近期全球重大网络攻击事件一览

目前，世界各地网络安全事件频发，针对政府机构、重点企业的网络攻击，诸如数据泄漏、勒索软件、黑客攻击等层出不穷，数据泄露、勒索软件、DDoS攻击、APT攻击、钓鱼攻击以及网页篡改等攻击类型和策略复杂多变，对企业及国家安全造成了严重威胁。全球网络安全风险仍在持续加深，网络安全态势不容乐观。下面，我们来盘点一下近期发生的重大网络攻击事件。以下内容根据网上公开资料整理。

台湾地区领导人办公室网站受网络攻击

环球网报道，路透社援引据知情人士消息称，台湾地区领导人办公室网站2日受到海外网络攻击，一度出现故障。该消息人士称，网站很快便恢复运作。台“总统府”晚间证实，傍晚官网一度遭受海外网络攻击，经处置于20分钟后恢复正常运作。

印度网络间谍攻击律所、律师及相关企业高管

路透社在6月下旬报道称，它发现的数千封电子邮件记录显示，印度网络间谍侵入了参与世界各地诉讼的各方和律师事务所。

文章引自路透社的调查报告，称路透社发现的数千封电子邮件记录揭示了印度网络雇佣军在全球范围内对参与诉讼的各方进行黑客攻击——这表明雇佣间谍如何成为诉讼当事人寻求优势的秘密武器。

至少75家美国和欧洲公司、30多家宣传和媒体团体以及众多西方企业高管成为这些黑客攻击的对象。印度黑客试图攻击的目标包括108家不同律师事务所的约1000名律师的收件箱。目标律师事务所遍及全球，包括总部位于美国的Baker McKenzie、Cooley和 Cleary Gottlieb。欧洲公司包括伦敦的Clyde & Co. 和总部位于日内瓦的仲裁专家 LALIVE，以及巴黎的Bredin Prat等等。

德国半导体巨头赛米控遭勒索软件攻击

8月初，德国电力电子制造商赛米控（Semikron）披露遭到勒索软件攻击，部分公司网络被加密。

根据赛米控集团本周一发布的声明，攻击者从其系统中窃取了数据，“这次攻击还导致了我们的IT系统和文件的部分加密。目前正在研究和调整整个网络的取证。”

根据德国联邦信息安全办公室发出的警报，勒索软件运营商正在勒索该公司，并威胁要泄露据称被盗的数据。

虽然赛米控没有透露攻击者的任何信息，但是根据流出的勒索软件声明，这是一次大规模数据勒索软件攻击，攻击者声称窃取了多达2TB的文件。

赛米控正在外部网络安全和取证专家的帮助下调查攻击者是否在攻击前从系统中窃取了所声称的数据。

西班牙国家研究委员会遭受勒索软件攻击

8月2日，西班牙科学与创新部发布了一篇公告，证实了其下属的西班牙国家研究委员会（CSIC）于7月16日和17日受到了勒索软件类型的网络攻击。

据悉，网络攻击于7月18日被检测到。在识别入侵后，网络安全运营中心（COCS）和国家密码中心（CCN）的协议立即被激活。CSIC遵循该协议并切断了对各个研究中心的网络访问，以控制攻击并防止其传播到未直接受到影响的研究中心。

CSIC没有说明其是否有系统被加密。CSIC表示对该事件的调查正在进行中，但负责团队没有发现攻击者窃取敏感或机密信息的迹象。

值得注意的是，尽管还未得出调查的最终报告，但专家指出，网络攻击的来源是俄罗斯。

西班牙科学与创新部表示这种攻击类似于其他研究中心遭受的攻击，如马克斯·普朗克天文研究所（MPIA）和美国国家航空航天局（NASA）。

网络攻击致使英国医疗救助热线“120”发生重大中断

安全内参8月9日消息，由于受到网络攻击影响，英国国家医疗服务体系（NHS）的111救助热线（注：包括常规求助和急救，部分类似我国的120热线）发生重大持续性中断。

这次网络攻击袭击了NHS的本地托管服务提供商Advanced。根据状态页面信息显示，111急救热线约85%的服务都在使用Advanced公司提供的Adastra客户患者管理解决方案。本次攻击令Adastra解决方案以及Advanced提供的其他几项服务同时陷入重大中断。

威尔士救护车服务中心表示，“当地用于将111救助热线患者转诊给急诊全科医师的计算机系统，近期出现了重大故障。”“持续中断已经造成严重冲击与深远影响，覆盖了英国的英格兰、威尔士、苏格兰及北爱尔兰四大地区。”

网络巨头思科遭数据勒索，2.8GB数据泄露

安全内参8月11日消息，思科公司昨日证实，“阎罗王”（音译，原名Yanluowang）勒索软件团伙在今年5月下旬入侵了其企业网络，攻击者还试图公布被盗文件以要挟索取赎金。

