Dark Reading年中數據泄露報告:2016年TOP7安全事件盤點

2016年已經過去了一半,全球的安全性問題一直備受關注,漏洞和泄露事件的披露始終佔據媒體的頭條榜首。說起今年以來的重大安全事件,不知道你腦海里浮現的是哪幾起?

Dark Reading 年中數據泄露報告內容如下:

NO.1 烏克蘭「電力門」

烏克蘭攻擊事件實際發生於2015年12月底,而針對烏克蘭「電力門」事件的主要報道及分析結果則出現於2016年第一季度。

2016年1月4日,ESET公司就發表文章稱,烏克蘭境內的多家配電公司設備中監測到的KillDisk,由此懷疑使用了BlackEnergy後門,攻擊者能夠利用它來遠程訪問並控制電力控制系統。由於此事件是針對電力設備的攻擊,對於國家關鍵基礎設施的安全性具有非比尋常的意義,故存在巨大的風險。

烏克蘭電網攻擊事件帶來的教訓

據專家分析,本次事故中的網路攻擊手段包括三種:其一,利用電力系統的漏洞植入惡意軟體;其二,發動網路攻擊干擾控制系統引起停電;其三,干擾事故後的維修工作;

針對此次烏克蘭電網攻擊事件,得出如下教訓:

1.安全防護體系存在漏洞,網路隔離不足。烏克蘭各類公司間為了發、輸、配電業務的通信和控制便利,通過互聯網連接,控制類與非控制類系統未進行物理隔離。

2.網路安全監測不力。網路安全監測可以有效的發現攻擊行為,阻止攻擊進行,避免損失。烏克蘭電網的攻擊者進行了長達6個月的「潛伏」,在幾個月時間當中,他們進行了廣泛的網路偵察、探索與映射工作,並最終獲得了訪問Windows域控制器以管理網路內用戶賬戶的能力。以此為基礎,他們收集到相關員工登錄憑證以及部分工作用VPN以遠程登錄至該SCADA網路,並逐步實施後續攻擊計劃。此次黑客成功入侵電網,烏克蘭電力卻未發現攻擊行為,可謂監測不到位。

3.網路和信息安全意識淡薄。事件發生前,國際安全機構曾對烏克蘭電力機構發布預警信息,但未引起重視。黑客通過郵件偽裝而成功誘騙烏克蘭電力工作人員運行惡意程序,說明其電力工作人員網路安全意識淡薄。

4.不間斷電源(UPS)同樣需要安全防護。烏克蘭電網攻擊中,攻擊者對提供後備電力的不間斷電源(簡稱UPS)進行了重新配置,隨後通過被劫持的VPN接入到SCADA網路,並發送命令以禁用已經被重新配置的UPS系統。此行為,加重了烏克蘭攻擊事件的受災度,所以UPS的安全防護同樣不容忽視。

5.警惕不斷湧現的攻擊新技術。參加相關調查工作的烏克蘭與美國計算機安全專家們指出,攻擊者們覆寫了16座變電站的關鍵性設備固件,這些惡意固件在十幾座變電站中成功通過串列到乙太網轉換機製取代了合法固件(該轉換機制負責處理來自SCADA網路並用於控制變電站系統的命令)。

安全專家表示:

「這種針對特定目的的惡意固件更新(指向工業控制系統)此前從未出現過,從攻擊的角度來看,這絕對是種天才之舉。我的意思是,他們雖然目的邪惡,但手段確實非常高明。」

No.2勒索軟體風頭日盛

勒索軟體近年來持續活躍,有關勒索軟體的新聞已經超過APT攻擊,成為2016年的主要話題。根據卡巴斯基實驗室的惡意軟體報告表明,Q1季度檢測到2,900種最新的勒索軟體變種,較上一季度增加了14%。現在,卡巴斯基實驗室的資料庫包含約15000種勒索軟體變種,而且這一數量還在不斷增加。

2016年第一季度,卡巴斯基實驗室安全解決方案共攔截了372,602次針對用戶的勒索軟體攻擊,其中17%針對企業用戶。遭遇攻擊的用戶數量同2015年第四季度相比,增加了30%。

2016年第一季度排名前三位的勒索軟體分別為:Teslacrypt(58.4%)、CTB-Locker (23.5%) 和 Cryptowall (3.4%)。這三種惡意軟體主要通過包含惡意附件的垃圾郵件或指向受感染網頁的鏈接進行傳播。

1.TeslaCrypt

TeslaCrypt勒索軟體瞄準的主要是遊戲平台的玩家們,被盯上的遊戲平台包括使命召喚、暗黑破壞神、異塵餘生、Minecraft、魔獸爭霸、F.E.A.R、刺客信條、生化危機、魔獸世界、英雄聯盟以及坦克世界等。TeslaCrypt利用Flash Player漏洞(CVE-2015-0311)或者一個古老的IE瀏覽器漏洞將TeslaCrypt勒索軟體植入目標系統上。然後對受害者文件進行加密,勒索贖金。

