國外媒體CRN對2024年上半年的所發生的典型網路攻擊和資料洩密事件進行了總結梳理和盤點。
2024年上半年已經過去,全球網路安全威脅態勢依然相關嚴峻,嚴重的網路攻擊事件從未間斷,眾多組織遭受勒索軟體、資料竊取和隱私外洩等攻擊威脅。日前,專業網站「CRN.com」依照攻擊的時間順序,對2024年上半年的所發生的典型網路攻擊和資料洩密事件進行了總結整理和盤點。
1.Ivanti VPN 零時差攻擊(2024年1月)
lvanti Connect Secure VPN是一款企業級遠端存取解決方案,主要提供安全遠端存取和多因素認證等功能。在2024年1月,該系統被揭露出兩個高危的零時差漏洞,並被駭客等犯罪份子大肆利用。研究人員表示,在攻擊期間,數千台Ivanti VPN設備遭到破壞,影響了眾多企業組織,其中包括了美國網路安全和基礎設施安全域(CISA)和Mitre(由美國政府資助的網路攻擊框架研究機構)等。
Google雲端旗下的Mandiant團隊研究人員稱,Ivanti VPN漏洞與一個名為UNC5221的駭客等犯罪組織有密切關係,該犯罪組織發動最早攻擊可以追溯到2023年12月3日。
這起攻擊促使CISA向美國聯邦政府行政部門發出了安全警示,要求採取緊急措施,在48小時內切斷Ivanti Connect Secure VPN連線。2024年1月31日,在相關漏洞被揭露的三星期後,Ivanti才發佈了其部分版本的安全漏洞修補。
2.微軟公司高階主管賬戶外洩攻擊(2024年1月)
微軟公司在2024年1月份對外揭露,網路攻擊者攻擊了其高級領導團隊成員以及網路安全和法務團隊的電子郵件系統,並將攻擊活動歸咎於Midnight Blizzard(午夜暴雪)駭客犯罪組織。該駭客犯罪組織曾在2020年策劃實施轟動一時的SolarWinds洩密案。
CISA稍後的調查發現,本次賬戶外洩事件廣泛影響了多家聯邦政府機構。透過入侵微軟公司電子郵件帳戶,Midnight Blizzard竊取了大量聯邦政府行政部門(FCEB)和微軟之間的電子郵件通信。
為了降低攻擊造成的影響,微軟公司向可能受到影響的客戶發出了安全提示通知,告知他們的電子郵件內容已被非法查閱。調查人員並表示,本次外洩事件最早發生於2023年11月,駭客利用了一個未實施多因素身份驗證(MFA)的過期賬戶獲取對郵件系統的存取許可權。
3.Change Healthcare網路攻擊(2024年2月)
美國最大的醫療處方服務Change Healthcare公司在2024年初遭受網路攻擊,並於2024年2月22日首次被研究人員揭露,該攻擊導致美國醫療保健系統持續了數星期的時間大規模中斷。調查人員為阻止攻擊因而被迫關閉部分IT系統,這迫使得許多藥店、醫院以及其他醫療保健組織無法處理藥品訂單和接收付款。
一位名為Blackcat(亦稱Alphv)的網路犯罪組織聲稱對本次攻擊活動為他們所為,他們並稱在攻擊中己收取被攻擊企業所支付的2200萬美元贖金。
不久之後,另一個名為RansomHub的網路犯罪組織亦宣稱從Change Healthcare攻擊中竊取了資料。 UnitedHealth在2024年4月底表示,Change Healthcare攻擊事件導致了三分之一的美國人個人隱私資料被竊取,其影響極為廣泛、惡劣。
Change Healthcare公司在2024年6月份證實了有病患醫療資料在本次攻擊中已經外洩,攻擊期間被竊取的醫療資料可能包括診斷、藥物、檢驗結果、影像、護理和治療等資料。
4.ConnectWise ScreenConnect 洩漏隧道利用攻擊(2024年2月)
2024年2月,Gotham Security公司研究團隊發現,在廣泛應用的ConnectWise ScreenConnect 中存在兩個漏洞(CVE-2023-47257和CVE-2023-47256),可導致數萬家企業遭受重大網路攻擊。
ConnectWise ScreenConnect 是一款遠端控制軟體,應用於全球 IT 管理服務提供者(MSPs)。如駭客將這兩個漏洞用於0day攻擊,可導致MSP及其客戶遭受攻擊。惡意人員可從區域網路取得對所有工作站和伺服器的存取許可權,之後將許可權提升為攻擊端系統的本地管理員。
ConnectWise公司很快意識到相關漏洞被利用的風險,並採取了緊急的預防措施,並在揭露後數日內發佈了安全漏洞修補。 CISA發佈的安全通告表示,如果ConnectWise的合作夥伴和終端客戶無法升級到最新版本,就應該立即關閉所有本地端ScreenConnect伺服器。
5.XZ Utils軟體供應鏈攻擊(2024年3月)
xz是在所有Linux發行版中的通用資料壓縮格式,應用非常廣泛。2014年3月份,Red Hat公司和CISA分別發出警告,在最新版本的XZ Utils中發現被植入的惡意程式。XZ Utils專案的原始維護者揭露,XZ Utils的一名程式碼撰寫者插入了惡意程式碼。
