黑客十年:2010 年代最著名的網絡安全事件(下)

2010 年代即將結束, ZDNet 回顧了過去十年來發生的最重要的網絡安全事件。

黑客十年:2010 年代最著名的網絡安全事件(上)

2016 年

孟加拉央行 cyber-heist 網絡搶劫案

2016 年 2 月,世人發現,黑客試圖從孟加拉國一家銀行竊取超過 10 億美元的資金,但由於輸入錯誤,最終只竊取了 8100 萬美元。

起初,所有人都認爲這是一個笨手笨腳的黑客所爲,但後來有消息披露,稱這起網絡搶劫事件的幕後黑手是朝鮮的精英黑客。這只是他們當年嘗試的衆多類似黑客行動之一——他們在其他國家都成功得手了。

孟加拉央行黑客事件對整個銀行業產生巨大影響。在這次黑客攻擊行動之後,SWIFT 被進行了全面安全更新。其次,SWIFT 組織還禁止朝鮮使用其系統,這一決定,在未來幾年產生了影響。

這兩項決定,導致朝鮮黑客將目標鎖定在加密貨幣交易所,據悉他們已從那裏竊取了數億美元,而這些錢被朝鮮政府用來建設核武器計劃

巴拿馬文件

2016 年 4 月,由世界主要調查記者組成的聯盟發表了大量報道,統稱爲《巴拿馬文件》(Panama Papers),揭露了世界上最富有的人,包括商人、名人和政客在內,都在利用稅收天堂逃避繳納所得稅的事實。

這起泄密事件被認爲是同類事件中規模最大的一起,來自巴拿馬的 Mossack Fonseca 律師事務所。儘管記者聲稱,他們是從匿名人士那裏得到這些數據的,但許多人認爲,這些數據來自一名黑客,他利用這家律師事務所過時的 WordPress 和 Drupal 網站漏洞,進入該事務所的內部網絡,從而竊取這些數據。

美國民主黨全國委員會(DNC)被黑事件

美國民主黨全國委員的服務器被黑了,黑客一直不斷地攻擊。

在 2016 年春天,美國民主黨全國委員會承認,一位名爲 Guccifer 2.0 的黑客開始從該組織的服務器上發佈電子郵件和文檔,該組織遭受了安全入侵事件。

通過法庭證據,後來發現美國民主黨全國委員會的服務器並不是被一名黑客入侵,而是被兩家俄羅斯網絡間諜組織入侵,分別是 Fancy Bear(APT28)和 Cozy Bear(APT29)。

黑客竊取的數據被用於精心策劃的情報行動,目的是影響即將到來的美國總統大選。整件事情成功與否並不能說,儘管有人會稱這次行動取得了成功。然而,這起黑客入侵事件在一整年來一直佔據着新聞頭條,直到今天仍然掀起波浪——也就是 2019 年 11 月下旬撰寫本文之時,時間已經過去三年多。

雅虎黑客案遭曝光

對雅虎(Yahoo!)來說,2016 年是糟糕的一年。在四個月的時間裏,雅虎宣佈了不止一起、而是兩起數據泄露事件,其中包括後來被證明是互聯網史上規模最大的一起數據泄露事件。

這兩起數據泄露事件以一種奇怪的方式相互關聯。下面是一個時間軸,因爲雅虎的事情往往會令人困惑:

  • 2016 年 7 月,一名黑客開始在暗網上兜售雅虎用戶數據。
  • 在調查黑客聲明的真僞時,雅虎在 2016 年 9 月發現並披露2014 年發生的一起數據泄露事件,影響5 億用戶。
  • 雅虎將這一起事件歸咎於“nation-state actor”黑客組織所爲,而事實最終證明這是真的。2017 年,美國當局指控一羣黑客應俄羅斯政府要求入侵雅虎的網絡。
  • 具有諷刺意味的是,在調查 2014 年的數據泄密事件時,雅虎還追蹤到了在暗網上兜售的用戶數據來源。
  • 這可以追溯到 2013 年的一起數據泄露事件,雅虎稱,該事件最初影響到 10 億用戶。到 2017 年,雅虎將這一數字更新爲 30 億,即所有受影響的用戶總數,成爲有史以來規模最大的數據泄露事件。

