聯(lián)合國承認四月曾被黑客入侵,大量數(shù)據(jù)被盜
今年4月,聯(lián)合國曾遭遇網(wǎng)絡(luò)攻擊,攻擊者盜取了大量數(shù)據(jù),這些數(shù)據(jù)可能被用來攻擊聯(lián)合國。
黑客們進入聯(lián)合國網(wǎng)絡(luò)的方法不復(fù)雜,他們很可能是利用暗網(wǎng)上購買的被盜的聯(lián)合國雇員的用戶名和密碼進入。目前無法確定黑客的身份,也無法確定他們?nèi)肭致?lián)合國的目的。
黑客進入聯(lián)合國內(nèi)部系統(tǒng)偵察,可能是為攻擊或收集情報
聯(lián)合國秘書長發(fā)言人Stéphane Dujarric在9月9日的一份聲明中表示,“我們可以確認,未知的攻擊者在2021年4月入侵了聯(lián)合國的部分基礎(chǔ)設(shè)施。”
在聲明中,聯(lián)合國稱經(jīng)常成為網(wǎng)絡(luò)攻擊的目標(biāo),且面臨持續(xù)性的攻擊,已經(jīng)發(fā)現(xiàn)并正在應(yīng)對進一步的攻擊,這些攻擊與先前的入侵有關(guān)。
發(fā)現(xiàn)該事件的網(wǎng)絡(luò)安全公司Resecurity稱,黑客能夠借此深入訪問聯(lián)合國網(wǎng)絡(luò)。黑客最早進入聯(lián)合國系統(tǒng)是4月5日,最晚活動時間是8月7日。
據(jù)聯(lián)合國官員向Resecurity表示,這次黑客攻擊活動僅限于偵察,黑客只是在內(nèi)網(wǎng)拍攝了屏幕截圖。但當(dāng)Resecurity向聯(lián)合國提供被盜數(shù)據(jù)的證據(jù)時,聯(lián)合國并未回應(yīng)。
黑客的偵察活動可能是為了籌備后續(xù)攻擊,也可能是打算把信息出售給試圖入侵聯(lián)合國的其他團伙。
Ressecurity稱,在最近的黑客入侵中,黑客試圖獲取更多有關(guān)聯(lián)合國計算機網(wǎng)絡(luò)架構(gòu)的信息,并入侵了53個聯(lián)合國賬戶。
Resecurity首席執(zhí)行官Gene Yoo說:“像聯(lián)合國這樣的組織是網(wǎng)絡(luò)間諜活動的高價值目標(biāo)。"黑客入侵目的是竊取聯(lián)合國網(wǎng)絡(luò)中的大量用戶數(shù)據(jù),以進一步收集長期情報。
聯(lián)合國及其機構(gòu)曾經(jīng)成為黑客的目標(biāo)。2018年,荷蘭和英國執(zhí)法部門挫敗了俄羅斯對禁止化學(xué)武器組織(Organisation for the Prohibition of Chemical Weapons)的網(wǎng)絡(luò)攻擊,當(dāng)時該組織正在調(diào)查一種致命神經(jīng)毒劑在英國本土的使用情況。
根據(jù)《福布斯》的一份報告,在2019年8月,聯(lián)合國的“核心基礎(chǔ)設(shè)施”在一次網(wǎng)絡(luò)攻擊中遭到破壞,該攻擊原本針對的是微軟SharePoint平臺的一個已知漏洞。
聯(lián)合國內(nèi)網(wǎng)帳號在暗網(wǎng)打包出售,僅售1000美元
此次的泄露憑證屬于聯(lián)合國專有項目管理軟件Umoja上的某個賬戶。黑客使用的Umoja賬戶并未啟用雙因素身份驗證,這是一項基礎(chǔ)安全功能。根據(jù)Umoja網(wǎng)站7月發(fā)布的公告,該系統(tǒng)已經(jīng)遷移至微軟Azure,這套云平臺直接提供多因素身份驗證機制。Umoja的遷移公告稱,此舉“降低了網(wǎng)絡(luò)安全風(fēng)險”。
Recorded Future的高級威脅分析師Allan Liska表示,聯(lián)合國一直是民族國家攻擊者的主要目標(biāo)。他曾看到暗網(wǎng)出售聯(lián)合國雇員的帳號和密碼。網(wǎng)絡(luò)犯罪分子正在尋求將被盜數(shù)據(jù)高效變現(xiàn)的方法,初始訪問者頻繁出售自己掌握的入侵資源,在可預(yù)見的未來,攻擊活動將呈現(xiàn)愈發(fā)明確的針對性與滲透趨勢。
安全情報公司Intel 471的首席執(zhí)行官Mark Arena表示,一些講俄語的網(wǎng)絡(luò)犯罪分子,將聯(lián)合國憑證和幾十個帳號和密碼一起,出售給各個組織,價格僅為1000美元。
彭博社查詢了暗網(wǎng)論壇上的廣告,至少有三個論壇的用戶,直到7月5日還在出售這些相關(guān)憑證。
Arena稱,“自2021年初以來,我們已經(jīng)發(fā)現(xiàn)多名出于經(jīng)濟動機的網(wǎng)絡(luò)犯罪分子在出售聯(lián)合國Umoja系統(tǒng)的訪問權(quán)限。這些參與者會同時出售來自多個犯罪團伙的泄露憑證。根據(jù)之前的經(jīng)驗,這些被盜的憑證還會被出售給其他網(wǎng)絡(luò)犯罪分子,再由他們用于實施后續(xù)入侵活動。”
