被業(yè)內(nèi)人士定性為網(wǎng)絡(luò)安全“災(zāi)年”的2023年已經(jīng)翻篇，但過(guò)去一年發(fā)生的創(chuàng)記錄的數(shù)據(jù)泄露、勒索軟件、零日漏洞、間諜軟件和供應(yīng)鏈攻擊事件已經(jīng)為2024年全球網(wǎng)絡(luò)安全威脅態(tài)勢(shì)定下了主旋律和基調(diào)。

以下我們將回顧各行業(yè)2023年最具影響力和破壞力的十大網(wǎng)絡(luò)安全事件，回顧并總結(jié)這些事件將是2024年伊始網(wǎng)絡(luò)安全專業(yè)人士制訂風(fēng)險(xiǎn)管理策略和目標(biāo)的重要參考：

一、殺傷半徑最大的供應(yīng)鏈攻擊：MOVEit Transfer數(shù)據(jù)盜竊攻擊

據(jù)Emsisoft報(bào)道，文件傳輸服務(wù)MOVEit的漏洞已經(jīng)導(dǎo)致已2706個(gè)組織遭到(勒索軟件)攻擊，超過(guò)9300萬(wàn)人的個(gè)人數(shù)據(jù)被泄露。

MOVEit Transfer是由美國(guó)Progress Software Corporation子公司Ipswitch開(kāi)發(fā)的托管文件傳輸(MFT)解決方案，允許企業(yè)使用SFTP、SCP和基于HTTP的上傳在業(yè)務(wù)合作伙伴和客戶之間安全地傳輸文件。

攻擊者可利用MOVEit Transfer服務(wù)器曝出的漏洞入侵并下載用戶存儲(chǔ)的數(shù)據(jù)。

Clop勒索軟件團(tuán)伙很快聲稱對(duì)這些攻擊負(fù)責(zé)，該團(tuán)伙此前曾通過(guò)Accellion FTA和GoAnywhere中的零日漏洞發(fā)起過(guò)類似的攻擊。

2023年另外一起影響廣泛的供應(yīng)鏈攻擊是3CX被朝鮮黑客組織Lazarus攻破，利用該公司的互聯(lián)網(wǎng)語(yǔ)音協(xié)議(VOIP)桌面客戶端通過(guò)供應(yīng)鏈攻擊推送惡意軟件。

3CX是一家VoIP IPBX軟件開(kāi)發(fā)公司，其3CX電話系統(tǒng)被全球超過(guò)35萬(wàn)家公司使用，每天的活躍用戶超過(guò)1200萬(wàn)。

二、技術(shù)最復(fù)雜的間諜軟件攻擊：三角測(cè)量

近日，卡巴斯基安全研究人員鮑里斯·拉林(Boris Larin)披露了iPhone歷史上最復(fù)雜的間諜軟件攻擊——三角測(cè)量(Triangulation)的技術(shù)細(xì)節(jié)。該攻擊技術(shù)自2019年以來(lái)被用于監(jiān)聽(tīng)iPhone用戶。

2023年6月俄羅斯政府首次曝光了大規(guī)模的iPhone后門(mén)活動(dòng)，攻擊者利用三角測(cè)量攻擊感染了俄羅斯外交使團(tuán)和數(shù)千名使館工作人員的iPhone。甚至卡巴斯基在自己的網(wǎng)絡(luò)中也發(fā)現(xiàn)了三角測(cè)量攻擊，多名卡巴斯基員工中招，這在網(wǎng)絡(luò)安全行業(yè)一度傳為笑談。俄羅斯情報(bào)部門(mén)(FSB)則指責(zé)蘋(píng)果公司向美國(guó)國(guó)家安全局提供針對(duì)俄羅斯政府和大使館人員的后門(mén)。

三角測(cè)量行動(dòng)(Triangulation)是一種針對(duì)蘋(píng)果iPhone設(shè)備的間諜軟件活動(dòng)，利用了多達(dá)四個(gè)零日漏洞。這些漏洞組合在一起構(gòu)成一個(gè)零點(diǎn)擊漏洞，攻擊者可提升權(quán)限并執(zhí)行遠(yuǎn)程代碼執(zhí)行。

