2011年重大IT安全事件回顧
在2010年新年前夜,由于無人知道密碼,舊金山無法獲取其緊急行動中心上運行的備份系統,這或許可以被視為一個不祥的預兆。
2011年即將過去,我們需要回顧并盤點一下這一年中發生的重大IT安全事件。其中的一些事件甚至可能被定性為2011年度高級持續性威脅。
3.15黑客攻擊事件
RSA執行總裁ArtCoviello在3月15日稱,RSA遭到黑客攻擊,獲取認證的SecurID相關信息被竊取。而這只是麻煩的開始。在這起數據泄露事件中,黑客隨后攻擊了RSA客戶,包括洛克希德馬丁公司。Coviello的聲明讓高級持續性威脅(APT)成為了一個流行詞匯。
APT一詞最初由美國空軍使用,現在演變為專指對網絡不間斷的攻擊行為。RSA的數據泄露在去年第二季度為其母公司EMC帶來了5500萬美元的損失。
APT在2011年全面爆發。挪威國家安全局在11月稱,石油、天然氣和防務公司已經成為了這一復雜攻擊的目標,這些公司的行業秘密和機密合同談判等信息均遭到了竊取。據稱,有10家挪威公司遭到了帶有病毒的特制郵件的攻擊,而郵件中的病毒卻不會觸發反惡意軟件探測系統。不過,挪威安全部門并沒有透露這些APT可能的來源。
修補這個漏洞!
YGN道德黑客組織(TheYGNEthicalHackerGroup)發現安全廠商邁克菲的網站McAfee.com存在嚴重漏洞,并私下與邁克菲取得了聯系,向該公司通報了隱患情況。由于邁克菲遲遲沒有解決這些隱患,YGN在3月份對外公布了這一情況。YGN的這一舉動讓邁克菲非常尷尬,并向客戶解釋并不存在風險。此外,YGN還在蘋果開發者網站上發現安全漏洞的消息。YGN為緬甸的網絡安全研究機構,身份為白帽黑客。盡管他們僅進行“道德”攻擊,以發現軟件存在的弱點,但是他們在實際操作中對公共網站進行未經授權的弱點測試違反了美國的法律。
芝麻開門!開源也遭黑
開源軟件的領軍公司MySQL.com、擁有Linux.com和Linux.org的Linux基金會、Kernel.org以及開源的OSCommerce軟件都遭到了惡意軟件的黑手。一名俄羅斯黑客甚至以3000美元的價格叫賣My.SQL域名的超級用戶訪問權限。
你能聽到我的呼喚嗎?
Verizon在2010年12月推出的4GLTE網絡出現全國性的大面積中斷。大面積的網絡中斷事件在去年不只出現這么一起。黑莓的數據服務在10月份出現了持續四天的全球范圍內的中斷。在黑莓正在全力讓迎戰蘋果iPhone的挑戰時候,出現這種情況想必也是黑莓不愿意看到的。RIM號稱的“雙冗余、雙容量的核心交換機”出現故障,備份交換機也未能激活,這導致全球的黑莓用戶要么出現了問題,要么沒有服務。RIM公司在首席執行MikeLazaridis被迫為此事件公開向用戶道歉,并表示這次特殊的服務中斷事件是公司歷史上最糟糕的事件。
在11月份,北美和歐洲之間出現了短暫的互聯網中斷。這一事件明顯與進行邊界網關協議升級的Juniper路由器存在泄漏有關,這導致美國寬帶運營商Level3等公司受到了影響。這一事件提醒我們,我們每天習以為常的互聯網很容易出現故障。
或許根本就不在云上……
微軟基于云的BPOS通信與協作套件在6月份出現了服務中斷,此前亞馬遜的EC2服務在2月份出現過訪問問題并在8月份出現了短暫的中斷。VMware的CloudFoundry服務在測試期間就出現了服務中斷事件。此外,我們不應當忘記諾斯羅普格魯門公司。該公司已經同意向弗吉尼亞州的26個政府部門支付500萬美元,以作為數據中心服務中斷的賠償金。
到底是俄羅斯黑客攻擊了伊利諾斯州供水系統,還是承包商碰巧在俄羅斯旅行?
