2023年全球十大网络攻击事件盘点

1.GE遭黑客攻击大量军事机密泄漏

---

11月，GE（通用电气）近日疑遭黑客攻击，包含大量敏感军事机密信息数据被黑客在论坛中出售，数据包括大量与DARPA相关的军事信息、文件、SQL文件、文档等。作为泄露的证据，黑客还公布了GE被盗数据的屏幕截图，数据样本包括GE Aviations的一个SQL数据库（包含有关军事项目的信息）、军事文件、航空系统技术描述和指南以及维护报告等数据。GE是一家美国跨国公司，业务涉及电力、可再生能源和航空航天行业，同时也是美国国防部的重要承包商。早些时候，一个名为IntelBroker的黑客在黑客论坛上以500美元的价格出售通用电气“软件开发管道”的访问权限。在没能出售所谓的访问权限后，该黑客再次发帖称，他们开始出售GE的网络访问权限和被盗数据。

2.美国核研究实验室遭黑客入侵

---

11月，美国爱达荷国家实验室(INL)确认遭受网络攻击，此前黑客组织“SiegedSec”在网上泄露了INL的人力资源数据。黑客组织SiegedSec宣布已获得INL数据的访问权限，其中包括“数十万”员工、系统用户和公民的详细信息。正如之前针对北约组织和Atlassian的攻击一样，SiegedSec直接在黑客论坛和该组织运营的Telegram频道上公开泄露被盗数据，而不是与受害者谈判或索要赎金。SiegedSec在Telegram上公布了INL内部用于文档访问和公告创建的工具屏幕截图，作为攻击得手的证据。SiegedSec还展示了在INL系统上发布的自定义公告，以便让INL的每个人都知道此次网络攻击。

3.丹麦关键基础设施遭遇最大规模网络攻击

---

5 月，丹麦关键基础设施遭遇了有史以来最大规模的网络攻击，威胁攻击者利用丹麦关键基础设施运营商使用的 Zyxel 防火墙中的零日漏洞，成功破坏了 22 家能源基础设施公司（11 家公司立即遭到网络威胁）。SektorCERT 在报告指出，威胁攻击者利用丹麦关键基础设施运营商使用的 Zyxel 防火墙中的零日漏洞，成功破坏了 22 家能源基础设施公司（11 家公司立即遭到网络威胁）。在 SektorCERT 发布的报告中，专家们指出威胁攻击者能够同时攻击多家公司，避免受影响的基础设施与同行共享攻击信息，这种“协调能力”需要计划和资源，再加上威胁行动者能够在大规模活动中利用零日漏洞，推测威胁攻击者可能是一个 APT 组织。此外，安全专家还推测攻击活动背后的“黑手”可能是由多个威胁组织组成，其中至少有一个可以归咎于与俄罗斯有关联的”沙虫“组织。

4、ChatGPT遭黑客组织DDoS攻击

---

11月，“王炸不断”的OpenAI开发者大会闭幕不久，万众瞩目，遥遥领先的ChatGPT却遭黑客组织DDoS攻击，多次发生严重的业务中断，给依赖该公共大语言模型的开发者、创业公司、企业和用户敲响了警钟。一个名为“苏丹匿名者”的黑客组织声称对这些攻击负责，攻击原因是OpenAI“对以色列的袒护以及反对巴勒斯坦”。

数以千万计的ChatGPT用户发现无法正常访问ChatGPT服务（包括网站、APP和API），会看到“似乎出了点问题”、“生成回应时出错”或者“网络故障”的错误提示。OpenAI官方确认了服务中断的原因是遭遇DDoS攻击，导致其API和ChatGPT服务在过去24小时内遭受了“周期性中断”。

5、德国爆发大规模勒索软件攻击

---

11月，德国西部发生大规模勒索软件攻击，多个城市和地区的地方政府服务陷入瘫痪。德国地方市政服务提供商Südwestfalen IT公司的服务器被未知的黑客团伙加密。为阻止恶意软件传播，该公司限制了70多个城市对基础设施的访问权限。受限城市主要位于德国西部的北莱茵-威斯特法伦州。Südwestfalen IT的官方网站已经无法访问。该公司在临时网站上发表声明称，这次攻击令地方政府服务“严重受限”。德国城市锡根大部分IT系统停止运行，市政府被迫取消与市民对话活动。韦默尔斯基兴和布尔沙伊德市政府的网站也无法访问。德国网络安全专家表示，这次攻击的时机尤为敏感，因为地方政府通常在月底进行财务交易。专家表示，工资支付、社会援助支付和护理基金转账等可能会受到攻击的阻碍。德国联邦信息安全局（BSI）表示，他们已经了解到这次安全事件，并正在联系受影响的服务提供商。他们正在努力评定损害程度，厘清哪些服务受到影响，确定谁对此次攻击负有责任。他们预计“调查过程会十分复杂而漫长”。