三、金融業(yè)最具影響力的安全事件：工商銀行美國(guó)子公司被LockBit勒索軟件攻擊

2023年11月10日，中國(guó)工商銀行(ICBC)的美國(guó)全資子公司工銀金融服務(wù)有限責(zé)任公司(ICBCFS)在官網(wǎng)發(fā)布申明稱11月8日遭受了LockBit勒索軟件攻擊，導(dǎo)致部分系統(tǒng)中斷。

攻擊發(fā)生后，由于被攻擊的系統(tǒng)被隔離斷網(wǎng)，工行總部和其他海外分支機(jī)構(gòu)并未受到影響，但也導(dǎo)致工銀金融無(wú)法清算待處理的美國(guó)國(guó)債交易，被迫通過(guò)U盤(pán)發(fā)送結(jié)算數(shù)據(jù)。據(jù)彭博社報(bào)道，對(duì)工商銀行美國(guó)子公司的攻擊已經(jīng)擾亂了美國(guó)國(guó)債市場(chǎng)。

安全專家Kevin Beaumont推測(cè)，攻擊者可能利用了未及時(shí)修補(bǔ)的Citrix Bleed漏洞(CVE-2023-4966)。

瑞典網(wǎng)絡(luò)安全公司Truesec的創(chuàng)始人馬庫(kù)斯·穆雷(Marcus Murray)表示：“工商銀行遭遇勒索軟件攻擊對(duì)全球大型金融企業(yè)來(lái)說(shuō)是一次重大沖擊。從曝光那一刻開(kāi)始，中國(guó)工商銀行的黑客事件將迫使全球大型銀行競(jìng)相提高防御能力?！?/p>

據(jù)路透社11月15日?qǐng)?bào)道，LockBit聲稱工商銀行已經(jīng)支付贖金。

四、最嚴(yán)重的醫(yī)療數(shù)據(jù)泄露事件：23andMe數(shù)據(jù)泄露

2023年10月基因檢測(cè)提供商23andMe遭遇撞庫(kù)攻擊，導(dǎo)致重大數(shù)據(jù)泄露，690萬(wàn)用戶的數(shù)據(jù)被泄露。

23andMe表示，攻擊者在撞庫(kù)攻擊中僅泄露了少量帳戶，但共精子和濫用其他功能來(lái)竊取了數(shù)百萬(wàn)人的數(shù)據(jù)。

攻擊者試圖出售竊取的數(shù)據(jù)，但在沒(méi)有買(mǎi)家接手，最終黑客在論壇上泄露了100萬(wàn)德系猶太人和400萬(wàn)英國(guó)居民的個(gè)人數(shù)據(jù)。其中包括550萬(wàn)DNA尋親功能用戶和140萬(wàn)家譜功能用戶。

最終，該數(shù)據(jù)泄露事件導(dǎo)致23andMe因未充分保護(hù)數(shù)據(jù)而被提起多起集體訴訟。

五、最嚴(yán)重的云數(shù)據(jù)安全事故：丹麥云服務(wù)商丟失所有用戶數(shù)據(jù)

2023年8月，在被勒索軟件攻擊加密了大部分客戶數(shù)據(jù)后，丹麥托管服務(wù)商CloudNordic和AzeroCloud(兩個(gè)品牌屬于同一家公司)被迫關(guān)閉，且數(shù)據(jù)恢復(fù)不成功。

CloudNordic的聲明寫(xiě)道：“由于我們既不能也不想滿足犯罪黑客的贖金要求，CloudNordic的IT團(tuán)隊(duì)和外部專家一直在加緊工作，評(píng)估損失并確定可以恢復(fù)的內(nèi)容?！?/p>

