Security

​2023年上半年全球重大网络安全事件回顾

6月

LockBit团伙索要7000万美元赎金,台积电已承认网络遭到攻击

6月28日,一个名为Bassterlord的Lockbit关联公司通过Twitter宣布了对台积电的黑客攻击,并分享了与该公司相关信息的截图,作为攻击的证据。

该勒索软件集团声称已经从该公司窃取了大量敏感信息,并威胁说在拒绝付款的情况下将公布这些信息。该组织还计划公布可以让威胁者进入该公司基础设施的信息。台积电否认它被Lockbit攻破,而是证实该组织攻破了该公司的一个IT硬件供应商Kinmax Technology。

施耐德电气和西门子能源成MOVEit漏洞的最新受害者

两家大型能源公司已成为MOVEit漏洞的受害者,这是一场持续不断的黑客活动的最新目标,该攻击活动已袭击了越来越多的组织,包括政府机构、州和大学。

执行攻击的勒索软件团伙CL0P6月27日将施耐德电气和西门子能源公司添加到其泄露站点。西门子确认其已成为攻击目标,施耐德表示正在调查该组织的说法。

加拿大石油巨头遭到网络攻击导致全国加油服务中断

6月27日报道,加拿大石油公司Suncor遍布全国的加油站受到技术问题影响,导致客户无法使用信用卡或奖励积分付款,其母公司Suncor Energy透露,他们遭受了网络攻击。

Suncor Energy是全球第48大上市公司,也是加拿大最大的合成原油生产商之一,年收入达310亿美元。该公司表示已采取措施减轻攻击并向当局通报情况。

微软警告:俄黑客发起大范围凭证窃取攻击

近日,微软透露,它检测到俄罗斯国家附属黑客组织 Midnight Blizzard 发起的凭证窃取攻击激增。微软威胁情报团队表示,这些入侵利用住宅代理服务来混淆攻击的源 IP 地址,目标是政府、IT 服务提供商、非政府组织、国防和关键制造部门。

微软在一系列推文中表示,“这些凭证攻击使用了各种密码喷射、暴力破解和令牌盗窃技术”,并补充到,“攻击者还利用可能获得的被盗会话进行会话重放攻击,以获得对云资源的初始访问权限,通过非法销售。”

勒索攻击致使知名大学IT设施全瘫痪

6月13日消息,德国知名大学卡尔斯鲁厄应用技术大学(HS Kaiserslautern)成为最新受到勒索软件攻击的德国大学。此前数月,至少有六所类似的机构也遭遇了类似事件。

该事件得到确认后,学校通过紧急网站宣布其“整个IT基础设施”已经下线,其中包括学校电子邮件账户和电话系统。

本田电商平台API漏洞暴露客户数据

6月,安全研究人员Eaton Zveare发现本田动力设备的电商平台存在API漏洞,攻击者可为任何帐户重置密码,导致本田动力(包括电力、船舶、草坪和花园设备)电子商务平台容易受到任何人未经授权的访问。

本田是日本汽车、摩托车和动力设备制造商,受漏洞影响的是动力设备用户,汽车或摩托车的车主不受影响。

近 1000 万驾照持有者信息在DMV、OMV网络攻击中泄露

6月,俄勒冈州 DMV 和路易斯安那州 OMV 的网络攻击已泄露近 1000 万驾照持有者的敏感数据。

此次泄露事件归因于与俄罗斯有关的 Clop 勒索软件团伙,利用了两个 DMV 使用的 MOVEit Transfer 安全文件传输服务中的零日漏洞CVE-2023-34362。此次数据泄露可能影响了全球数百个组织,其中包括几个美国联邦机构。

俄三大黑客组织联合对欧洲银行发动攻击

6月16日,俄罗斯三大黑客组织联合宣布:将在48小时对欧洲银行发动沉重打击!俄罗斯三大黑客组织集体行动,这一次主要任务是瘫痪SWIFT 的工作,对欧洲银行系统进行大规模网络攻击,目标包括:欧洲、美国和美国联邦储备委员会的银行。

俄黑客组织声称这将是“历史上最强大的网络攻击,在接下来的48小时内摧毁欧洲银行。这场毁灭性的网络攻击将切断向乌克兰提供军事援助的资金流动。”