在2024年3月29日,微軟PostgreSQL開發人員Andres Freund發了一封電子郵件給oss-security,言之在 xz/liblzma 中發現了一個後門,涉及混淆惡意程式碼的供應鏈攻擊。Freund花大量的精力去追查這個問題,最終揭露了軟體後門。
調查發現,xz-utils 軟體包遭受的供應鏈攻擊歷時三年,幾乎成功在眾多Linux發行版中為sshd植入後門,這將允許攻擊者繞過密鑰認證,其後果難以想像。
6.AT&T資料洩露攻擊(2024年3月)
2024年3月30日,AT&T(美國電話電報公司)發佈聲明稱發生了資料外洩,涉及約760萬該公司當前客戶及約6540萬前客戶,總計約7300萬個賬戶的資訊。外洩的內容可能涉及使用者的姓名、郵件位址、社保號碼、登錄賬號和密碼等個人資訊。初步調查發現,被外洩的資料大約在2024年3月初就出現在暗網上,資料大約來自2019年或者更早的時間。
而在之前的2024年2月22日,AT&T公司剛發生了一起長達10小時的重大網路中斷事件,涉及通話、網路和簡訊服務,據稱有超過7萬名使用者受到影響。根據美國多座城市的政府部門在社交媒體平臺X上發佈的資訊,此次服務中斷甚至影響到撥打911號碼聯繫消防救災服務機構的能力。
7.美國國家環境保護局資料洩露攻擊(2024年4月)
2024年4月10日,hackread網站對外揭露美國聯邦環境保護局(EPA)發生了一起重大的資料外洩事件。此次事件可能由一名被稱為USDoD的駭客所為,涉及超過850萬使用者(包括其系統承包商)的個人隱私資訊被外洩。這一事件再次引發了美國民眾對身份盜用、網路間諜活動的擔憂。
據瞭解,USDoD 曾有過竊取隱私資料的歷史,在之前的攻擊事件中就曾曝光一個由美國聯邦調查局資助敏感專案。在本次攻擊事件發生後,該犯罪組織在暗網資料外洩論壇上發帖炫耀稱:「我們將很快公開發佈EPA的完整聯繫人資料庫。其中不僅包含美國關鍵基礎設施的組織成員,還包括美國之外的相關機構和個人的資料資訊。」
8.Giant Tiger用戶資料竊取攻擊(2024年4月)
Giant Tiger是加拿大零售連鎖巨頭企業,2024年4月14日,一個活躍駭客論壇發佈了題為「Giant Tiger Database - Leak, Download!」的帖子,聲稱已竊取了完整的 Giant Tiger 客戶記錄資料庫,據稱本次資料竊取攻擊發生在2024 年 3 月。駭客聲稱:「我們已經獲取超過280萬客戶的個人資訊,包括電子郵件位址、姓名、電話號碼以及通訊地址,此外,本次獲取的資料還涉及Giant Tiger客戶的網站活動資料。 ”
Giant Tiger 相關安全負責人回應稱:我們目前已經發現了一個核心業務系統的第三方供應商存在安全問題。導致了部分Giant Tiger 客戶的聯繫資訊未經授權獲取,但不涉及財務資訊或支付密碼。目前已向所有相關客戶發送通知,並告知此事件的情況。
9.佳士得拍賣行網路攻擊(2024年5月)
2024年5月22日,全球著名的藝術品拍賣機構佳士得拍賣行宣佈遭遇了網路攻擊,導致其拍賣網站在本年度春季拍賣活動開始前因為「技術安全問題」臨時離線。本次春季拍賣活動的藝術品總價值預計高達8.4億美元(約合227億新臺幣),其中包括一幅價值超過3500萬美元的文森.梵谷(Vincent van Gogh)畫作。
佳士得發言人在稍後的一份聲明中表示:「公司已經採取一切必要措施來處理這一事件,並聘請了一個額外的技術專家團隊協助。佳士得會視進展情況及時向客戶提供進一步的最新資訊,並對此次事件所造成的拍賣活動延期深表歉意。」
10.CDK網路攻擊(2024年6月)
CDK Global 是北美地區一家大型汽車經銷商軟體即服務提供者,專為汽車行業客戶提供SaaS平臺,並處理汽車經銷商各方面運營,包括客戶關係管理、融資、薪資、支援與服務、庫存和後台運營。該公司目前與15000多家汽車經銷商均有合作。2024年6月18、19兩日,該公司連續遭遇兩次網路攻擊,並在之後緊急關閉了大部分系統。
CDK公司確認,導致其汽車經銷商客戶軟體平臺癱瘓的網路攻擊是一起「勒索事件」。在其發給客戶的一份說明中,CDK 承認駭客通過攻擊其經銷商管理系統(DMS),導致該系統無法正常使用,並要求支付贖金以恢復系統。媒體報導稱,CDK計劃支付據稱高達數千萬美元的贖金,目的在更快地恢復系統運營,但CDK尚未對此作出任何回應。
本文參考自:https://www.crn.com/news/security/2024/10-major-cyberattacks-and-data-breaches-in-2024-so-far