“阎罗王”恶意团队首先劫持了思科员工的个人谷歌账户（包含从浏览器同步的凭证），随后使用其中的被盗凭证获得了对思科网络的访问权限。

“阎罗王”团伙发出大量多因素身份验证（MFA）推送通知，用疲劳战术搞垮目标员工的心态，之后再伪装成受信任的支持组织发起一系列复杂的语音网络钓鱼攻击。

终于，恶意黑客成功诱导受害者接受了其中一条多因素验证通知，并结合目标用户上下文信息获得了对VPN的访问权限。

在思科企业网络上成功站稳脚跟后，“阎罗王”团伙开始横向移动至Citrix服务器和域控制器。

思科安全研究团队Talos表示，“对方进入了Citrix环境，入侵了一系列Citrix服务器，并最终获得了对域控制器的高权限访问。”

在获得域管理员身份后，他们使用域枚举工具（如ntdsutil、adfind以及secretsdump等）收集更多信息，将包括后门在内的多种有效载荷安装到受感染系统上。

最后，思科检测到了这一恶意活动，并将恶意黑客从环境中驱逐了出去。在随后几周内，“阎罗王”团伙仍多次尝试重夺访问权限。

亲俄黑客组织Killnet声称对美国防巨头洛马发起网络攻击

E安全8月15日消息 ，据莫斯科时报报道称，亲俄黑客组织Killnet声称对最近袭击航空航天和国防巨头洛克希德马丁公司的 DDoS 攻击负责。Killnet 组织还声称从洛克希德马丁公司的一名员工那里窃取了数据，并威胁要分享这些数据。

该组织自3月以来一直活跃，它对意大利、罗马尼亚、摩尔多瓦、捷克共和国、立陶宛、挪威和拉脱维亚等表示支持乌克兰的政府发起 DDoS 攻击。这家公司是“海马斯”（HIMARS）火箭炮的生产商。

该组织在 Telegram 上分享的一段视频中，该组织声称窃取了洛克希德马丁公司员工的个人信息，包括姓名、电子邮件地址、电话号码和图片。

微软破坏了针对北约国家的与俄罗斯有关的黑客

8月15 日消息， 微软公司今天宣布，该公司已采取行动破坏与高度持久的俄罗斯威胁行为者有关的黑客活动，该攻击者针对国防和情报咨询公司以及其他实体，主要是在北约国家。

自 2017 年以来，微软威胁情报中心 (MSTIC) 一直在跟踪俄罗斯国家赞助的组织 SEABORGIUM，其活动涉及网络钓鱼和凭据盗窃活动。该公司在一份咨询报告中表示，其入侵还与黑客和泄密活动有关，在这些活动中，被盗数据“被用来塑造目标国家的叙述”。

该公司表示，在 SEABORGIUM 入侵期间收集的信息可能支持传统的间谍目标和信息操作，而不是财务动机。

该公司表示，SEABORGIUM 通过 LinkedIn 帐户和电子邮件地址使用虚假的在线角色向个人和组织发送网络钓鱼附件。微软还证实，已经观察到 SEABORGIUM 从收件箱中窃取电子邮件和附件，设置从收件箱到演员控制的死投帐户的转发规则，在这些帐户中它可以长期访问收集的数据，并使用在他们和他们之间共享敏感信息的模拟帐户。

俄罗斯国家黑客继续使用 Infostealer 恶意软件攻击乌克兰实体

8月16 日消息，俄罗斯国家支持的行为者继续使用窃取信息的恶意软件攻击乌克兰实体，这是疑似间谍活动的一部分。

赛门铁克是 Broadcom 软件的一个部门，将恶意活动归因于追踪到Shuckworm的威胁行为者，也称为Actinium、Armageddon、Gamaredon、Primitive Bear 和 Trident Ursa。乌克兰计算机应急响应小组 (CERT-UA)证实了这一发现。

攻击者至少从 2013 年开始活跃，以明确挑出乌克兰的公共和私人实体而闻名。自 2022 年末俄罗斯军事入侵以来，袭击事件愈演愈烈。

阿根廷地方司法机构遭勒索软件攻击

安全内参8月16日消息，南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统，据爆料此次攻击是新近出现的Play勒索软件所为。

这次攻击发生在上周六（8月13日），迫使当地司法机构关闭了其IT系统及在线门户。服务中断期间，只能依靠传统纸面形式提交官方文件。

据阿根廷新闻媒体Cadena 3发布的“网络攻击应急计划”显示，科尔多瓦司法机构证实曾遭受勒索软件攻击，并已经与微软、思科、趋势科技及当地专家共同开展事件调查。

经谷歌翻译理解，报道中提到“2022年8月13日星期六，科尔多瓦法院的技术基础设施遭受网络攻击，IT服务受勒索软件影响而无法正常运转。”