“遺憾的是，我們無(wú)法恢復(fù)更多數(shù)據(jù)，因此我們的大多數(shù)客戶都丟失了他們的所有數(shù)據(jù)?！?/p>

2023年曝光的另外一次嚴(yán)重云數(shù)據(jù)安全事故是GoDaddy客戶個(gè)人信息泄露。網(wǎng)絡(luò)托管巨頭GoDaddy表示，該公司多年來(lái)遭受了一次漏洞，允許未知攻擊者竊取源代碼并在其服務(wù)器上安裝惡意軟件。

此漏洞始于2021年，被攻擊者利用后泄露了120萬(wàn)托管WordPress客戶的個(gè)人信息(包括憑據(jù))，并利用該訪問(wèn)權(quán)限將網(wǎng)站重定向到其他域名。

沒(méi)有黑客組織聲稱對(duì)GoDaddy的攻擊負(fù)責(zé)。

六、最嚴(yán)重的游戲業(yè)網(wǎng)絡(luò)安全事件：GTA5源碼泄露

史上最暢銷游戲大作GTA5(俠盜獵車手5)的源代碼在2023年圣誕夜被泄露，發(fā)布者聲稱此舉是為了替近日被宣判永久監(jiān)視醫(yī)療的Lapsus$黑客組織成員Arion Kurtaj復(fù)仇，同時(shí)也是為了阻止惡意版本的GTA5源代碼在網(wǎng)上流傳。

2022年黑客組織Lapsus$入侵了游戲公司Rockstar游戲，獲得了對(duì)Rockstar內(nèi)部Slack服務(wù)器和Confluencewiki的訪問(wèn)權(quán)限，并竊取了大量機(jī)密數(shù)據(jù)(包括GTA5和GTA6的源代碼及后者的測(cè)試版本)，Lapsus$隨即泄漏了包括GTA6測(cè)試版本在內(nèi)的被盜數(shù)據(jù)，但是GTA5的源代碼直到一年后的圣誕夜才公開(kāi)泄漏。

目前GTA5的源代碼的下載鏈接在多個(gè)渠道上共享，包括暗網(wǎng)網(wǎng)站、Discord以及黑客此前用來(lái)泄露被盜Rockstar數(shù)據(jù)的Telegram渠道。

七、對(duì)科技行業(yè)威脅最大的DDoS組織：匿名蘇丹

2023年中，一個(gè)名為“匿名蘇丹”的黑客組織的DDoS攻擊癱瘓了多家全球科技巨頭的網(wǎng)站和服務(wù)，這讓所有人都大吃一驚。

該組織的攻擊甚至成功拿下微軟服務(wù)(包括Outlook、OneDrive和Azure門(mén)戶)的登錄頁(yè)面，這立刻引起了媒體的廣泛關(guān)注。一周多后，微軟最終確認(rèn)DDoS攻擊導(dǎo)致了這些中斷。

微軟確認(rèn)：“從2023年6月上旬開(kāi)始，微軟發(fā)現(xiàn)某些服務(wù)的流量激增，暫時(shí)影響了可用性。微軟立即展開(kāi)調(diào)查，隨后開(kāi)始追蹤正在進(jìn)行的DDoS活動(dòng)，微軟將其追蹤為Storm-1359?！?/p>

“匿名蘇丹”后來(lái)瞄準(zhǔn)了許多其他網(wǎng)站，包括ChatGPT、Cloudflare和美國(guó)政府服務(wù)的網(wǎng)站。

不斷增加的DDoS攻擊及其影響促使美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布相關(guān)事件公告。

八、影響最大的在線金融服務(wù)數(shù)據(jù)泄露事件：PayPal撞庫(kù)攻擊

2023年P(guān)ayPal披露其用戶賬戶在大規(guī)模撞庫(kù)攻擊中被泄露。該攻擊在2022年12月6日至8日期間發(fā)生，攻擊者攻破了34942個(gè)PayPal賬戶。

撞庫(kù)攻擊又稱憑據(jù)填充，是指黑客收集大量網(wǎng)絡(luò)上已經(jīng)泄露的某網(wǎng)站的用戶名和密碼，然后使用這些用戶名和密碼去登陸另一個(gè)網(wǎng)站。