丰田因云配置错误致26万车主数据泄露

日本汽车制造商丰田汽车公司发现了一起因 Toyota Connected (TC) 云配置错误导致的数据泄露。丰田表示,它调查了所有 TC 云环境,并确定了暴露的数据,由于云配置错误,这些数据可以从外部访问。在 2015 年 2 月 9 日至 2023 年 5 月 12 日期间,云配置错误使日本 26 万名车主暴露在外。

云错误配置失误泄露了汽车导航数据,包括车载设备 ID、地图数据更新以及日本车主的更新数据创建日期。然而,暴露的数据不包含位置信息,无法识别受影响的个人或危及内部汽车系统。

泰雷兹、阿里巴巴等多家巨头机密数据遭泄露

据报道,黑客发布了安全入口控制制造商 Automatic Systems 的几个客户的机密数据,受影响的包括北约、阿里巴巴、泰雷兹等。

与俄罗斯有联系的 ALPHV/BlackCat 勒索软件团伙声称对法国企业集团 Bolloré 的子公司 Automatic Systems 发起了攻击。该团伙在其暗网泄密网站上的帖子包括一百多个被盗数据样本,从保密协议 (NDA) 到护照复印件。Automatic Systems 通过公司网站上的一条消息承认了此次攻击,声称入侵发生在 6 月 3 日,威胁参与者的目标是“其部分服务器”。

Zellis 数据泄露已波及英国航空公司、BBC

6月,BBC 和英国航空公司均受到了薪资提供商 Zellis 遭受的数据泄露的影响。由于 Zellis 遭受网络攻击,BBC 和英国航空公司员工的个人数据已被泄露。

“BBC意识到第三方供应商 Zellis 发生了数据泄露事件,并且正在与他们密切合作,因为他们正在紧急调查泄露的程度” BBC 的发言人说。

5月

希腊教育部遭遇最严重网络攻击:全国考试被干扰

5月31日消息,希腊教育部遭受了该国历史上最严重的网络攻击,攻击旨在瘫痪希腊高中考试平台。

希腊教育部周二表示,这次分布式拒绝服务(DDoS)攻击已经进入第二天,试图超过考试平台的运转负荷。来自114个国家的计算机共同发起攻击,导致高中考试中断和延迟,但未能使系统瘫痪。

德国军工巨头遭勒索攻击,汽车业务敏感数据或泄露

5月24日消息,德国汽车和防务公司莱茵金属(Rheinmetall)披露,近期遭受了勒索软件团伙的网络攻击,但军用业务未受到影响。

该公司在4月中旬报告称遭受了网络攻击。此次攻击影响到其面向工业客户的业务部门,主要是汽车领域。

恶意软件Cosmic Energy 对电网构成直接威胁

5月,Mandiant威胁研究人员发现了旨在破坏电网的、与俄罗斯相关的新型恶意软件,他们敦促能源公司采取行动减轻这种“直接威胁”。

这种名为Cosmic Energy的专业操作技术 (OT) 恶意软件与之前针对电网的攻击中使用的恶意软件有相似之处,包括2016 年在乌克兰基辅发生的“Industroyer”事件。

华硕路由器全球大规模宕机、断网!官方道歉

5月,全球多地华硕路由器的用户反馈,他们的设备突然莫名其妙地死机,然后在反复重启后,每隔几分钟就会因为设备内存耗尽而停止工作。华硕官方就服务器端安全维护错误向其客户道歉,该错误导致大量受影响的路由器型号失去网络连接。

自今年5月16日以来,该问题已在社交媒体和讨论平台上得到广泛报道,人们对多个华硕路由器同时出现的连接问题感到困惑,而其他人则抱怨供应商方面缺乏沟通。

工业路由器曝光11个新漏洞,可远程操控数十万台设备和OT网络

5月,与三个工业路由器供应商相关的云管理平台中披露了多个安全漏洞,这些漏洞可能会使运营技术 (OT) 网络面临外部攻击。

以色列工业网络安全公司 OTORIO 公布了调查结果,这 11 个漏洞允许“远程执行代码并完全控制数十万台设备和 OT 网络,在某些情况下,甚至是那些没有主动配置为使用云的设备。”成功利用这些漏洞可能会给工业环境带来严重风险,使对手能够绕过安全层并泄露敏感信息并在内部网络上远程执行代码。更糟糕的是,这些问题可能被武器化以获取对网络中设备的未授权访问并执行恶意操作,例如关闭管理权限提升。