數據轉儲之年

但是,雅虎這兩起入侵事件只是 2016 年曝光的爲數不多的幾起入侵事件的一部分,很自然地,2016 年因此被命名爲“數據轉儲之年”(the year of the data dumps)。

那些曾經和現在遭受過黑客入侵的公司成爲人們關注的焦點,這些公司包括:Twitter、LinkedIn、Dropbox、MySpace、Tumblr、Fling.com、VK.com、OK.ru、Rambler.ru、AdultFriendFinder、Badoo、QIP 等等。

超過 22 億的用戶記錄遭曝光,其中大部分被放在黑客論壇和暗網市場上兜售。大多數數據泄露事件是通過數據交易商如 Peace_of_Mind、Tessa88 和 LeakedSource 曝光的。

影子經紀人(The Shadow Brokers)

2016 年 8 月至 2017 年 4 月,一羣自稱“影子經紀人”(The Shadow Brokers)的黑客們先是戲弄、拍賣,然後泄露美國國家安全局(US National Security Agency,NSA)代號 Equation Group 開發的黑客工具。

這些工具都是頂級的黑客工具,它們產生了重大影響。在影子經紀人最後一次泄露的一個月後,其中一個工具(利用了 Microsoft SMB 協議,稱爲 EternalBlue(永恆之藍)) 被用來製作蠕蟲勒索病毒 WannaCry,引發全球互聯網災難。

時至今日,仍然沒有人知曉影子經紀人究竟是誰。

物聯網的噩夢:Mirai 殭屍網絡

2016 年 9 月初的一篇博文向全世界介紹了 Mirai,這是一種針對路由器和智能物聯網設備的 Linux 惡意軟件。

接下來的 90 天裏,Mirai 成爲世界上最著名的惡意軟件之一,此前它曾被用來發動一些最大規模的 DDoS 攻擊。

Mirai 的源代碼在網上發佈,是當今傳播最廣泛的惡意軟件家族之一,它的代碼是大多數 IoT、DDoS 殭屍網絡的基礎。

Mirai 憑一己之力讓每個人明白,物聯網 IoT 的英文 Internet of Things 中的 S,代表安全(Security)。

2017 年

三起勒索病毒爆發

我們不能不提到 2017 年的三次勒索病毒爆發:WannaCry(5 月中旬)、NotPetya(6 月下旬)和 Bad Rabbit(10 月下旬)。

這三個勒索病毒都是由政府支持的黑客開發的,但開發原因各不相同。

WannaCry 是由朝鮮黑客開發的,目的是感染公司並勒索贖金。雖然 NotPetya 和 Bad Rabbit 是網絡武器,但作爲俄烏衝突的一部分,部署這些武器是爲了破壞烏克蘭的企業。這些勒索病毒的開發者都沒有要引起全球性爆發的意圖。問題在於,他們依賴的是影子經紀人之前泄漏出來的 EternalBlue 漏洞,這是當時他們並不完全理解的漏洞,而且每種勒索病毒的傳播遠遠超出了開發者最初的意圖。

具有諷刺意味的是,儘管 NotPetya 和 Bad Rabbit 是由俄羅斯政府主導開發的,但這兩個勒索病毒最終給俄羅斯企業造成的損害比其他任何國家的企業都要大,這很可能就是爲什麼自 2017 年以來我們就沒有再看到另一場失控的勒索軟件爆發的原因。

美國中央情報局 Vault7 泄密文件

Vault7 是維基解密最後一次成功的泄密文檔。這是一批描述美國中央情報局網絡(Central Intelligence Agency,CIA)武器的文件。

這次提到的網絡武器並沒有包含任何源代碼,然而,這次泄密事件讓我們得以一窺美國中央情報局的技術能力,其中一些能力包括黑客破解 iPhone 的工具,所有主流桌面操作系統、主流瀏覽器、甚至智能電視。

當時,維基解密表示,它從一個告密者那裏收到了 Vault7 的數據寶藏,這名告密者後來被確認爲 Joshua Adam Schulte

MongoDB 數據庫勒索事件

多年來,系統管理員一直讓數據庫暴露在網上而不設置密碼,但在 2017 年,黑客終於對這樣的管理員和公司開始徵收智商稅。

它的非正式名稱是 MongoDB Apocalypse,始於 2016 年 12 月下旬,但在第二年 1 月開始激增,黑客訪問數據庫,刪除其中的內容,並留下勒索信息,要求支付加密貨幣。