據(jù)悉，黑客在此次撞庫(kù)攻擊中獲取了PayPal賬戶持有人的全名、出生日期、郵政地址、社會(huì)安全號(hào)碼和個(gè)人納稅識(shí)別號(hào)碼等個(gè)人敏感信息。

九、最嚴(yán)重的博彩業(yè)黑客攻擊：米高梅度假村網(wǎng)絡(luò)攻擊導(dǎo)致IT系統(tǒng)關(guān)閉

今年夏天，拉斯維加斯賭場(chǎng)巨頭米高梅國(guó)際酒店集團(tuán)遭受了大規(guī)模攻擊，導(dǎo)致業(yè)務(wù)長(zhǎng)期中斷，包括其主要網(wǎng)站、在線預(yù)訂以及ATM機(jī)、老虎機(jī)和信用卡機(jī)等賭場(chǎng)內(nèi)服務(wù)。

BlackCat勒索軟件行動(dòng)聲稱對(duì)此次攻擊負(fù)責(zé)，其附屬機(jī)構(gòu)表示，他們?cè)谑录陂g對(duì)100多個(gè)ESXi虛擬機(jī)管理程序進(jìn)行了加密。

彭博社報(bào)道稱，該組織還入侵了另外一家賭場(chǎng)巨頭Caesars Entertainment的網(wǎng)絡(luò)，后者在SEC的8-K表文件中暗示已向攻擊者付費(fèi)，以防止客戶被盜數(shù)據(jù)泄露。

這次博彩業(yè)史上最嚴(yán)重攻擊據(jù)稱來(lái)自一個(gè)名為“Scatttered Spider”的松散黑客組織。

Scattered Spider，也稱為0ktapus、Starfraud、UNC3944和MuddledLibra，擅長(zhǎng)社會(huì)工程，依靠網(wǎng)絡(luò)釣魚(yú)、多因素身份驗(yàn)證(MFA)疲勞轟炸和SIM交換來(lái)獲得大規(guī)模的初始網(wǎng)絡(luò)訪問(wèn)權(quán)限。

該組織的成員是BlackCat勒索軟件團(tuán)伙的附屬機(jī)構(gòu)，由擁有不同技能的年輕英語(yǔ)母語(yǔ)成員組成，經(jīng)常訪問(wèn)相同的黑客論壇和Telegram頻道。

雖然許多人認(rèn)為這是一個(gè)有凝聚力的團(tuán)伙，但該團(tuán)伙本質(zhì)上是一個(gè)個(gè)人組成的網(wǎng)絡(luò)，每次攻擊都有不同的攻擊者參與。這種流動(dòng)的結(jié)構(gòu)使得追蹤它們變得具有挑戰(zhàn)性。

Scattered Spider也是之前針對(duì)Reddit、MailChimp、Twilio、DoorDash和RiotGames等知名在線服務(wù)發(fā)動(dòng)攻擊的幕后黑手。

十、影響最大的軍工企業(yè)安全事件：波音遭LockBit勒索軟件攻擊

2023年10月下旬，波音公司遭遇LockBit勒索軟件攻擊，2023年10月27日，LockBit在數(shù)據(jù)泄露站點(diǎn)發(fā)消息聲稱竊取了波音的大量敏感數(shù)據(jù)，并以此脅迫波音公司，如果不在2023年11月2日前與LockBit組織取得聯(lián)系，將會(huì)公開(kāi)竊取到的敏感數(shù)據(jù)。

此后，波音一度從受害者名單中消失，直至11月7日，LockBit組織再次將波音公司列入受害者名單中，并聲稱波音公司無(wú)視其發(fā)出的警告，威脅要發(fā)布大約4GiB的數(shù)據(jù)?？赡芤螂p方談判失敗，LockBit組織于11月10日公開(kāi)發(fā)布了從波音公司竊取到的21.6GiB數(shù)據(jù)(媒體報(bào)道為43GiB，系重復(fù)計(jì)算了壓縮包和展開(kāi)后的數(shù)據(jù))。