丰田超200万用户信息泄漏长达10年

丰田汽车公司披露的数据泄露事件使200多万客户的信息暴露了长达十年之久。

据悉,丰田汽车公司披露了一起数据泄露事件,暴露了2013年11月6日至2023年4月17日期间215万名客户的汽车定位信息。该数据泄露事件是由一个数据库的错误配置引起的,任何人都可以在没有认证的情况下访问。

该安全漏洞影响了使用该公司的T-Connect G-Link、G-Link Lite或G-BOOK服务的客户。由于长达10年的数据泄露而暴露的数据包括车辆识别号、底盘号和车辆位置信息。

自动化巨头ABB遭网络攻击

瑞士科技跨国公司、美国政府承包商、自动化巨头ABB已确认其部分系统受到勒索软件攻击的影响,该公司此前将其描述为“IT 安全事件”。

该公司在一份新闻稿中表示,“ABB已确定未经授权的第三方访问了某些ABB系统,部署了一种无法自我传播的勒索软件,并泄露了某些数据。”它还透露,攻击者从受感染的设备中窃取了数据,如果他们的信息在事件中受到影响,它将通知受影响的个人。

朝鲜黑客入侵韩国最大医院致831,000人信息泄露

韩国国家警察厅 (KNPA) 警告说,朝鲜黑客入侵了该国最大的医院之一首尔国立大学医院 (SNUH) 的网络,以窃取敏感的医疗信息和个人详细信息。该事件发生在 2021年5月至 6 月之间,警方在过去两年中进行了分析调查,以确定肇事者。

安卓手机芯片供应商偷偷收集用户数据

据称,一家制造无线电信硬件的跨国高通公司一直在秘密收集私人用户数据。大约三分之一的安卓设备使用了高通制造的芯片,包括三星和苹果智能手机。

高通公司生产的硬件在未经用户同意的情况下将用户的私人数据(包括 IP 地址)上传到属于该公司的云端。由于索尼的服务条款(研究人员使用的设备的供应商)、Android 或 /e/OS 均未提及与高通的数据共享,这可能违反了通用数据保护条例 (GDPR)。

国际医疗IT巨头遭网络攻击,被迫关闭所有信息系统

5月4日消息,德国IT巨头Bitmarck遭受网络攻击,被迫关闭了所有客户和内部系统,部分情况下甚至关闭了整个数据中心。

作为德国最大的医疗保险服务提供商之一,Bitmarck于4月30日在临时网站发布最新通知,称这次网络攻击未能窃取任何客户、患者或受保人的数据,至少“目前的情况”如此。

4月

至少2个关键基础设施组织被 3CX 攻击背后的朝鲜相关黑客破坏

Lazarus 是针对3CX 的级联供应链攻击背后的多产朝鲜黑客组织,它还利用木马化的 X_TRADER 应用程序入侵了电力和能源领域的两个关键基础设施组织以及另外两个涉及金融交易的企业。

据悉,赛门铁克的威胁猎人团队提供的新发现证实了早先的怀疑,即 X_TRADER 应用程序危害影响的组织比 3CX 多。博通旗下赛门铁克的安全响应主管 Eric Chien 在一份声明中告诉黑客新闻,这些攻击发生在 2022 年 9 月至 2022 年 11 月之间。Chien 说:“目前这些感染的影响尚不清楚——需要进行更多调查,并且正在进行中。”

俄黑客组织在 Cisco 路由器部署恶意软件

4月,美国、英国和思科警告由俄罗斯政府资助的 APT28 黑客在 Cisco IOS 路由器上部署名为“Jaguar Tooth”的自定义恶意软件,允许未经身份验证的设备访问。

APT28,是一个与俄罗斯总参谋部情报总局 (GRU) 有联系的国家资助的黑客组织。这个黑客组织由于对欧洲和美国利益的广泛攻击,并且以滥用零日漏洞进行网络间谍活动而闻名。

韩国加密货币交易所遭遇毁灭性黑客攻击

据韩国加密货币交易所GDAC 称,被盗的加密货币包括 61 个比特币、350.5 个以太币、1000 万个 WEMIX 游戏货币和价值 220,000 美元的泰达币 。