阿根廷新闻媒体Clarín 也提到，有消息人士称，此次攻击影响到司法机构的IT系统及数据库，这是该国“历史上针对公共机构的最严重攻击活动”。

肯尼亚前总理竞选总统落选，称选举系统遭到渗透和黑客攻击

据独立选举和边界委员会（IEBC）8月16日推文公布的肯尼亚总统竞选结果，现任副总统鲁托（William Ruto）以微弱优势击败前总理奥廷加（Raila Odinga），当选新一任肯尼亚总统。但奥廷加方面指控本次大选违法，声称有情报显示选举系统遭到了渗透和黑客攻击。

“我们有情报和报告称，他们的系统被渗透和黑客攻击，一些独立选举和边界委员会（IEBC）官员实际上犯下了选举罪，他们应当被逮捕。”奥廷加的首席代理人谴责道。

黑客攻击英国供水商

8月16 日消息，Thames Water 是英国最大的水供应商和废水处理供应商，黑客声称已告知泰晤士水务公司其网络存在安全缺陷，并访问了SCADA 系统，此举将对 1500 万客户造成伤害，但同时声称他们的行为是负责任的，没有加密他们的数据，只从受感染的系统中泄露 5TB。

英供水公司随即发表声明，确认网络攻击导致 IT 中断，但是安全和配水系统仍在运行，因此 IT 系统的中断不会影响向其客户或其子公司的客户供应安全水。声明称，这要归功于我们一直以来对供水和质量的强大系统和控制，以及我们团队为应对这一事件并实施我们为预防措施而采取的额外措施的快速工作。

微软宣布破坏了俄罗斯APT组织针对北约的网络攻击活动

8月16日消息，微软周一宣布对与俄罗斯政府有关的 APT 组织进行另一次重大破坏，切断了对用于攻击前侦察、网络钓鱼和电子邮件收集的账户的访问。被微软认定为 SEABORGIUM 。

据悉， SEABORGIUM 至少自 2017 年以来一直活跃，其活动涉及持续的网络钓鱼和凭据盗窃活动，导致入侵和数据盗窃。APT 主要针对北约国家，但专家也观察到针对波罗的海、北欧和东欧地区（包括乌克兰）的活动。主要专注于国防和情报咨询公司、非政府组织 (NGO) 和政府间组织 (IGO)和高等教育。

微软表示，该组织在包括持续网络钓鱼、凭证盗窃和数据盗窃在内的活动中滥用 OneDrive 服务和伪造的 LinkedIn 账户。

乌克兰核电运营商宣称遭到网络攻击

8月17日消息，乌克兰核电运营商Energoatom于8月16日称其遭到了来自俄罗斯的“前所未有的”网络攻击，但表示其运营并未受到干扰。

Energoatom公司称，名为popular cyberarmy的俄罗斯黑客组织使用超过700万个互联网机器人程序攻击了该公司网站，攻击时间长达三个小时，但并未对Energoatom网站的工作产生太大影响。

爱沙尼亚挫败近年来最大网络攻击之一

8月18日消息，爱沙尼亚官员表示，该国周三成功挫败了针对其公共和私人机构的网络攻击。

俄罗斯黑客组织Killnet声称对此次袭击负责，而媒体称攻击很可能是为了报复此前爱沙尼亚东部城市拆除苏联战争纪念碑。今年6月，为报复立陶宛中断俄罗斯与其飞地加里宁格勒之间的运输，Killnet组织曾对立陶宛的公共和私营部门网站发动了网络攻击。

自2007年以来，爱沙尼亚的外交部、国防部、银行和媒体机构遭遇了一系列破坏性网络攻击，但爱沙尼亚也在长年的网络对抗中锻炼出了较强的网络防御能力。

攻击者利用假期袭击美国政府

8月19日消息，美国政府行业主要在2021年第一季度处理了针对地方，联邦和州政府网络的严重违规行为。

美国政府遥测数据显示，在 2021 年 3 月，通用后门检测（称为 Backdoor.Agent）中有一个小峰值，主要集中在田纳西州的孟菲斯。这一数据与加利福尼亚州Azusa警察局的袭击相吻合;但是，它揭示了有关下个月观察到的攻击的更多信息。

在2021年4月，至少有三起针对政府服务的著名袭击事件成为新闻，其中包括纽约大都会交通管理局（MTA），伊利诺伊州总检察长办公室和华盛顿特区警察局。在同一个月，美国政府还观察到了漏洞利用激增的开始，人工智能检测到的威胁在2021年剩余时间里占主导地位。

数据还显示，有一个关于政府行业目标的案例，主要发生在年初和年底，这个时期以休假、重组和减少安全人员而闻名。

商务合作 | 开白转载 | 媒体交流 | 理事服务 

请联系：15710013727（微信同号）

《信息安全与通信保密》杂志投稿

联系电话：13391516229（微信同号）

邮箱：[email protected]   

《通信技术》杂志投稿

联系电话：15198220331（微信同号）

邮箱：[email protected]

原文始发于微信公众号（信息安全与通信保密杂志社）：近期全球重大网络攻击事件一览