第一波攻擊的目標是暴露的 MongoDB 服務器,但後來黑客又擴展到其他數據庫技術,如 MySQL、Cassandra、Hadoop、Elasticsearch、PostgreSQL 等。

到年底時,這類網絡攻擊逐漸消失,但它們也讓公衆注意到了數據庫配置不當的問題,這些數據庫在沒有保護的情況下一直處於在線狀態。

到了當年年底,出現了一類新的安全研究人員,稱爲“breach hunters”,他們尋找開放的數據庫,然後聯繫公司,讓他們知道自己已經在網上暴露敏感信息。

在隨後的幾年中,大多數安全漏洞和數據泄露都是由“breach hunters”發現的,而不是黑客在入侵後將公司的數據泄露到網上的。

Equifax被黑事件

2017 年 Equifax 遭到黑客攻擊,超過 1.455 億美國、英國和加拿大公民的個人信息被黑客從該公司系統中竊取,至今仍然是個謎。

譯註:Equifax是美國一家消費者信用報告機構,與 Experian 和 TransUnion 被認爲是美國三大徵信機構。Equifax 創立於 1899 年,是美國三大徵信機構中最年長的,它收集並保存了全球超過 8 億消費者和超過 8800 萬家企業的信息。

儘管我們進行了事後調查,我們知道這次入侵行爲是由於該公司未能修補一個關鍵服務器漏洞所致,但我們仍然不知道誰是此次入侵的幕後黑手,也不知道他們的動機是什麼——是網絡間諜活動,還是單純的網絡犯罪。

但不管怎麼說,能夠黑掉美國三大消費者信用報告機構之一,都能夠讓你躋身十年黑客榜單。

Cryptojacking 挖礦劫持

Cryptojacking 攻擊的興起可以直接與黑產代碼商 Coinhive 聯繫在一起,Coinhive 是一種 Web 服務,它使得通過 JavaScript 挖掘加密貨幣成爲可能,可以作爲一個文件添加到任何網站。

作爲傳統廣告的替代品,黑客組織採納了這一想法,並大肆將其付諸實踐,在任何可以運行 JavaScript 的地方放置 Cryptpjacking 腳本,從被黑客入侵的網站到視頻遊戲模塊,從路由器控制面板到瀏覽器擴展,都有這個腳本的影子。從 2017 年 9 月 到 2019 年 3 月 Coinhive 肆虐期間,Cryptojacking(也稱爲 drive-by 挖礦)對於互聯網用戶來說是一場災難,它拖慢了瀏覽器的速度,並使 CPU 使用率飆升,即使這項技術並不是特別有利可圖

2018 年

劍橋分析公司與 Facebook 失寵

儘管在 2018 年之前,並沒有人會特別喜歡 Facebook,但大多數不喜歡 Facebook 的理由,都是抱怨 Facebook 的時間軸算法,即把朋友的帖子埋在一堆無用的垃圾信息之下。然後,2018 年初發生了劍橋分析公司(Cambridge Analytica)事件,全世界都有了討厭這家社交網絡及其數據收集做法的理由。

這起醜聞只是接下來幾個月來發生的衆多醜聞之一,它揭露了數據分析公司是如何濫用 Facebook 輕而易舉地獲取用戶數據來創建個人資料,然後將這些資料兜售給政黨,以此影響公衆輿論並操縱選舉。

Facebook 本來作爲一個用戶爲了與朋友保持聯繫而訪問的地方,但在許多人看來,它已經變成了一個充斥着僞裝成網絡爆紅的政治宣傳和公然僞裝成新聞文章的虛假信息的地方。

如果你想對整個醜聞有一個深刻的認識,可以觀看紀錄片《隱私大盜》(The Great Hack)。這部很棒的紀錄片非常值得一看。

Meltdown、Spectre 與 CPU 旁路攻擊

有關 Meltdown 和 Spectre 漏洞的詳細信息於 2018 年 1 月 2 日首次公開,它們暴露了大多數 CPU 硬件中存在的一個問題,這個問題可能會讓黑客竊取當前正在 CPU 內部處理的數據。