韩国加密货币交易所和区块链平台 GDAC 成为毁灭性黑客攻击的受害者,导致价值约 1390 万美元的各种加密货币被盗。GDAC CEO Han Seunghwan 于 4 月 10 日发布公告,透露攻击发生在 4 月 9 日上午,当时黑客控制了交易所的部分热钱包。

惠普企业级打印机出现严重漏洞,涉及50余种机型

4月,惠普在一份安全公告中宣布,修复影响某些企业级打印机固件的严重漏洞最多需要 90 天。该安全问题被追踪为 CVE-2023-1707,它影响了大约 50 种 HP Enterprise LaserJet 和 HP LaserJet Managed Printers 型号。

该公司使用 CVSS v3.1 标准计算出的严重性得分为 9.1(满分 10),并指出利用该标准可能会导致信息泄露。

韩国国家税务局遭遇黑客勒索

4月,韩国国家税务局的网站地址列入暗网受害者名单,国际勒索软件组织LockBit还宣布将公布韩国国家税务局所有被盗的数据。

韩国国税局没有正式透露损失,如果与税务信息有关的公司和个人信息被泄露,可能会引起巨浪。但是,也有人认为,这不太可能导致大规模数据盗窃等重大损失。据悉,黑客对个人数据的攻击可能被包装成国家税务局。

医疗保健设施提供商遭受网络攻击,400 万患者信息泄露

Independent Living Systems (LLS) 是一家面向老年人、残障人士和受损人士的医疗保健设施提供商。公司也为那些需要额外护理的人建立了短期医疗机构。

不幸的是,这家医疗保健提供商最近遭受了大规模的网络攻击。这次攻击对公司的文件系统造成了重大破坏,并泄露了多达 400 万人的个人数据,这些人可能会面临财务或信用损失的风险。

三星引入 ChatGPT后,被曝发生 3 次芯片机密泄露

韩媒报道:三星刚引入 ChatGPT 还不到 20 天,就发生了 3 起机密数据泄漏事件,其中涉及三星半导体设备测量资料、产品良率等信息。韩媒认为,这些三星的机密资料已“完整地”传给了美国,被存入 ChatGPT 学习数据库中。

3月

美国八个工业控制系统存在多个高危漏洞

3月,美国网络安全和基础设施安全局(CISA)发布了八项工业控制系统 (ICS)公告,警告称存在影响Delta Electronics和Rockwell Automation设备的严重缺陷。

这包括Delta Electronics 的实时设备监控软件 InfraSuite Device Master 中的 13 个安全漏洞。1.0.5 之前的所有版本都受这些问题的影响。“成功利用这些漏洞可能允许未经身份验证的攻击者获得对文件和凭据的访问权限、提升权限并远程执行任意代码。”CISA表示。

拼多多因“恶意软件”被谷歌下架

据报道,由于发现拼多多APP存在恶意软件问题,谷歌已暂时将该应用从商店下架。谷歌在一份声明中表示,出于“安全考虑”,它暂停了Google Play应用商店中的拼多多应用,并表示正在调查此事。谷歌公司发言人埃德·费尔南德斯表示,将拼多多APP下架是一种安全预防措施。

作为国内流行的电子商务应用程序,拼多多“砍一刀”机制及一些APP内的功能设置,的确有窃取用户数据的先例。

以拉丁美洲为目标的银行木马盗取多达90,000份账户凭证

3月,一个名为Mispadu的银行木马与多个针对玻利维亚、智利、墨西哥、秘鲁和葡萄牙等国家的垃圾邮件活动有关,其目的是窃取凭证并提供其他有效载荷。

certutil方法使 Mispadu 能够绕过各种安全软件的检测,并从超过 17,500 个独特的网站获取超过 90,000 个银行账户凭证,其中包括许多政府网站:智利 105 个,墨西哥 431 个,秘鲁 265 个。

新的高级恶意软件专攻政府关基设施

Morphisec 的网络安全研究人员在3月份发现了一种新的高级信息窃取程序,称为 SYS01 窃取程序,自 2022 年 11 月以来,该程序被用于针对关键政府基础设施员工、制造公司和其他部门的攻击。