2.CTB-Locker

2015年5月1日,名為「CTB-Locker」的比特幣敲詐病毒在國內爆髮式傳播,該病毒通過遠程加密用戶電腦文件,從而向用戶勒索贖金,用戶文件只能在支付贖金後才能打開。反病毒專家稱,目前國內外尚無法破解該病毒。

3.Cryptowall

Cryptowall 擁有一系列的惡意勒索軟體,一旦受害者感染了這些病毒,它們會立即對機器上的所有文件加密。病毒感染受害者機器的方式有:通過看似合法的附件和通過硬碟本身存在的惡意程序。Cryptowall自2013年出現以來,不斷的更新變化,到目前為止已經更新到Cryptowall 4.0版本。該版本的Cryptowall結合地下市場上最強大的入侵開發工具——核開發組件(Nuclear exploit kit)。

No.3 醫院勒索

說起勒索軟體,今年來,醫院應該是最大的受害者。畢竟與商業機構相比,醫院對於系統安全性的要求更高,更需要保持救護系統的正常運行,以確保其病人的健康,也正是如此,醫院成功吸引了攻擊者的目光。其中最聳人聽聞的攻擊應該是發生在2016年3月的,針對美國好萊塢長老會醫院的攻擊,最終該醫院支付了高達1.7萬美元 的贖金,重新恢復被勒索軟體鎖定的文件。

更多醫院受災

Methodist醫院在3月18日遭受勒索軟體攻擊,在接下來五天都處於「緊急狀態」,隨後他們報告稱解決了這個問題,沒有支付任何贖金。

3月,美國加州兩家醫院被勒索:Chino Valley醫療中心和Desert Valley醫院—這兩家醫院都屬於醫院管理公司Prime Healthcare Services;該公司發言人稱,這兩家醫院都沒有支付贖金,並且沒有病人數據被泄露。

3月,加拿大渥太華的一家醫院被勒索軟體攻擊。該醫院沒有支付贖金,而是隔離系統、清理驅動器並從備份恢復來解決問題。

另外, Ruby Memorial醫院也受到「惡意軟體或病毒」攻擊,但醫院發言人稱該攻擊並不是瞄準病人和員工數據,也沒有企圖竊取數據。

網路安全公司CrowdStrike公司聯合創始人兼首席技術官Dmitri Alperovitch表示:

「醫院不是唯一的受害者,我們看到很多行業(包括醫療保健、州政府和地方政府、中小企業和大型企業等)遭受勒索軟體攻擊。根據網路威脅聯盟的報告顯示,勒索軟體估計造成總共約3.25億美元的損失,但在現實中,這個數據可能遠遠不止於此。」

No.4 蘋果「加密門」

2016年可不只有持續不斷的攻擊和漏洞事件,還有震動全球的FBI與蘋果的」加密之爭「,該事件對全球的司法及社會都產生了深遠的影響。

FBI與蘋果:隱私之戰

2015年的12月,美國加州聖貝納迪諾(San Bernardino)發生了一起嚴重的恐怖襲擊事件,被警察射殺的兇手Farook留下了一支被密碼鎖屏的iPhone 5c。這就是引起這場「加密之爭」的導火索。回顧本次事件,我們可以概括為:FBI想要讓蘋果解鎖一部恐怖分子的iPhone,但是遭到了拒絕。然後FBI想通過法院來讓蘋果妥協,但是最終 在開庭的前一天,FBI通過第三方的幫助成功解鎖了iPhone,並放棄了起訴。

資深政策顧問Ross Schulman表示:

「這不僅僅是一部iPhone的問題······這關係到我們所有的軟體和數字化設備,如果聯邦調查局尋求的先例得以實現,那將對我們日常使用的手機和電腦的可靠性,造成真正的災難,我們一直相信那些公司是出於保護我們的安全考慮而升級各類軟體,但倘若它們只是為了給我們的安全埋下隱患,那我們更情願不要升級。」

美國東北大學的計算機科學與法律教授Andrea M. Matwyshyn在舒爾曼的看法上做了延伸,她說道:

「現眾多科技公司研發更強的安全性保護,並將其作為產品新特徵,是因為如今身份盜竊愈發猖狂,用戶擔心身份信息被竊。通過加強安全性,我們就能夠與更嚴重的犯罪抗爭,防止它們的發生。因此,這是一場關於應該以防止新型犯罪還是傳統犯罪的激烈討論。」

未來,隱私加密之路將何去何從,我們只能拭目以待了……

No.5 IRS(國稅局)稅務欺詐事件

2015年5月,美國稅局(IRS)遭遇黑客攻擊,10萬名左右美國公民賬號的登錄許可權被盜,不過伴隨著調查的不斷深入,這個數字在不斷增長。去年8月,受影響納稅人數量已經增至22萬,而未被登錄但也涉及其中的納稅人數量也增至17萬。現在,這個數字已經增長到了可怕的70萬。