6、勒索组织Cl0p利用MOVEit发起漏洞攻击

---

9月，根据Emsisoft发布的最新统计，勒索组织Cl0p利用MOVEit漏洞攻击的组织数量已超过2000个，受影响的人数超过6000万。该数据与IT市场研究公司KonBriefingResearch9月26日最新公布的数据（2040家受害组织）基本一致。Emsisoft的研究人员表示，受害组织绝大多数位于美国。受影响最严重的行业是金融、专业服务与教育，分别占数据泄露事件的13.8%和51.1%。过去几个月，MOVEit漏洞的受害者清单（链接在文末）持续快速增长，而勒索组织Cl0p也放弃使用勒索软件，转而只获取敏感数据，并威胁公司除非缴纳赎金，否则将其数据泄露到网上。值得注意的是，这是勒索组织Cl0p三年内第三次利用web应用程序中的零日漏洞进行勒索。三次的目标都是知名软件公司的“安全产品”。CI0p的“大获成功”势必将吸引其他黑客组织的效仿，这进一步加剧了应用安全和软件供应链安全面临的严峻威胁态势。

7、美国金融机构遭遇史上最大规模

DDoS攻击

---

9月，Akamai挫败了针对一家美国银行的大规模DDoS（分布式拒绝服务）攻击，攻击峰值高达每秒5510万个数据包。这也是Akamai挫败的第三大规模的DDoS攻击。Akamai声称，这次攻击是迄今为止针对美国金融公司的最大规模攻击。2月，Cloudflare声称阻止了有记录以来最大规模的单一DDoS事件，峰值每秒超过7100万个请求。根据Akamai的公告，该攻击发生在9月5日，虽然攻击只持续了不到两分钟，但由于犯罪分子使用ACK、PUSH、RESET和SYN攻击向量，攻击流量达到了每秒633.7GB。攻击者的主要目标是该银行的网页登陆页面，试图扰乱其网上银行业务，但“没有造成附带损害或服务质量下降。

8、俄罗斯“硅谷”遭受网络攻击

---

6月，乌克兰黑客侵入了俄罗斯斯科尔科沃基金会（Skolkovo Foundation）的系统。该基金会是莫斯科市郊高科技商业区的管理机构，由俄罗斯前总统梅德韦杰夫创立和负责，旨在对标美国硅谷。该基金会发布声明称，黑客成功获得了该组织的某些信息系统的有限访问权限，包括物理服务器上的文件托管服务。一群乌克兰黑客活动分子表示对发生在的这次攻击负责，并在Telegram上分享了他们成功访问系统的截屏。他们还给斯科尔科沃基金会留下信息：“你们的基础设施已经被摧毁。我们拥有所有文件和项目源代码。敬请关注。”与俄乌战争期间双方黑客进行的众多攻击类似，这一事件的象征意义可能大于实际影响。这次攻击是俄乌之间更广泛的虚拟冲突的一部分。乌克兰黑客活动分子有的隶属信息技术部队，主要对俄罗斯网站发动分布式拒绝服务（DDoS）攻击，有的独立采取行动。

9、俄罗斯黑客军团重创以色列

卫星与工控系统

---

10月， 与俄罗斯有联系的黑客组织“匿名苏丹”声称对以色列工业控制系统（ICS）发动了多次攻击，试图破坏关键基础设施。以色列全球导航卫星系统(GNSS)、楼宇自动化和控制网络(BACNet)以及Modbus工业控制系统是该黑客组织的最新目标。“匿名苏丹”接着解释了拆除每个系统将如何影响以色列的基础设施。黑客称通过针对国家的GNSS，全国各地的各种GPS系统将离线，这可能会影响工业系统、关键基础设施和其他机器。在最新声明的同时，“匿名苏丹”发布了一个页面，上面写满了攻击目标的IP地址，这些地址大多是犹太国家网络上托管的以色列地址；另一张是描述BACNet服务器列表的图片。“匿名苏丹”也以追求更温和的目标而闻名，它声称对推翻以色列主要新闻媒体《耶路撒冷邮报》负责。还将目标对准了以色列的铁穹，这是该国的全天候移动防空系统，并表示它攻击了以色列的Alert应用程序。

10、亲俄黑客组织Killnet对美国防巨头洛马

发起网络攻击

---

8月，亲俄黑客组织Killnet声称对袭击航空航天和国防巨头洛克希德马丁公司的 DDoS 攻击负责，还声称从洛克希德马丁公司的一名员工那里窃取了数据。据莫斯科时报报道称，亲俄黑客组织Killnet声称对最近袭击航空航天和国防巨头洛克希德马丁公司的 DDoS 攻击负责。Killnet 组织还声称从洛克希德马丁公司的一名员工那里窃取了数据，并威胁要分享这些数据。该组织自 3 月以来一直活跃，它对意大利、罗马尼亚、摩尔多瓦、捷克共和国、立陶宛、挪威和拉脱维亚等表示支持乌克兰的政府发起 DDoS 攻击。这家公司是“海马斯”（HIMARS）火箭炮的生产商。该组织在 Telegram 上分享的一段视频中，该组织声称窃取了洛克希德马丁公司员工的个人信息，包括姓名、电子邮件地址、电话号码和图片。该小组还分享了两个包含俄语消息的电子表格。

原文始发于微信公众号（信息安全与通信保密杂志社）：2023年全球十大网络攻击事件盘点