专家发现 SYS01 窃取程序与 Bitdefender 研究人员发现的另一种信息窃取恶意软件(跟踪为 S1deload)之间存在相似之处。该活动背后的威胁行为者通过使用谷歌广告和虚假的 Facebook 个人资料来瞄准 Facebook 商业账户,这些账户宣传游戏、成人内容和破解软件等内容,以引诱受害者下载恶意文件。该攻击旨在窃取敏感信息,包括登录数据、cookie 以及 Facebook 广告和企业帐户信息。

超210万张信用卡信息被泄露,涉及美、中、英等国家

3月,暗网信用卡网站BidenCash泄露了大约 210 万个被盗支付卡号的集合,免费提供包含 210 万个被盗支付卡号的档案,以纪念暗网信用卡网站BidenCash周年纪念。

据悉,BidenCash 是一个在暗网上和明网上都运行的银行卡市场,向公众提供被盗的信用卡详细信息。

美国知名卫星电视因遭受勒索攻击服务中断超一周

3月3日消息,因遭受勒索软件攻击,美国知名卫星电视运营商Dish Network主要业务和网络均告瘫痪,超一周仍未完全恢复,截至3月1日仍在恢复当中,股价大跌20%。

2月

世界水果巨头因勒索攻击直接损失超7400万元

都乐食品公司是一家爱尔兰农业跨国公司,是世界上最大的水果和蔬菜生产商之一,拥有 38,500 名全职和季节性员工,在 75 个国家/地区供应约 300 种产品。

该公司2月份宣布它遭受了影响其运营的勒索软件攻击,网络攻击严重扰乱了都乐的运营,导致生产工厂暂时关闭,并影响了美国杂货店的食品供应,直接损失超7400万元。事件发生后,都乐迅速采取行动遏制威胁,并聘请了领先的第三方网络安全专家以解决问题并保护系统。

因卫星遭攻击,俄罗斯多地广播电台响起虚假空袭警报

2月23日消息,俄罗斯多个城市商业广播电台突然响起空袭和导弹袭击警报。俄罗斯紧急情况部表示,这些播报是“黑客攻击导致”,由于卫星受到恶意行为的影响,导致多家广播电台播报了假消息。

国庆日!伊朗总统电视直播画面遭黑客篡改

2月11日,伊朗总统易卜拉欣·莱希在德黑兰的阿扎迪广场发表演讲,与聚集在这里的大批民众庆祝国家成立44周年。本是政府展示群众基础的大好时机,但此次活动却遭到黑客团伙“阿里的正义”的破坏。

“阿里的正义”(Edalat-e Ali)黑客团伙声称,对入侵伊朗国家电视台及广播电台的现场直播负责。这次攻击中断并篡改了伊朗总统易卜拉欣·莱希在革命日仪式上的演讲画面。

印度火车票务平台遭遇大规模数据泄露,涉及超3100万人

印度流行的火车票预订平台RailYatri遭遇大规模数据泄露,暴露了超过 3100 万 (31,062,673) 名用户/旅客的个人信息。据信,黑客攻击发生在 2022 年 12 月,但被盗数据直到今年2月才在一个著名的黑客论坛上泄露。

泄露的数据包括电子邮件地址、全名、性别、电话号码和位置,这可能使数百万用户面临身份盗用、网络钓鱼攻击和其他网络犯罪的风险。目前可以确认该数据库已在 Breachforums 上泄露,Breachforums 是一个黑客和网络犯罪论坛。

德国多家机场遭DDoS攻击并封锁多个网站

2月,德国几个机场的网站无法访问,专家展开调查,推测可能是针对关键基础设施的大规模网络攻击。机场协会首席执行官证实,这些网站遭到了DDoS攻击,机场的其他系统没有受到影响。

这起网络攻击事件发生的前一天,德国国家航空公司汉莎航空(Lufthansa)在法兰克福机场的一次IT故障导致数千名乘客取消和延误航班。

机场管理人员证实,这些问题很可能是由恶意流量引起的。“我们仍在排除故障,”机场的一位发言人说,并补充说,故障不太可能是由于常规过载造成的,有理由怀疑这可能是黑客攻击。