國稅局可能是收集美國公民信息最多的聯邦政府部門,黑客這一舉動嚴重威脅到公民隱私和財物安全。參議院財政委員會主席Orrin Hatch對這份報告表達了極度的擔憂,他害怕IRS大量的數據泄露將讓辛勤工作的納稅人遭遇新的欺詐。

而事實證明,大量數據泄露確實帶來了更為嚴重的稅務欺詐事件。其實早在2014年3月就曝出退稅資金被盜取事件,攻擊者獲取這些美國公民信息後,可以修改退稅信息,將退稅資金直接存到自己的銀行賬戶。

國稅局估計,在2013年就有納稅人和犯罪分子利用虛假材料騙取58億美元的退稅款。2014年被騙取的退稅款高達5000萬美元。更為嚴重的是,遭竊取的信息是納稅人的永久信息,在未來仍能繼續用來騙取退稅。

此外,泄露的信息還被用於釣魚攻擊,針對納稅人實施釣魚欺騙,冒充IRS人員騙取納稅人資產,造成大量資金損失。

美國國稅局提醒民眾,警惕電話釣魚詐騙

No.6 SWIFT系統風波

從去年開始,世界範圍內使用SWIFT系統的銀行相繼被曝出盜竊案件,從2015年1月的厄瓜多銀行損失1200萬美元,10月的菲律賓銀行,到今年2月孟加拉國央行曝出被盜竊8100萬美元,隨後第二家及第三家銀行(也是最初受害者)被黑的消息被公開。5月菲律賓一家銀行又被盜,這次他們又造成烏克蘭銀行上千萬美元的損失。

黑客利用SWIFT系統攻擊全球銀行系統線路圖

一系列的案件逐漸引起了人們對SWIFT系統的關注,並對SWIFT系統的安全性打上了問號。而針對這些攻擊事件,SWIFT與2015年5月27日宣布了新的客戶方案,以加強針對網路威脅的安全防護:

全球範圍內信息共享,實現客戶事件的快速反饋,提升網路防護能力;

提升SWIFT相關工具的安全性;

提供審計框架,制定相關的審計標準和認證程序,在客戶現場進行安全管理;

增加針對支付模式的安全監控;

加強第三方供應商的安全支持。

No.7 SSL DROWN

2016年3月,國外研究人員發現OpenSSL出現新的安全漏洞「DROWN」,全稱是 Decrypting RSA with Obsolete and Weakened eNcryption,即「利用過時的脆弱加密演算法來對RSA演算法進破解」。據OpenSSL安全公告,DROWN是一種跨協議攻擊,如果伺服器使用了SSLv2協議和EXPORT加密套件,那麼攻擊者就可利用這項技術來對伺服器的TLS會話信息進行破解。

攻擊者可利用這個漏洞破壞網站加密體系,發起「中間人劫持攻擊」,從而竊取HTTPS敏感通信,包括網站密碼、信用卡帳號、商業機密、金融數據等。據統計,該漏洞影響了全世界多達1100萬個HTTPS網站,其中包括雅虎、阿里巴巴、新浪微博、新浪網、360、BuzzFeed、Flickr、StumbleUpon 4Shared 和三星等知名網站。

漏洞檢測:

安全無小事,雖然 DROWN 漏洞直接利用成本較高,降低了被攻擊的風險,但是如果有其他漏洞配合 DROWN 漏洞進行組合攻擊,危害將不可預期。

DROWN研究團隊提供了在線檢測,方便了用戶自行檢查,檢測地址為:

test.drownattack.com/

如果你是一名技術人員,還可以利用一些漏洞檢測腳本,比如:

OpenSSL提供的檢測腳本:

https://mta.openssl.org/pipermail/openssl-dev/2016-March/005602.html

DROWN Scanner:

https://github.com/nimia/public_drown_scanner#drown-scanner

不過,這些檢測方法並不是百分之百準確的,都存在誤報或漏報的可能。

DROWN漏洞也許不如Heartbleed漏洞的影響範圍廣,也比Heartbleed更難理解。但從攻擊模式看DROWN可以被動收集加密信息、並在之後再展開在線攻擊,DROWN攻擊並不要求在信息傳輸時展開在線攻擊,也即DROWN可以攻擊離線的加密信息,因此DROWN可以解密之前被認為堅不可破的TLS流量,DROWN的影響和潛在威脅其實遠超出預想。

以上為Dark Reading總結的2016上半年最重大的安全事件,您想到的是這些嗎?當然,2016上半年發生的安全大事件肯定不僅於此,您眼中的最大威脅的安全事件是哪些?歡迎與小編一起交流哦~

* 原文鏈接:darkreading,FB小編米雪兒編譯,轉載請註明來自FreeBuf(FreeBuf.COM)

推薦閱讀:

重磅|開足馬力:2017年全球大數據領域全景分析報告
用兩分鐘告訴你 我是如何用搞定隔壁老王的 WiFi 密碼
圖解ARP協議(二)ARP攻擊篇
李俊到底在黑客界算個什麼水平?
如何封殺掉P2P網路終結者?

TAG:数据 | 网络安全 | 黑客Hacker |