瑞星根据行业特性、威胁影响及损失程度,列举出在 2023 年发生的26 起重大网络攻击事件:
2023 年 1 月 19 日,全球最大海事组织之一 DNV 发布声明称,该企业于1 月7 日晚间遭勒索软件攻击,ShipManager 软件系统相关的 IT 服务器已经被迫关闭。其中写道,“DNV 正与总计70家受到影响的客户开展每日沟通,向其更新正在进行的取证调查结果。约 1000 艘船舶受到影响。”DNV是世界上最大的船级社,即管理船舶与海上结构物建造与运营技术认证的组织。DNV 目前为超过13175 艘船舶及移动海上装置提供服务,2021 年收入超 20 亿美元。
2023 年 2 月 3 日,百慕大地区发生大面积停电,导致该岛的互联网与电话服务无法正常使用。当地政府称,问题根源是百慕大唯一电力供应商 Belco 遭遇“严重事故”,并建议客户“拔掉所有敏感的电气设备”,避免工作人员的连夜抢修造成用电器损坏。互联网状态监测组织NetBlocks证实,在断电之后数小时,岛上互联网连接已降至正常水平的 30%左右。截至百慕大当地时间2月3日晚 8 点 30 分,Belco 公司已经为约 90%的客户恢复了供电,到晚间 9 点45 分所有线路均已恢复。
2023 年 2 月初,匿名者组织发布了 128GB 的文件,据称这些文件是从俄罗斯互联网服务提供商Convex 窃取的。被盗文件包含情报部门 FSB 进行的天罗地网监视活动的证据。据称,这种监视活动被归类为未经授权的窃听、间谍活动和对平民的无证监视,这些都是违反该国法律的。匿名者组织表示数据是从 Convex 窃取的,该公司一直在运行一个名为 GreenAtom 的项目,该项目涉及安装和维护监控设备以监控俄罗斯公民和私营公司的在线活动。通过绿色原子计划,政府可以执行广泛的监视活动,使用 Convex 的设备来监视他们的进出流量。
2023 年 2 月 21 日,据报道称,黑客入侵了位于亚洲的两个数据中心,窃取了苹果、优步、微软、三星、阿里巴巴等科技公司的登录凭证,并远程访问了这些组织的监控摄像头。网络安全公司Resecurity 最初在 2021 年 9 月确定了数据泄露;但是,直到 2023 年 2 月20 日才向媒体透露了详细信息。这些登录信息是由一个名为“Minimalman”的威胁行为者在 Breachforums 论坛上泄露的。
2023 年 2 月 21 日,据报道称,黑客入侵了位于亚洲的两个数据中心,窃取了苹果、优步、微软、三星、阿里巴巴等科技公司的登录凭证,并远程访问了这些组织的监控摄像头。网络安全公司Resecurity 最初在 2021 年 9 月确定了数据泄露;但是,直到 2023 年 2 月20 日才向媒体透露了详细信息。这些登录信息是由一个名为“Minimalman”的威胁行为者在 Breachforums 论坛上泄露的。
2023 年 4 月 5 日,中国台湾电脑零部件制造商微星(MSI)疑似遭到勒索软件团伙MoneyMessage攻击,该团伙在其数据泄露网站上挂出了微星名字,并宣称从微星的系统中窃取到1.5TB 数据,包括软件源代码、私钥、BIOS 固件文件和数据库,并要求受害者支付 400 万美元赎金(约合人民币2750万元)。MoneyMessage 威胁微星如果不满足其要求,将在约五天内公布这些据称被盗的文件。
2023 年 5 月 10 日,据英国《卫报》报道,为英国政府机构提供服务的IT 外包公司Capita透露,因黑客攻击该公司损失总额达 1500 万至 2000 万英镑。Capita 公司此前宣布,2023 年3 月末曾遭黑客攻击,事件造成客户、工作人员和供应商的数据泄露。该公司没有透露黑客具体窃取到多少GB 数据,也没有公开受到影响的客户、供应商和内部员工数量。Capita 的股价已经从3 月30 日(首次披露攻击事件的前一天)的高位 38.64 英镑下跌超 17%,下探至昨天收盘的32.98 英镑。
2023 年 5 月 11 日,意大利数个官方网站遭到黑客大规模 DDoS 服务器攻击瘫痪,包括意大利参议院、意大利国防部,意大利国家卫生所等 7 家重要机构官网临时宕机,整整4 个小时的时间内,用户无法访问。随后,俄罗斯黑客组织 Killnet 宣布对整起网络攻击事件负责,并公布了一份黑掉的意大利网站名单。Killnet 黑客组织明确将这次网络攻击称为“袭击意大利”行动。
2023 年 6 月 23 日,全球最大的两家航空公司美国航空(AmericanAirlines)和西南航空(SouthwestAirlines) 披 露 了 一 起 数 据 泄 露 事 件 。 泄 露 原 因 是 航空飞行员管理招聘平台PilotCredentials 在 4 月 30 日遭遇了黑客入侵,并窃取了飞行员申请人及飞行员学员招聘过程中提供的个人信息文件。美国航空公司表示,此次事件导致至少 5745 名飞行员和申请人的数据被泄露,西南航空公司报告的数据泄露总数为 3009 人。泄露的数据涉及到了一些个人信息,例如姓名、社保号码、驾驶执照号码、护照号码、出生日期、飞行员证书号码以及其他政府颁发的身份证号等。
2023 年 6 月 27 日,Clop 在其数据泄露网站上列出了西门子能源公司,并表示盗取了该公司的数据。西门子能源公司的一位发言人证实 Clop 勒索软件利用 CVE-2023-34362 的MOVEit 传输零日漏洞入侵了西门子。不过西门子能源公司表示,目前暂时还没有关键的数据被盗,业务运营也没有受到影响,他们在得知这一事件后也立即采取了行动。除了西门子能源公司,Clop 还声称利用MOVEit传输系统盗取了工业巨头施耐德电气的数据。
2023 年 7 月 11 日,微软披露了一个高危 0day 漏洞,编号为 CVE-2023-36884,该漏洞存在于多个 Windows 系统和 Office 产品中。微软发布紧急公告称,已发现有俄方背景的APT 组织正在利用该漏洞以北约峰会名义对北美及欧洲国家的国防和政府部门发起攻击。攻击者会利用CVE-2023-36884漏洞来构造恶意的 Office 文档,并通过邮件等方式进行传播,以诱导受害者打开邮件并下载文档。一旦文档被打开,会立刻执行其中的恶意代码,受害者将被远程攻击。瑞星已经为该漏洞利用代码创建了病毒签名,相关的恶意文档都已经可以被检测。
2023 年 7 月 24 日,武汉市应急管理局发布声明称,该局所属武汉市地震监测中心遭受境外组织的网络攻击。这是继 2022 年 6 月份西北工业大学遭受境外网络攻击后又一具体案例。国家计算机病毒应急处理中心和 360 公司组成的专家组发现,此次网络攻击行为由境外具有政府背景的黑客组织和不法分子发起,初步证据显示对武汉市地震监测中心实施的网络攻击来自美国。
7 月 27 日,瑞星威胁情报中心捕获名为“大头”的勒索软件并发布免费解密工具。通过分析发现,“大头”勒索软件疑似伪装成虚假的 Windows 更新或 Word 安装程序,诱导受害者下载并进行传播,其不仅会加密用户磁盘文件,还会安装开源的窃密后门——WorldWindStealer,收集受害者电脑内文件、图片、音频、主机软硬件版本、浏览器等各类信息,回传给攻击者。
