「中國菜刀」出海:有人用它從澳大利亞軍方偷了30GB絕密數據
在本周三有媒體參加的官方會議上,澳大利亞負責國家安全情報收集工作的信號局(Australian Signals Directorate,簡稱ASD)事件應急主管Mitchell Clarke透露,他們去年曾處理過一起棘手的應急事件。
絕密軍火庫被盜
2016年11月,有合作夥伴向ASD發來警告,有攻擊者已經進入當地一家50人規模航天工程公司的內部網路,正在打包(美國)國防部相關絕密數據。
ASD整理的攻擊者信息
海量絕密數據被竊取,包括F-35戰鬥機、P-8波塞冬海上巡邏機、C-130運輸機、聯合直接攻擊彈藥(JDAM)智能炸彈包以及數艘澳大利亞海軍艦艇等等。
(F-35是美國最新一代戰機,澳大利亞訂購了幾十架)
Mitchell Clarke稱,攻擊者在幾個月內竊取了大約30GB的敏感數據,它們均在美國國際武器貿易控制條例(ITAR)的進出口限制範圍之內。而且數據詳實程度令人震驚,以澳大利亞最新海軍艦艇為例,Clarke說攻擊者拿到的設計圖文件,精度極高,放大後可以看清船長座椅。
安全防護一塌糊塗
本周二澳大利亞網路安全中心發布的2017年度威脅報告首次披露了此事,周三的澳大利亞信息安全協會全國大會上,Clarke分享了更多細節。
ASD將此次攻擊行動命名為「APT ALF」,暗示攻擊持續時間長,和澳大利亞著名長壽肥皂劇Home and Away類似。
至少在2016年7月中旬時候,攻擊者實際上已經進入那家小型國防承包商企業的網路。兩周後,數據開始陸續被竊取。從8月到ASD被通知的11月,攻擊者完全佔據了網路,在長達三個多月的」賢者時間「幾乎為所欲為。
ASD事後調查該企業的網路安全防範,發現和常見民營小公司的網路環境很類似。由於員工流動率高,它沒有常規修補方案、沒有DMZ防護、伺服器竟然使用本地管理員賬號而非域控賬號、許多主機上開著Web服務…最奇葩的是開著的Web服務還用著admin/admin、guest/guest等默認弱賬號密碼。
所以,被黑也很活該對吧。攻擊者最開始發現某主機的舊版本Web服務存在「任意文件上傳漏洞」,使用國內知名黑客工具「中國菜刀」成功拿下Webshell,然後展開掃描環境、橫向移動、數據Dump等一系列攻擊操作。
神秘的受害者和通報者
到目前為止,我們只能從Clarke隻言片語里猜測受害者和通報者的身份。
據悉,受害者是澳大利亞航空航天工程的四級承包商,和主承包商、當地機構、美國國防部門、波音和洛克希德馬丁等製造商對接,並且通過美國軍火貿易的ITAR安全認證。
ASD連同澳大利亞CERT機構找到這家公司時,曾被拒之門外。Clarke說他們知曉事情後前往受害者辦公室,但受害者很警惕,不相信他們的身份,ASD和CERT的許可權也不足以去審查這家公司。
通過一些手段,ASD最終獲得了受害者的信任,得以採取措施分析和溯源事件狀況和攻擊者信息。
通報者則更神秘,這家不願透露名字的澳大利亞合作夥伴在7月份已經知曉有人黑進了受害者企業網路,但當時無法告知。在花費大量時間處理合規、法律流程後,終於在11月向ASD通報成功。
「對澳大利亞來說,這顯然不是最好的結果,但至少我們被告知了,總比一無所知強。」Clarke道。
應急之後呢?
經歷這一教訓後,Clarke認為,澳大利亞應該學會更精細化的控制安全風險,學習如何選擇安全機制。他強調遵循最佳安全實踐保護網路的重要性,比如ASD一直推行的「減緩網路安全事件危害基本八條」(Protect Essential Eight Explained)。
對中國來說,除了攻擊者使用「中國菜刀」的身份揣測外,我們還應關注國內同類企業的安全狀況。澳大利亞受害者不會是孤例,相信也會有許多目光對準中國這方面企業,他們的安全措施如何?是否有能力抵禦呢?
本文編譯自http://www.zdnet.com/article/secret-f-35-p-8-c-130-data-stolen-in-australian-defence-contractor-hack/、https://www.itnews.com.au/news/hacked-aussie-defence-firm-lost-fighter-jet-bomb-ship-plans-475211,如若轉載,請註明原文地址: http://www.4hou.com/info/news/7969.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※您是Docs.com用戶嗎?注意你的密碼可能已經泄露了
※能否從根本上建立一個高度安全的網路安全體系而不是在攻擊發生後對網路犯罪進行追蹤?
※利用SAP 0day,四分鐘內黑掉華爾街
※Web App攻擊之使用Web Scarab工具搜索目標
※GoSSIP 論文推薦(2017-06-02)
TAG:信息安全 |