儘管這兩個漏洞並不是最容易利用的漏洞,也沒有任何攻擊報告,但 Meltdown 和 Spectre 揭露了這樣一個事實:許多 CPU 製造商爲了追求速度和性能,在數據安全方面走了捷徑。

即使有些人仍然將這兩個漏洞描述爲“噱頭”,但它們從根本上改變了今天 CPU 的設計和製造方式。

Magecart 攻擊成爲主流

儘管 Magecart 攻擊 (也稱爲 web skimming,或 e-skimming)自 2016 年以來一直在發生,但直到 2018 年,這種攻擊才發展到不容忽視的地步——英國航空(British Airways)、新蛋網(Newegg)、Inbenta 等公司都報告了這一備受關注的黑客攻擊行動。

這些攻擊行動背後的計劃很簡單,但爲什麼它們花了這麼多年才變得流行起來,至今仍是一個謎。它們的想法是,黑客入侵一家在線商店,並留下記錄支付卡信息的惡意代碼,然後將這些信息發送回攻擊者的服務器。

最初的 Magecart 攻擊已經出現了幾個變種,但自 2018 年初以來,Megecart 攻擊無疑是當今最大的網絡威脅之一,並一直讓網購者抓狂,因爲許多人無法判斷一家網上商店是否可以安全使用。

萬豪集團(Marriott)被黑事件

雖然規模不及雅虎的 30 億數字,但萬豪集團(Marriott)的數據泄露事件也因其龐大的規模受到世人關注。

2018 年 11 月披露的數據泄露事件,據稱影響了超過 5 億客人。幾個月後,萬豪集團完成調查,將這一數字降至 3.83 億

和大多數案例一樣,事後調查分析,這家公司被入侵的原因是使用了普通的策略和工具,而這些本來可以很容易發現和預防。

2019 年

"Big game hunting" 勒索軟件

雖然勒索軟件一直是 2010 年以來的一個重要問題,但在 2019 年,出現了一種特別令人討厭的勒索形式,非常活躍,被稱爲“Big game hunting”。

“Big game hunting”指的是這樣的勒索軟件團伙,他們只針對大型目標,比如企業網絡,而不是像家庭用戶這樣的小目標。此舉使得黑客可以向受害公司索要更多的金錢。

“Big game hunting”一詞是 CrowdStrike 在 2018 年創造的,用來描述幾個勒索軟件團伙的策略,目前從事使用這種策略的團伙數量已經超過 10 個。

“Big game hunting”勒索軟件攻擊事件在 2019 年愈演愈烈,其中大多數攻擊的是託管服務提供商美國的學校美國的地方政府,以及最近搬到歐洲的更大的公司。

黑客 Gnosticplayers

在 2019 年,一舉成名的黑客名叫 Gnosticplayers。

從 2016 年開始,Gnosticplayers 採用了 Peace_of_Mind 和 Tessa88 的作案手法,入侵一些公司,並開始在暗網市場兜售他們的數據。

被 Gnosticplayers 竊取數據並隨後在網上兜售的公司,包括 Canva、Gfycat、500px、Evite 等。這名黑客總共聲稱對 45 起黑客攻擊和入侵事件負責,這些事件影響超過 10 億用戶

第一資本(Capital One)被黑事件

2019 年 7 月披露的美國一家金融控股公司第一資本金融公司(Capital One)黑客事件影響了超過 1 億的美國人和 600 萬加拿大人。

據悉,這次泄漏數據並沒有被公開分享,因此,大多數數據被盜的用戶很可能是安全的。但是,由於事情發生的方式,這次的數據泄露很引人注目。

一項調查顯示,此次黑客攻擊行動背後的嫌疑人是AWS的一名前員工,他被控非法訪問第一資本的 AWS 服務器以獲取數據,還有其他 30 家公司的數據

調查仍在進行中,但如果事實證明這是真的,這將會爲組織帶來新的威脅類別,也就是說,新的威脅是供應鏈、供應商工作的惡意內部人員。

原文鏈接:

A decade of hacking: The most notable cyber-security events of the 2010s

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章