據(jù)報(bào)道,美國(guó)的“數(shù)個(gè)”聯(lián)邦政府機(jī)構(gòu)在一場(chǎng)網(wǎng)絡(luò)襲擊中遭到了黑客攻擊,攻擊的途徑是流行的文件共享軟件存在一個(gè)此前未知的漏洞。
【資料圖】
黑客警告受害者,除非他們?cè)诒局苤Ц囤H金,否則就將他們的被盜數(shù)據(jù)在網(wǎng)上公布。
美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency,簡(jiǎn)稱CISA)網(wǎng)絡(luò)安全執(zhí)行助理主任Eric Goldstein當(dāng)天表示,仍在調(diào)查黑客攻擊的范圍。
他補(bǔ)充說,他們正在努力了解網(wǎng)絡(luò)攻擊的影響并確保能夠及時(shí)補(bǔ)救,該部門“正在為數(shù)個(gè)遭受入侵的聯(lián)邦機(jī)構(gòu)提供支持”。據(jù)悉,目前尚不清楚黑客的來源。
報(bào)道稱,黑客利用了MOVEIt程序中的一個(gè)漏洞,MOVEIt是一種流行的快速傳輸文件的工具。
谷歌旗下網(wǎng)絡(luò)安全公司Mandiant的首席技術(shù)官Charles Carmakal表示,據(jù)他所知,黑客利用MOVEIt竊取了聯(lián)邦機(jī)構(gòu)的一些數(shù)據(jù)。Mandiant的客戶就包括政府機(jī)構(gòu)。
這起事件是多年來已知的第三起外國(guó)黑客侵入多個(gè)聯(lián)邦機(jī)構(gòu)并竊取信息的事件。目前還不清楚被盜文件是否敏感,或者黑客是否破壞了政府系統(tǒng)。
嫌疑人
周四,CISA主任Jen Easterly在接受采訪時(shí)表示,該機(jī)構(gòu)正在追蹤黑客,“是一個(gè)著名的勒索軟件組織”。這似乎是指一個(gè)名為“CL0P”的老牌網(wǎng)絡(luò)犯罪組織。
上周,CISA和FBI發(fā)出警告,稱CL0P正在利用MOVEIt的一個(gè)此前未知的漏洞。網(wǎng)絡(luò)安全公司Emsisoft的分析師布Brett Callow說,該組織利用這個(gè)漏洞從至少47個(gè)組織竊取了文件,并要求支付贖金。
像其他勒索軟件團(tuán)伙一樣,CL0P通常會(huì)聯(lián)系受害者,要求支付贖金,以解密或刪除他們被盜的文件。但這次它采取了不同尋常的步驟,即沒有聯(lián)系被它攻擊的組織。相反,它在其暗網(wǎng)泄露網(wǎng)站上發(fā)布了一條勒索信息,要求受害者在6月14日的最后期限之前與該團(tuán)伙聯(lián)系。
在撰寫本文時(shí),黑客們尚未公布被盜數(shù)據(jù),但CL0P告訴受害者,它已經(jīng)下載了“大量數(shù)據(jù)”。
誰是受害者?
網(wǎng)絡(luò)安全公司Palo Alto Networks的威脅分析負(fù)責(zé)人Wendi Whitmore表示,CL0P通過MOVEIt攻擊受害者的活動(dòng)非常廣泛。
“我認(rèn)為受害者至少有數(shù)百人,可能還有更多。”她補(bǔ)充說。
雖然受害者的確切人數(shù)仍然未知,但CL0P周三在其暗網(wǎng)上列出了它利用MOVEit漏洞攻擊的第一批組織。其中包括美國(guó)金融服務(wù)機(jī)構(gòu)First Source和First National Bankers Bank、總部位于波士頓的投資管理公司Putnam Investments、歐洲度假村網(wǎng)絡(luò)Landal Greenparks,及英國(guó)能源巨頭殼牌公司。
此外,據(jù)報(bào)道,包括約翰·霍普金斯大學(xué)、約翰·霍普金斯衛(wèi)生系統(tǒng)、密蘇里州、羅切斯特大學(xué)和伊利諾伊州在內(nèi)的美國(guó)政府機(jī)構(gòu)和組織都披露,他們都受到了影響。
約翰·霍普金斯大學(xué)在一份聲明中表示,數(shù)據(jù)泄露“可能影響了敏感的個(gè)人和財(cái)務(wù)信息”,包括姓名、聯(lián)系信息和健康賬單記錄。