美國核武器合同商遭勒索軟件攻擊
雖然FBI近日成功追繳了輸油管道運營商Colonial Pipeline支付給勒索軟件DarkSide的贖金,但這顯然并未嚇阻勒索軟件遠離關鍵基礎設施甚至核武器。近日,美國核武器合同商Sol Oriens遭遇REvil勒索軟件攻擊,攻擊者揚言不繳納贖金就將核武器機密信息泄露給其他國家的軍方。
據報道,REvil威脅受害者:“我們在此保留將所有相關文件和數據轉發給我們選擇的軍事機構的權利。”
位于新墨西哥州阿爾伯克基的Sol Oriens公司是美國能源部(DOE)的分包商,與美國國家核安全局(NNSA)合作開發核武器,上個月遭到了勒索軟件攻擊,專家稱該攻擊來自“無情的”REvil勒索軟件的RaaS團伙。
據報道,至少從6月3日起,Sol Oriens公司的網站就已無法訪問,但Sol Oriens的官員向福克斯新聞和CNBC證實,該公司上個月就檢測到了攻擊。
根據CNBC記者Eamon Javers轉發的推文,Sol Oriens公司發布聲明指出:
“2021年5月,Sol Oriens檢測到了(勒索軟件)網絡安全事件。調查正在進行中,我們確定未經授權的個人從我們的系統中獲取了某些文件。這些文件目前正在審查中,我們正在與第三方技術取證公司合作,以確定可能涉及的潛在數據的范圍。我們目前沒有發現跡象表明此事件涉及客戶機密或與安全相關的關鍵信息。一旦調查結束,我們將致力于通知相關個人和實體……”
“正如Javers指出的那樣,我們并不了解這家小公司(Sol Oriens)的業務,但根據該公司發布的招聘信息中的職位要求,其業務與核武器有關。他們的招聘要求是高級核武器系統人才,需要擁有20多年W80-4等核武器經驗的專家(W80是一種空射的巡航導彈核彈頭)。”
根據LinkedIn企業資料顯示,Sol Oriens是一家小型、資深的咨詢公司,專注于管理具有強大軍事和空間應用潛力的先進技術和概念,與國防部和能源部、航空航天承包商和技術公司合作執行復雜的項目,專注于確保擁有成熟的技術來維持強大的國防。
1. 泄漏了哪些信息
安全公司Emsisoft的威脅分析師和勒索軟件專家Brett Callow透露,他發現Sol Oriens的內部信息已經被發布到REvil的暗網博客上。
目前來看,暗網上披露的泄漏數據似乎并不涉及高度機密的軍事秘密,只包括了2020年9月的公司工資單,列出了少數員工的姓名、社會保障號碼和季度工資。還有一個公司合同賬本,以及工人培訓計劃的備忘錄(備忘錄頂部有能源部和NNSA國防計劃的標志)的一部分。
REvil(或者任何對這次襲擊負責的團伙)是否得到了美國核武器的更敏感、更秘密的信息還有待觀察。但是,黑客從核武器承包商那里拿到任何信息都足以讓人深感擔憂。正如Mother Jones所報道的,事件相關的美國國家核安全局負責維護和保護美國的核武器儲備,并致力于軍事核應用以及其他高度敏感的任務。
2. 膽大包天的勒索軟件團伙REvil
REvil膽敢攻擊美國核武器供應鏈企業并不讓人感到意外,因為該勒索軟件組織向來以膽大包天著稱。本周早些時候,全球最大的肉類加工企業JBS Foods已經發布聲明向REvil支付了價值1100萬美元的贖金,后者因為遭到REvil勒索軟件的攻擊而被迫關閉了在美國和澳大利亞的部分業務。
REvil不僅是最危險的勒索軟件組織,也是最大膽的,敢于對世界上最龐大和重要的組織發動進攻并索要天價贖金。4月,就在其引人注目的新產品發布前幾個小時,REvil對蘋果發出最后通牒,要求其支付高達5000萬美元的贖金。這是一個大膽的舉動,即使對于臭名昭著的勒索軟件服務團伙 (RaaS) 也是如此。REvil先是攻擊了財富500強企業電子產品制造商廣達,該公司也是蘋果的供應商,跟蘋果簽訂了大量蘋果產品的生產合同,包括Apple Watch、Apple Macbook Air和Pro以及ThinkPad(聯想集團)。
FireEye研究人員還報告說,SolarWinds供應鏈攻擊的參與者之一與REvil/Sodinokibi勒索軟件團伙有關聯,但此消息尚未得到證實。
3. 如何防御勒索軟件?
考慮到所有這些重大事件,分包商的網絡安全措施是否應該足夠嚴密以抵御REvil或其他網絡攻擊者?據報道,REvil指責受害者Sol Oriens公司,稱該分包商沒有采取必要措施來保護其員工的個人數據和合作伙伴公司的軟件開發數據。
雖然REvil嘲諷Sol Oriens沒有采取充分的安全措施,但不幸的是,根據上周五網絡安全公司Sophos發布的調查報告:沒有兩個犯罪集團以完全相同的方式部署 RaaS勒索軟件攻擊。
例如,在最近的一次攻擊中,受害組織檢測到大量以特定服務器為目標的入站RDP登錄嘗試失敗,這臺服務器也最終成為攻擊者的訪問點。Sophos研究人員Brandt指出:“在標準服務器上,記錄RDP服務登錄嘗試失敗的日志會滾動,并覆蓋最舊的數據,時間從幾天到幾周不等,具體取決于嘗試失敗的次數。在這次攻擊中,大量失敗的RDP登錄事件在短短五分鐘內就完全覆蓋了之前的嘗試記錄。從該服務器收集的數據顯示,五分鐘內大約有 35,000次登錄嘗試失敗,來自全球349個IP地址。”
上圖統計的是,在每五分鐘35,000次的暴力登錄嘗試中,攻擊者嘗試使用最多的用戶名(資料來源:Sophos)。
研究人員指出:
| RDP是破壞網絡的最常見方法之一,關閉外部對RDP的訪問是IT管理員可以采取的最有效的防御措施之一。 |
不幸的是,考慮到REvil勒索軟件的不同使用者的技術手段不盡相同,防御并不像關閉RDP那樣簡單。RDP不是唯一的罪魁禍首,攻擊者還可通過其他面向互聯網的服務獲得初始訪問權限。他們能夠對其進行暴力破解或針對已知漏洞發起攻擊,從而為他們提供一些訪問權限。在某一個案例中,攻擊者將特定VPN服務器軟件中的漏洞作為目標以獲得初始訪問權限,然后利用同一臺服務器上五年前版本的Apache Tomcat上的漏洞,讓攻擊者在該服務器上創建一個新的管理員賬戶。
最后,對于REvil團伙提到的“所有必要安全措施”,Brandt 表示:“所有行業各種規模的公司和組織都需要仔細審視自己的基礎設施,并采取一切必要措施來解決那些幾乎總是導致此類攻擊行為的根本問題。”他強調:
| “在防火墻處關閉RDP等面向公眾的服務,在所有內部和面向外部的服務(如 VPN)上啟用多因素身份驗證。應確保面向互聯網的設備和服務器完全更新已知錯誤的補丁或修復程序,即使這意味需要付出著一些停機時間的代價。” |
Brandt指出:上述建議雖然有些陳腔濫調,但勒索軟件一次又一次利用這些安全問題得手,而且勒索軟件攻擊者永遠不會停止尋找組織安全弱點的新方法。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
