新闻动态   News
搜索   Search
你的位置:首页 > 新闻动态 > 行业新闻

Dark Reading数据泄露:2016年TOP7安全事件盘点

2016-11-23 17:54:27      点击:

Dark Reading 年中数据泄露报告内容如下:


NO.1 乌克兰“电力门”

乌克兰攻击事件实际发生于2015年12月底,而针对乌克兰“电力门”事件的主要报道及分析结果则出现于2016年第一季度。

2016年1月4日,ESET公司就发表文章称,乌克兰境内的多家配电公司设备中监测到的KillDisk,由此怀疑使用了BlackEnergy后门,攻击者能够利用它来远程访问并控制电力控制系统。由于此事件是针对电力设备的攻击,对于国家关键基础设施的安全性具有非比寻常的意义,故存在巨大的风险。


乌克兰电网攻击事件带来的教训

 

据专家分析,本次事故中的网络攻击手段包括三种:其一,利用电力系统的漏洞植入恶意软件;其二,发动网络攻击干扰控制系统引起停电;其三,干扰事故后的维修工作;


针对此次乌克兰电网攻击事件,得出如下教训:


1.安全防护体系存在漏洞,网络隔离不足。乌克兰各类公司间为了发、输、配电业务的通信和控制便利,通过互联网连接,控制类与非控制类系统未进行物理隔离。

 

2.网络安全监测不力。网络安全监测可以有效的发现攻击行为,阻止攻击进行,避免损失。乌克兰电网的攻击者进行了长达6个月的“潜伏”,在几个月时间当中,他们进行了广泛的网络侦察、探索与映射工作,并最终获得了访问Windows域控制器以管理网络内用户账户的能力。以此为基础,他们收集到相关员工登录凭证以及部分工作用VPN以远程登录至该SCADA网络,并逐步实施后续攻击计划。此次黑客成功入侵电网,乌克兰电力却未发现攻击行为,可谓监测不到位。

 

3.网络和信息安全意识淡薄。事件发生前,国际安全机构曾对乌克兰电力机构发布预警信息,但未引起重视。黑客通过邮件伪装而成功诱骗乌克兰电力工作人员运行恶意程序,说明其电力工作人员网络安全意识淡薄。

 

4.不间断电源(UPS)同样需要安全防护。乌克兰电网攻击中,攻击者对提供后备电力的不间断电源(简称UPS)进行了重新配置,随后通过被劫持的VPN接入到SCADA网络,并发送命令以禁用已经被重新配置的UPS系统。此行为,加重了乌克兰攻击事件的受灾度,所以UPS的安全防护同样不容忽视。


No.2勒索软件风头日盛


勒索软件近年来持续活跃,有关勒索软件的新闻已经超过APT攻击,成为2016年的主要话题。根据卡巴斯基实验室的恶意软件报告表明,Q1季度检测到2,900种最新的勒索软件变种,较上一季度增加了14%。现在,卡巴斯基实验室的数据库包含约15000种勒索软件变种,而且这一数量还在不断增加。


2016年第一季度,卡巴斯基实验室安全解决方案共拦截了372,602次针对用户的勒索软件攻击,其中17%针对企业用户。遭遇攻击的用户数量同2015年第四季度相比,增加了30%。


2016年第一季度排名前三位的勒索软件分别为:Teslacrypt(58.4%)、CTB-Locker (23.5%) 和 Cryptowall (3.4%)。这三种恶意软件主要通过包含恶意附件的垃圾邮件或指向受感染网页的链接进行传播。


1.TeslaCrypt

 

  TeslaCrypt勒索软件瞄准的主要是游戏平台的玩家们,被盯上的游戏平台包括使命召唤、暗黑破坏神、异尘余生、Minecraft、魔兽争霸、F.E.A.R、刺客信条、生化危机、魔兽世界、英雄联盟以及坦克世界等。TeslaCrypt利用Flash Player漏洞(CVE-2015-0311)或者一个古老的IE浏览器漏洞将TeslaCrypt勒索软件植入目标系统上。然后对受害者文件进行加密,勒索赎金。

 

2.CTB-Locker

 

  2015年5月1日,名为“CTB-Locker”的比特币敲诈病毒在国内爆发式传播,该病毒通过远程加密用户电脑文件,从而向用户勒索赎金,用户文件只能在支付赎金后才能打开。反病毒专家称,目前国内外尚无法破解该病毒。

 

3.Cryptowall

 

