供应链攻击导致了另一起软件供应链攻击。
4、2023年5月,MOVEit攻击
今年5月,勒索软件Clop组织利用了Progress的MOVEit文件传输工具中的一个严重漏洞,开始了大规模的勒索软件攻击活动。与传统的勒索软件攻击不同,本次的攻击行动并没有采用任何加密机制,而是以非法泄露数据作为勒索条件。Clop声称,如果受害者公司支付赎金,它将不会在其暗网网站上泄露受害者的被盗数据。针对数百家选择不支付赎金的公司,Clop确实是这么做的。
目前尚不清楚哪些公司实际上支付了赎金。但据网络安全事件响应公司Coveware估计,Clop将从攻击活动中获利7500万美元至1亿美元。截至目前,受MOVEit活动影响的组织总数或许已经接近3000家。就已知受影响的个人而言,如今总数接近8400万人。这使其成为2023年影响最广泛的攻击之一,也使其成为近年来最严重的数据泄露事件之一。在IT行业,MOVEit数据勒索活动的受害者包括IBM、高知特、德勤、普华永道和安永。
5、2023年5月,PBI Research Services泄密
2023年5月,同样是受到MOVEit漏洞影响,导致了一家大型软件系统开发供应商的众多下游客户企业泄密。数据显示,就受影响的人员数量而言,PBI Research Services(PBI)泄密事件或许是与MOVEit相关的最大单一事件,最终导致超过1400万人的个人隐私数据遭到泄露。
使用PBI服务的组织包括政府养老金系统、保险公司以及知名的投资公司。美国最大的公共养老基金CalPERS在事件说明的新闻发布会上就表示,有76.9万名退休人员的个人数据遭到泄露。
6、2023年6月,梭子鱼电子邮件安全网关攻击
今年6月,知名网络安全公司梭子鱼发布公告披露,超过5%该公司生产的ESG设备已被攻击者入侵。攻击活动利用了该公司电子邮件安全网关(ESG)内部设备中的一个严重漏洞。通过进一步调查发现,该漏洞早在2022年10月就被利用了。这些攻击促使梭子鱼建议其受影响的客户免费更换ESG设备。
Mandiant公司将这次大范围的活动归咎于编号为UNC4841的黑客组织。该公司的研究人员报告,政府部门是该攻击团伙特别偏爱的目标,尤其是针对美国的政府机构。
7、2023年6月,微软云电子邮件泄露
今年6月,属于多家美国政府机构的微软云电子邮件账户遭到非法入侵,其中包括了多位高级政府官员的电子邮件。据报道,美国国务院的10个邮件账户中共有6万封电子邮件被盗。这起事件促使美国参议员Ron Wyden要求联邦政府展开调查,以确定微软公司松懈的安全防护措施是否是导致本次泄密事件的主要原因。
微软公司表示,安全专家已经发现了使威胁团伙“Storm-0558”得以闯入美国官员云电子邮件账户的原因和问题。在2021年Windows系统崩溃后,一个漏洞导致攻击中使用的Azure Active Directory密钥被不适当地捕获,并存储在一个文件中。微软表示,有一个漏洞导致这些不规范存放的密钥没有被检测出来。
此外,这次攻击的幕后黑手是通过侵入属于微软工程师的公司账户来访问含有密钥的文件。而微软此前表示,被盗的Azure Active Directory密钥可以被用来伪造身份验证令牌,并访问来自约25家组织的电子邮件。
8、2023年9月,赌场运营商被攻击
今年9月份,攻击者针对赌场运营商米高梅和凯撒娱乐发起了极具破坏性的攻击,攻击手法包括利用社会工程伎俩欺骗IT求助台,非法进入米高梅的网络系统。在此次攻击的调查中还发现,一个名为Scattered Spider的年轻黑客组织与俄罗斯背景的勒索软件团伙Alphv相互勾结、狼狈为奸。
据安全研究人员声称,Scattered Spider的黑客使用了Alphv提供的BlackCat勒索软件(Alphv团伙的成员之前隶属于发动Colonial Pipeline攻击的DarkSide团伙)。虽然多年来勒索软件即服务在东欧一直日益猖獗,但欧美黑客与俄罗斯背景黑客团伙结为联盟似乎再让威胁领域向更加令人不安的新方向发展。
9、2023年10月,思科IOS XE攻击
今年10月中旬,针对思科IOS XE客户的攻击迅速成为有史以来影响最广泛的边缘攻击之一。据Censys研究人员表示,10月16日发现的一个严重IOS XE漏洞导致近42000台思科设备中招。
思科在当天的安全报告中表示,IOS XE中的零日漏洞被攻击者大肆利用。思科对这个特权升级漏洞赋予了最严重的10.0分。思科的Talos威胁情报团队表示,利用这个严重漏洞,恶意分子就可以全面控制中招的设备。在大量的思科设备中使用了IOS XE网络软件平台,其中许多设备被部署在企业网络边缘环境中。这些产品包括分支路由器、工业路由器和聚合路由器,以及Catalyst 9100接入点和支持物联网的Catalyst 9800无线控制器。
10月23日,思科发布了针对该漏洞的首个补丁,以限制严重的IOS XE漏洞。
10、2023年10月,Okta支持系统泄密
10月20日,身份安全厂商Okta公司披露了一起影响其支持案例管理系统的数据泄露事件,该公司最初以为只影响其18000家客户中的很小一部分。然而在11月下旬却改口表示,称所有支持客户的姓名和电子邮件都可能被攻击者非法窃取。在Okta最初披露支持系统泄密后,BeyondTrust、Cloudflare和1Password都表示自己是这次事件中受影响的客户。
这家身份管理公司在11月底的最新披露中表示,它一直在重新检查攻击者执行的操作。攻击者运行并下载了一份报告,其中包含所有Okta客户支持系统用户的姓名和电子邮件地址。然而,攻击者下载的报告不包含用户凭据及其他敏感数据。
在最新披露之后,该公司将产品更新推迟90天发布,以优先考虑安全。
参考链接:https://www.crn.com/news/security/10-major-cyberattacks-and-data-breaches-in-2023
