在2010年新年前夜,由于无人知道密码,旧金山无法获取其紧急行动中心上运行的备份系统,这或许可以被视为一个不祥的预兆。2011年即将过去,我们需要回顾并盘点一下这一年中发生的重大IT安全事件。其中的一些事件甚至可能被定性为2011年度高级持续性威胁。
3.15黑客攻击事件
RSA执行总裁ArtCoviello在3月15日称,RSA遭到黑客攻击,获取认证的SecurID相关信息被窃取。而这只是麻烦的开始。在这起数据泄露事件中,黑客随后攻击了RSA客户,包括洛克希德马丁公司。Coviello的声明让高级持续性威胁(APT)成为了一个流行词汇。
APT一词最初由美国空军使用,现在演变为专指对网络不间断的攻击行为。RSA的数据泄露在去年第二季度为其母公司EMC带来了5500万美元的损失。
APT在2011年全面爆发。挪威国家安全局在11月称,石油、天然气和防务公司已经成为了这一复杂攻击的目标,这些公司的行业秘密和机密合同谈判等信息均遭到了窃取。据称,有10家挪威公司遭到了带有病毒的特制邮件的攻击,而邮件中的病毒却不会触发反恶意软件探测系统。不过,挪威安全部门并没有透露这些 APT可能的来源。
修补这个漏洞!
YGN道德黑客组织(TheYGNEthicalHackerGroup)发现安全厂商迈克菲的网站McAfee.com存在严重漏洞,并私下与迈克菲取得了联系,向该公司通报了隐患情况。由于迈克菲迟迟没有解决这些隐患,YGN在3月份对外公布了这一情况。YGN的这一举动让迈克菲非常尴尬,并向客户解释并不存在风险。此外,YGN还在苹果开发者网站上发现安全漏洞的消息。YGN为缅甸的网络安全研究机构,身份为白帽黑客。尽管他们仅进行“道德”攻击,以发现软件存在的弱点,但是他们在实际操作中对公共网站进行未经授权的弱点测试违反了美国的法律。
芝麻开门!开源也遭黑
开源软件的领军公司MySQL.com、拥有Linux.com和Linux.org的Linux基金会、Kernel.org以及开源的 OSCommerce软件都遭到了恶意软件的黑手。一名俄罗斯黑客甚至以3000美元的价格叫卖My.SQL域名的超级用户访问权限。
你能听到我的呼唤吗?
Verizon在2010年12月推出的4GLTE网络出现全国性的大面积中断。大面积的网络中断事件在去年不只出现这么一起。黑莓的数据服务在10月份出现了持续四天的全球范围内的中断。在黑莓正在全力让迎战苹果iPhone的挑战时候,出现这种情况想必也是黑莓不愿意看到的。RIM号称的“双冗余、双容量的核心交换机”出现故障,备份交换机也未能激活,这导致全球的黑莓用户要么出现了问题,要么没有服务。RIM公司在首席执行 MikeLazaridis被迫为此事件公开向用户道歉,并表示这次特殊的服务中断事件是公司历史上最糟糕的事件。
在11月份,北美和欧洲之间出现了短暂的互联网中断。这一事件明显与进行边界网关协议升级的Juniper路由器存在泄漏有关,这导致美国宽带运营商Level3等公司受到了影响。这一事件提醒我们,我们每天习以为常的互联网很容易出现故障。
或许根本就不在云上……
微软基于云的BPOS通信与协作套件在6月份出现了服务中断,此前亚马逊的EC2服务在2月份出现过访问问题并在8月份出现了短暂的中断。VMware的 CloudFoundry服务在测试期间就出现了服务中断事件。此外,我们不应当忘记诺斯罗普格鲁门公司。该公司已经同意向弗吉尼亚州的26个政府部门支付500万美元,以作为数据中心服务中断的赔偿金。
到底是俄罗斯黑客攻击了伊利诺斯州供水系统,还是承包商碰巧在俄罗斯旅行?