全球勒索软件黑客攻击将数千台计算机服务器作为目标

2月,VMware (VMW.N) ESXi 服务器的全球勒索软件黑客攻击已将数千台计算机服务器作为目标。管理员、托管服务提供商和法国计算机紧急响应小组 (CERT-FR) 警告说,攻击者针对 VMware ESXi 服务器中一个已有两年之久的远程代码执行漏洞未打补丁,以部署新的 ESXiArgs 勒索软件。

多个电动汽车充电系统中发现新安全漏洞

2月,来自以色列 SaiFlow 的调查结果再次证明了电动汽车充电基础设施面临的潜在风险。在多个电动汽车 (EV) 充电系统中发现的两个新安全漏洞可被利用来远程关闭充电站,甚至使它们遭受数据和能源窃取。

这些问题已在开放充电点协议 ( OCPP ) 标准的 1.6J 版中发现,该标准使用 WebSockets 在 EV 充电站和充电站管理系统 (CSMS) 提供商之间进行通信。攻击者可能会利用缺乏针对多个活动连接的明确指南来破坏和劫持充电点与 CSMS 之间的连接。

美国能源部三大实验室遭网络攻击

2月,在针对美国能源部掌管的三个国家实验室的一系列网络攻击之后,美国众议院立法者要求获得有关黑客事件的相关文件,以调查其范围和该机构当前的网络安全态势。这些攻击据称是由俄罗斯进行的,发生在 2022 年 8 月和 2022 年 9 月,可能会暴露美国敏感的科学研究。

据悉,这些攻击是由名为 Cold River 的黑客组织实施的,立法者指出该组织“卷入”了为俄罗斯政府谋利的行动。Cold River 采用的黑客策略包括为三个目标实验室创建虚假登录页面并将其发送给相关科学家,然后提示他们输入密码信息。

1月

医疗设备巨头遭到网络攻击,100万人敏感信息被泄露

医疗设备制造商ZOLL表示,1月份的一次网络攻击暴露了超过100万人的敏感信息。在提供给缅因州总检察长的文件中,ZOLL表示事件始于1月28日,当时他们在其内部网络上“检测到异常活动”。该公司补充到,信息是在2月2日被访问的,对该事件的调查正在进行中。

“可能已披露的信息包括您的姓名、地址、出生日期和社会安全号码。也可能会推断您使用或被考虑使用ZOLL产品。”该公司告诉受害者,“我们咨询了第三方网络安全专家,以协助我们对事件做出响应和补救,并根据法律要求通知了执法部门以及联邦和州监管机构。”

台湾华航遭黑客攻击,多位名人会员信息被曝光

在国外论坛中,黑客曝光台湾华航会员资料,黑客以挤牙膏的方式,先后于今年1月4日和1月11日陆续曝光10位和50位,总计60位包括台湾知名的政界、商界、明星和名嘴等知名人士的资料,资料除了华航的会员编号外,还有中英文姓名、出生年月日、电子邮件和手机等个人信息。

此次外泄名单都是台湾的知名人物,除了少数名单没有手机的资料外,资料都非常完整,如台湾当局副领导人赖清德、台积电创办人张忠谋和台湾明星徐熙娣、林志玲的个人信息都在名单中。

严重漏洞影响法拉利、梅赛德斯、宝马、保时捷在内的多个汽车制造商

1月,网络安全研究员 Sam Curry 和他的团队在数十家汽车制造商生产的车辆和车辆解决方案提供商实施的服务中发现了多个漏洞。这些漏洞可能已被威胁行为者利用来执行范围广泛的恶意活动,从解锁汽车到跟踪汽车。

据悉,专家发现的漏洞影响了起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、创世纪、宝马、劳斯莱斯、法拉利、福特、保时捷、丰田、捷豹、路虎等知名品牌的车辆。研究团队还发现了 Reviver、SiriusXM 和 Spireon 提供的服务存在缺陷。

美国铁路巨头Wabtec数据泄露

1月,美国铁路巨头Wabtec Corporation披露了一起数据泄露事件,该事件暴露了一些敏感信息。

Wabtec Wabtec是全球铁路行业世界上最大的附加值、以技术为基础的设备和服务提供商之一。该公司拥有约 25,000 名员工,业务遍及 50 个国家,是世界货运机车市场的领导者和运输领域的主要参与者。该公司 2021 年的财务业绩78 亿美元,据报道,Wabtec 在全球运营的 23,000 台机车运输了全球 20% 的货运量。

发表评论