今年4月，聯(lián)合國曾遭遇網(wǎng)絡(luò)攻擊，攻擊者盜取了大量數(shù)據(jù)，這些數(shù)據(jù)可能被用來攻擊聯(lián)合國。

黑客們進(jìn)入聯(lián)合國網(wǎng)絡(luò)的方法不復(fù)雜，他們很可能是利用暗網(wǎng)上購買的被盜的聯(lián)合國雇員的用戶名和密碼進(jìn)入。目前無法確定黑客的身份，也無法確定他們?nèi)肭致?lián)合國的目的。

[[423202]]

黑客進(jìn)入聯(lián)合國內(nèi)部系統(tǒng)偵察，可能是為攻擊或收集情報(bào)

聯(lián)合國秘書長發(fā)言人Stéphane Dujarric在9月9日的一份聲明中表示，“我們可以確認(rèn)，未知的攻擊者在2021年4月入侵了聯(lián)合國的部分基礎(chǔ)設(shè)施。”

在聲明中，聯(lián)合國稱經(jīng)常成為網(wǎng)絡(luò)攻擊的目標(biāo)，且面臨持續(xù)性的攻擊，已經(jīng)發(fā)現(xiàn)并正在應(yīng)對進(jìn)一步的攻擊，這些攻擊與先前的入侵有關(guān)。

發(fā)現(xiàn)該事件的網(wǎng)絡(luò)安全公司Resecurity稱，黑客能夠借此深入訪問聯(lián)合國網(wǎng)絡(luò)。黑客最早進(jìn)入聯(lián)合國系統(tǒng)是4月5日，最晚活動時(shí)間是8月7日。

據(jù)聯(lián)合國官員向Resecurity表示，這次黑客攻擊活動僅限于偵察，黑客只是在內(nèi)網(wǎng)拍攝了屏幕截圖。但當(dāng)Resecurity向聯(lián)合國提供被盜數(shù)據(jù)的證據(jù)時(shí)，聯(lián)合國并未回應(yīng)。

黑客的偵察活動可能是為了籌備后續(xù)攻擊，也可能是打算把信息出售給試圖入侵聯(lián)合國的其他團(tuán)伙。

Ressecurity稱，在最近的黑客入侵中，黑客試圖獲取更多有關(guān)聯(lián)合國計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)的信息，并入侵了53個(gè)聯(lián)合國賬戶。

Resecurity首席執(zhí)行官Gene Yoo說：“像聯(lián)合國這樣的組織是網(wǎng)絡(luò)間諜活動的高價(jià)值目標(biāo)。"黑客入侵目的是竊取聯(lián)合國網(wǎng)絡(luò)中的大量用戶數(shù)據(jù)，以進(jìn)一步收集長期情報(bào)。

聯(lián)合國及其機(jī)構(gòu)曾經(jīng)成為黑客的目標(biāo)。2018年，荷蘭和英國執(zhí)法部門挫敗了俄羅斯對禁止化學(xué)武器組織(Organisation for the Prohibition of Chemical Weapons)的網(wǎng)絡(luò)攻擊，當(dāng)時(shí)該組織正在調(diào)查一種致命神經(jīng)毒劑在英國本土的使用情況。

根據(jù)《福布斯》的一份報(bào)告，在2019年8月，聯(lián)合國的“核心基礎(chǔ)設(shè)施”在一次網(wǎng)絡(luò)攻擊中遭到破壞，該攻擊原本針對的是微軟SharePoint平臺的一個(gè)已知漏洞。

聯(lián)合國內(nèi)網(wǎng)帳號在暗網(wǎng)打包出售，僅售1000美元

此次的泄露憑證屬于聯(lián)合國專有項(xiàng)目管理軟件Umoja上的某個(gè)賬戶。黑客使用的Umoja賬戶并未啟用雙因素身份驗(yàn)證，這是一項(xiàng)基礎(chǔ)安全功能。根據(jù)Umoja網(wǎng)站7月發(fā)布的公告，該系統(tǒng)已經(jīng)遷移至微軟Azure，這套云平臺直接提供多因素身份驗(yàn)證機(jī)制。Umoja的遷移公告稱，此舉“降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)”。

[[423203]]

Recorded Future的高級威脅分析師Allan Liska表示，聯(lián)合國一直是民族國家攻擊者的主要目標(biāo)。他曾看到暗網(wǎng)出售聯(lián)合國雇員的帳號和密碼。網(wǎng)絡(luò)犯罪分子正在尋求將被盜數(shù)據(jù)高效變現(xiàn)的方法，初始訪問者頻繁出售自己掌握的入侵資源，在可預(yù)見的未來，攻擊活動將呈現(xiàn)愈發(fā)明確的針對性與滲透趨勢。

安全情報(bào)公司Intel 471的首席執(zhí)行官M(fèi)ark Arena表示，一些講俄語的網(wǎng)絡(luò)犯罪分子，將聯(lián)合國憑證和幾十個(gè)帳號和密碼一起，出售給各個(gè)組織，價(jià)格僅為1000美元。

彭博社查詢了暗網(wǎng)論壇上的廣告，至少有三個(gè)論壇的用戶，直到7月5日還在出售這些相關(guān)憑證。

Arena稱，“自2021年初以來，我們已經(jīng)發(fā)現(xiàn)多名出于經(jīng)濟(jì)動機(jī)的網(wǎng)絡(luò)犯罪分子在出售聯(lián)合國Umoja系統(tǒng)的訪問權(quán)限。這些參與者會同時(shí)出售來自多個(gè)犯罪團(tuán)伙的泄露憑證。根據(jù)之前的經(jīng)驗(yàn)，這些被盜的憑證還會被出售給其他網(wǎng)絡(luò)犯罪分子，再由他們用于實(shí)施后續(xù)入侵活動。”