是俄罗斯境内的IP地址11月份对伊利诺斯州Curran-Gardner城区供水系统的SCADA系统发动攻击,远程遥控水泵频繁开关并最终导致烧毁的吗?伊利诺斯州反恐与情报中心(STIC)在11月份针对此事件提交了一份秘密报告,不过能源行业分析师JoeWeiss在当月就向《华盛顿邮报》的记者披露了报告的内容。在媒体纷纷报道这一事件的时候,美国FBI和国土安全部表示,他们已经调查了伊利诺斯州反恐与情报中心的报告,但是手中没有证据能够证明这些猜测。消息人士称,网络访问来自俄罗斯这一疑问目前与Curran-Gardner城区供水系统承包商碰巧在俄罗斯远程访问Curran- Gardner网络有关。不过,美国国土安全部表示,事件分析还在进行当中。
2011年数据泄露排行榜
在4月份发生的“索尼被黑”事件导致黑客从索尼在线PlayStation网络中窃取了7700万客户的信息,包括信用卡账号。这一黑客攻击事件导致索尼被迫关闭了该服务。索尼在5月份表示,攻击导致其损失了1.7亿美元。
Epsilon公司在4月份称,一名黑客窃取了其大约2%的用户名和客户地址,这些客户包括了Walgreens、百思买、花旗银行、摩根大通、Kroger连锁超市。
在Comodo、DigiNotar和GlobalSign等SSL数字认证提供商纷纷发生数据泄露问题之时,一名自称为“Comodohacker”的 21岁伊朗学生声称对其中的部分公司发动了攻击。攻击手法包括伪造谷歌证书,通过这种方法,攻击者可以窃取用户Gmail账户登录细节,同时用户的浏览器也不会发出用户所登录的网站并不是真正谷歌网站的警告。这一黑客攻击发生后,荷兰政府禁止使用DigiNotar证书,这最终导致荷兰Vasco安全系统旗下的DigiNotar破产倒闭。
美国政府的研究实验室一直以来都是黑客攻击的目标。4月份发生的网络攻击迫使位于田纳西州的橡树岭国家实验室关闭了其电子邮件和互联网访问。在这起网络攻击中,该实验室的573名雇员均收到了钓鱼邮件。由于在今年夏季收到了类似的鱼叉式网络钓鱼攻击,美国能源部下属的太平洋西北实验室也关闭了其电子邮件和互联网连接。
6月份,花旗集团承认有黑客侵入并有超过36万用户的信用卡数据被黑客盗取。这起黑客入侵事件为花旗集团造成了270万美元的损失。
由于德克萨斯州320万市民的社保账号和个人信息被泄露,该州审计官办公室解雇了其信息安全主管和创新与技术主管。
11月份,有大量Facebook用户的信息流中出现了色情和暴力图片,其中部分是伪造的贾斯汀·比伯(JustinBieber)和其他名人的不雅照。Facebook被迫清除了这些色情数据。
罗马尼亚有关部门逮捕了一名26岁的黑客,指控其非法侵入多个NASA服务器,导致美国宇航局的系统损失了50万美元。
谁在关注应用商店?
由于发现了恶意应用,谷歌在3月份被迫从其安卓市场上下架了大约50个安卓应用,这是一个令人震惊的消息。DroidDream恶意软件的影响远远超过了之前谷歌安卓市场遭到的任何攻击。
Anonymous黑客组织崛起
2011年是活跃的黑客组织Anonymous崛起的一年。该组织通常以全球的商业和政府机构为攻击目标,他们窃取数据后并对外公布,或是发动攻击迫使网站下线。由于试图跟踪Anonymous黑客组织,该组织在去年冬季对安全技术公司HBGaryFederal公司发动了攻击,并引起了外界高度重视。据信,Anonymous领导了对美国科氏工业集团、美国银行和北约的攻击,以及对纽交所的DDoS攻击。Anonymous在“占领华尔街”和旧金山湾区疾速交通网(BART)的抗议运动中非常活跃。
此外,外界认为Anonymous还参与了针对突尼斯、巴西、津巴布韦、土耳其、澳大利亚、马来西亚政府和佛罗里达商会的攻击行动。近期,Anonymous活跃分子将攻击目标转向了儿童色情网站和墨西哥贩毒集团,后者被指绑架了Anonymous成员。
Duqu病毒:我们并不期盼的东西
Duqu病毒在10月份被发现。匈牙利研究实验室CrySyS与全球顶级反病毒厂商分享了他们对这一新威胁的分析情况。
卡巴斯基实验室在苏丹和伊朗均发现了Duqu病毒感染案例。据信,Duqu病毒与震网蠕虫病毒有着密切的联系。Duqu为非常灵活的恶意软件传输架构,其可用于偷运数据。
木马主要模块由三个部分组成:将流氓库(DLL)注入至系统程序中的核心驱动;用于诸如写入注册表或执行文件等处理与命令与控制服务器和其它系统操作间通信的DLL;配置文件。
CrySyS最终公布了一个用于探测与删除病毒的工具包。微软也公布了一个专用工具,允许Windows用户手动修补系统,以应对Duqu病毒威胁。
Duqu病毒据信已经发起了多起针对机构的定向攻击。该病毒极可能在2012年大爆发。
十天大雨
在3月份,韩国境内的计算机受到了一个多层僵尸网络为期十天的攻击,这一事件证明僵尸网络是一种极难对付的威胁。然而正当人们开始全力应对时,攻击戛然而止,同时恶意软件突然给予僵尸计算机致命一击,破坏了其文件并让机器无法启动。迈克菲的安全专家称,攻击是由朝鲜发起的,整个攻击设置极为复杂——40个命令与控制服务器、能针对探测进行的代码、多重加密表,这些已经远远超过了发动有效DDoS攻击的需要。迈克菲的观点是:这起被称为“十天大雨”的攻击事件旨在侦察和评估韩国政府和军事承包商的应对速度,这对于日后发动毁灭性攻击是一个非常有价值的情报。