  Cryptowall 拥有一系列的恶意勒索软件,一旦受害者感染了这些病毒,它们会立即对机器上的所有文件加密。病毒感染受害者机器的方式有:通过看似合法的附件和通过硬盘本身存在的恶意程序。Cryptowall自2013年出现以来,不断的更新变化,到目前为止已经更新到Cryptowall 4.0版本。该版本的Cryptowall结合地下市场上最强大的入侵开发工具——核开发组件(Nuclear exploit kit)。


No.3 医院勒索

说起勒索软件,今年来,医院应该是最大的受害者。毕竟与商业机构相比,医院对于系统安全性的要求更高,更需要保持救护系统的正常运行,以确保其病人的健康,也正是如此,医院成功吸引了攻击者的目光。其中最耸人听闻的攻击应该是发生在2016年3月的,针对美国好莱坞长老会医院的攻击,最终该医院支付了高达1.7万美元 的赎金,重新恢复被勒索软件锁定的文件。


更多医院受灾


Methodist医院在3月18日遭受勒索软件攻击,在接下来五天都处于“紧急状态”,随后他们报告称解决了这个问题,没有支付任何赎金。


3月,美国加州两家医院被勒索:Chino Valley医疗中心和Desert Valley医院—这两家医院都属于医院管理公司Prime Healthcare Services;该公司发言人称,这两家医院都没有支付赎金,并且没有病人数据被泄露。

 

3月,加拿大渥太华的一家医院被勒索软件攻击。该医院没有支付赎金,而是隔离系统、清理驱动器并从备份恢复来解决问题。

 

另外, Ruby Memorial医院也受到“恶意软件或病毒”攻击,但医院发言人称该攻击并不是瞄准病人和员工数据,也没有企图窃取数据。

 

网络安全公司CrowdStrike公司联合创始人兼首席技术官Dmitri Alperovitch表示: “医院不是唯一的受害者,我们看到很多行业(包括医疗保健、州政府和地方政府、中小企业和大型企业等)遭受勒索软件攻击。根据网络威胁联盟的报告显示,勒索软件估计造成总共约3.25亿美元的损失,但在现实中,这个数据可能远远不止于此。”


No.4 苹果“加密门”

2016年可不只有持续不断的攻击和漏洞事件,还有震动全球的FBI与苹果的”加密之争“,该事件对全球的司法及社会都产生了深远的影响。


FBI与苹果:隐私之战

 

  2015年的12月,美国加州圣贝纳迪诺(San Bernardino)发生了一起严重的恐怖袭击事件,被警察射杀的凶手Farook留下了一支被密码锁屏的iPhone 5c。这就是引起这场“加密之争”的导火索。回顾本次事件,我们可以概括为:FBI想要让苹果解锁一部恐怖分子的iPhone,但是遭到了拒绝。然后FBI想通过法院来让苹果妥协,但是最终 在开庭的前一天,FBI通过第三方的帮助成功解锁了iPhone,并放弃了起诉。

 


资深政策顾问Ross Schulman表示:“这不仅仅是一部iPhone的问题······这关系到我们所有的软件和数字化设备,如果联邦调查局寻求的先例得以实现,那将对我们日常使用的手机和电脑的可靠性,造成真正的灾难,我们一直相信那些公司是出于保护我们的安全考虑而升级各类软件,但倘若它们只是为了给我们的安全埋下隐患,那我们更情愿不要升级。”


美国东北大学的计算机科学与法律教授Andrea M. Matwyshyn在舒尔曼的看法上做了延伸,她说道:“现众多科技公司研发更强的安全性保护,并将其作为产品新特征,是因为如今身份盗窃愈发猖狂,用户担心身份信息被窃。通过加强安全性,我们就能够与更严重的犯罪抗争,防止它们的发生。因此,这是一场关于应该以防止新型犯罪还是传统犯罪的激烈讨论。”


2015年5月,美国税局(IRS)遭遇黑客攻击,10万名左右美国公民账号的登录权限被盗,不过伴随着调查的不断深入,这个数字在不断增长。去年8月,受影响纳税人数量已经增至22万,而未被登录但也涉及其中的纳税人数量也增至17万。现在,这个数字已经增长到了可怕的70万。


No.5 IRS(国税局)税务欺诈事件

2015年5月,美国税局(IRS)遭遇黑客攻击,10万名左右美国公民账号的登录权限被盗,不过伴随着调查的不断深入,这个数字在不断增长。去年8月,受影响纳税人数量已经增至22万,而未被登录但也涉及其中的纳税人数量也增至17万。现在,这个数字已经增长到了可怕的70万。