是俄羅斯境內的IP地址11月份對伊利諾斯州Curran-Gardner城區供水系統的SCADA系統發動攻擊,遠程遙控水泵頻繁開關并最終導致燒毀的嗎?伊利諾斯州反恐與情報中心(STIC)在11月份針對此事件提交了一份秘密報告,不過能源行業分析師JoeWeiss在當月就向《華盛頓郵報》的記者披露了報告的內容。在媒體紛紛報道這一事件的時候,美國FBI和國土安全部表示,他們已經調查了伊利諾斯州反恐與情報中心的報告,但是手中沒有證據能夠證明這些猜測。消息人士稱,網絡訪問來自俄羅斯這一疑問目前與Curran-Gardner城區供水系統承包商碰巧在俄羅斯遠程訪問Curran-Gardner網絡有關。不過,美國國土安全部表示,事件分析還在進行當中。
2011年數據泄露排行榜
在4月份發生的“索尼被黑”事件導致黑客從索尼在線PlayStation網絡中竊取了7700萬客戶的信息,包括信用卡賬號。這一黑客攻擊事件導致索尼被迫關閉了該服務。索尼在5月份表示,攻擊導致其損失了1.7億美元。
Epsilon公司在4月份稱,一名黑客竊取了其大約2%的用戶名和客戶地址,這些客戶包括了Walgreens、百思買、花旗銀行、摩根大通、Kroger連鎖超市。
在Comodo、DigiNotar和GlobalSign等SSL數字認證提供商紛紛發生數據泄露問題之時,一名自稱為“Comodohacker”的21歲伊朗學生聲稱對其中的部分公司發動了攻擊。攻擊手法包括偽造谷歌證書,通過這種方法,攻擊者可以竊取用戶Gmail賬戶登錄細節,同時用戶的瀏覽器也不會發出用戶所登錄的網站并不是真正谷歌網站的警告。這一黑客攻擊發生后,荷蘭政府禁止使用DigiNotar證書,這最終導致荷蘭Vasco安全系統旗下的DigiNotar破產倒閉。
美國政府的研究實驗室一直以來都是黑客攻擊的目標。4月份發生的網絡攻擊迫使位于田納西州的橡樹嶺國家實驗室關閉了其電子郵件和互聯網訪問。在這起網絡攻擊中,該實驗室的573名雇員均收到了釣魚郵件。由于在今年夏季收到了類似的魚叉式網絡釣魚攻擊,美國能源部下屬的太平洋西北實驗室也關閉了其電子郵件和互聯網連接。
6月份,花旗集團承認有黑客侵入并有超過36萬用戶的信用卡數據被黑客盜取。這起黑客入侵事件為花旗集團造成了270萬美元的損失。
由于德克薩斯州320萬市民的社保賬號和個人信息被泄露,該州審計官辦公室解雇了其信息安全主管和創新與技術主管。
11月份,有大量Facebook用戶的信息流中出現了色情和暴力圖片,其中部分是偽造的賈斯汀·比伯(JustinBieber)和其他名人的不雅照。Facebook被迫清除了這些色情數據。
羅馬尼亞有關部門逮捕了一名26歲的黑客,指控其非法侵入多個NASA服務器,導致美國宇航局的系統損失了50萬美元。
誰在關注應用商店?
由于發現了惡意應用,谷歌在3月份被迫從其安卓市場上下架了大約50個安卓應用,這是一個令人震驚的消息。DroidDream惡意軟件的影響遠遠超過了之前谷歌安卓市場遭到的任何攻擊。
Anonymous黑客組織崛起
2011年是活躍的黑客組織Anonymous崛起的一年。該組織通常以全球的商業和政府機構為攻擊目標,他們竊取數據后并對外公布,或是發動攻擊迫使網站下線。由于試圖跟蹤Anonymous黑客組織,該組織在去年冬季對安全技術公司HBGaryFederal公司發動了攻擊,并引起了外界高度重視。據信,Anonymous領導了對美國科氏工業集團、美國銀行和北約的攻擊,以及對紐交所的DDoS攻擊。Anonymous在“占領華爾街”和舊金山灣區疾速交通網(BART)的抗議運動中非常活躍。
此外,外界認為Anonymous還參與了針對突尼斯、巴西、津巴布韋、土耳其、澳大利亞、馬來西亞政府和佛羅里達商會的攻擊行動。近期,Anonymous活躍分子將攻擊目標轉向了兒童色情網站和墨西哥販毒集團,后者被指綁架了Anonymous成員。
Duqu病毒:我們并不期盼的東西
Duqu病毒在10月份被發現。匈牙利研究實驗室CrySyS與全球頂級反病毒廠商分享了他們對這一新威脅的分析情況。
卡巴斯基實驗室在蘇丹和伊朗均發現了Duqu病毒感染案例。據信,Duqu病毒與震網蠕蟲病毒有著密切的聯系。Duqu為非常靈活的惡意軟件傳輸架構,其可用于偷運數據。
木馬主要模塊由三個部分組成:將流氓庫(DLL)注入至系統程序中的核心驅動;用于諸如寫入注冊表或執行文件等處理與命令與控制服務器和其它系統操作間通信的DLL;配置文件。
CrySyS最終公布了一個用于探測與刪除病毒的工具包。微軟也公布了一個專用工具,允許Windows用戶手動修補系統,以應對Duqu病毒威脅。
Duqu病毒據信已經發起了多起針對機構的定向攻擊。該病毒極可能在2012年大爆發。
十天大雨
在3月份,韓國境內的計算機受到了一個多層僵尸網絡為期十天的攻擊,這一事件證明僵尸網絡是一種極難對付的威脅。然而正當人們開始全力應對時,攻擊戛然而止,同時惡意軟件突然給予僵尸計算機致命一擊,破壞了其文件并讓機器無法啟動。邁克菲的安全專家稱,攻擊是由朝鮮發起的,整個攻擊設置極為復雜——40個命令與控制服務器、能針對探測進行的代碼、多重加密表,這些已經遠遠超過了發動有效DDoS攻擊的需要。邁克菲的觀點是:這起被稱為“十天大雨”的攻擊事件旨在偵察和評估韓國政府和軍事承包商的應對速度,這對于日后發動毀滅性攻擊是一個非常有價值的情報。
【編輯推薦】