国税局可能是收集美国公民信息最多的联邦政府部门,黑客这一举动严重威胁到公民隐私和财物安全。参议院财政委员会主席Orrin Hatch对这份报告表达了极度的担忧,他害怕IRS大量的数据泄露将让辛勤工作的纳税人遭遇新的欺诈。


而事实证明,大量数据泄露确实带来了更为严重的税务欺诈事件。其实早在2014年3月就曝出退税资金被盗取事件,攻击者获取这些美国公民信息后,可以修改退税信息,将退税资金直接存到自己的银行账户。


国税局估计,在2013年就有纳税人和犯罪分子利用虚假材料骗取58亿美元的退税款。2014年被骗取的退税款高达5000万美元。更为严重的是,遭窃取的信息是纳税人的永久信息,在未来仍能继续用来骗取退税。


此外,泄露的信息还被用于钓鱼攻击,针对纳税人实施钓鱼欺骗,冒充IRS人员骗取纳税人资产,造成大量资金损失。


美国国税局提醒民众,警惕电话钓鱼诈骗


No.6 SWIFT系统风波

从去年开始,世界范围内使用SWIFT系统的银行相继被曝出盗窃案件,从2015年1月的厄瓜多尔银行损失1200万美元,10月的菲律宾银行,到今年2月孟加拉国央行曝出被盗窃8100万美元,随后第二家及第三家银行(也是最初受害者)被黑的消息被公开。5月菲律宾一家银行又被盗,这次他们又造成乌克兰银行上千万美元的损失。


 黑客利用SWIFT系统攻击全球银行系统线路图

 

一系列的案件逐渐引起了人们对SWIFT系统的关注,并对SWIFT系统的安全性打上了问号。而针对这些攻击事件,SWIFT与2015年5月27日宣布了新的客户方案,以加强针对网络威胁的安全防护:

 

全球范围内信息共享,实现客户事件的快速反馈,提升网络防护能力;

 

提升SWIFT相关工具的安全性;

 

提供审计框架,制定相关的审计标准和认证程序,在客户现场进行安全管理;

 

增加针对支付模式的安全监控;

 

加强第三方供应商的安全支持。


No.7 SSL DROWN

2016年3月,国外研究人员发现OpenSSL出现新的安全漏洞“DROWN”,全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用过时的脆弱加密算法来对RSA算法进破解”。据OpenSSL安全公告,DROWN是一种跨协议攻击,如果服务器使用了SSLv2协议和EXPORT加密套件,那么攻击者就可利用这项技术来对服务器的TLS会话信息进行破解。

 

攻击者可利用这个漏洞破坏网站加密体系,发起“中间人劫持攻击”,从而窃取HTTPS敏感通信,包括网站密码、信用卡帐号、商业机密、金融数据等。据统计,该漏洞影响了全世界多达1100万个HTTPS网站,其中包括雅虎、阿里巴巴、新浪微博、新浪网、360、BuzzFeed、Flickr、StumbleUpon 4Shared 和三星等知名网站。


漏洞检测:

 

  安全无小事,虽然 DROWN 漏洞直接利用成本较高,降低了被攻击的风险,但是如果有其他漏洞配合 DROWN 漏洞进行组合攻击,危害将不可预期。

 

  DROWN研究团队提供了在线检测,方便了用户自行检查,检测地址为:

 

  https://test.drownattack.com/

 

  如果你是一名技术人员,还可以利用一些漏洞检测脚本,比如:

 

  OpenSSL提供的检测脚本:

 

  https://mta.openssl.org/pipermail/openssl-dev/2016-March/005602.html

 

  DROWN Scanner:

 

  https://github.com/nimia/public_drown_scanner#drown-scanner

 

  不过,这些检测方法并不是百分之百准确的,都存在误报或漏报的可能。


DROWN漏洞也许不如Heartbleed漏洞的影响范围广,也比Heartbleed更难理解。但从攻击模式看DROWN可以被动收集加密信息、并在之后再展开在线攻击,DROWN攻击并不要求在信息传输时展开在线攻击,也即DROWN可以攻击离线的加密信息,因此DROWN可以解密之前被认为坚不可破的TLS流量,DROWN的影响和潜在威胁其实远超出预想。


注:文章来源于ChinaByte.com(比特网),转发请注明出处。