美国国际开发署遭受了密码喷洒攻击，导致微软损失了约 50 万美元的服务费

加密劫持是一种侵入设备窃取计算资源并挖掘加密货币的手段，是一种普遍存在、令人沮丧且代价高昂的问题。但此类攻击也可能引发网络安全问题，尤其是当它们发生在联邦政府身上时。

据 Scoop News Group 查阅的文件显示，去年秋天，美国国际开发署得知自己遭遇了一次加密劫持事件。微软通知该机构，位于测试环境中的全局管理员帐户已通过密码喷洒攻击遭到入侵——这是一种通过猜测一系列密码来暴力破解系统的攻击。 

然后，该账户被用来创建另一个账户，然后这两个账户都被部署到美国国际开发署的 Azure 资源中，开始进行加密货币挖掘。结果，该机构的云服务费用高达约 50 万美元。

利用政府资源侵入某个机构的资源来挖掘加密货币听起来可能很奇怪，但确实会发生。 

据报道，2018 年，针对用于提高网站可访问性的网络插件的加密挖掘攻击影响了英国、美国和爱尔兰的政府网站。 

据一位知情人士透露，2019 年，另一个联邦机构也受到了类似攻击的影响。当时，黑客在公共 Github 页面上找到了该机构的 AWS 令牌，并利用这些令牌访问该机构的云资源。该人士表示，这次入侵没有成功。 

2022 年，一份联合网络安全咨询报告披露，伊朗支持的高级持续性威胁活动包括在联邦民事行政部门网络上部署加密挖掘软件等邪恶活动。

针对最近的美国国际开发署事件，系统管理员呼吁制定严格的密码政策，并对所有账户强制实施多因素身份验证。系统管理员还删除了与攻击相关的批处理文件，并删除了用于攻击的账户。FedScoop 查看的一份文件指出，该机构已开始持续监控来自云系统的安全警报，这是该机构以前没有做过的。该文件称，此次事件表明需要采取严格的安全措施。 

美国国际开发署在《联邦信息技术采购改革法案》中 连续获得“A”级评价，该法案衡量了各机构在信息技术和软件现代化方面的效率。

Scoop News Group 采访了几家网络安全公司的专家——他们都泛泛地谈论了加密劫持以及如何使用测试账户进行网络攻击等话题，而不是谈论美国国际开发署事件的具体细节。 

这些网络公司都没有听说过政府网站上发生过类似的攻击，尽管加密劫持在私营部门很常见，一些专家表示，它们也可能影响政府。网络安全和基础设施安全局将 Scoop 转交给了美国国际开发署，但后者没有回应置评请求。微软拒绝置评。 

Chainalysis 的咨询解决方案架构师 Hamish Eisler 大致解释了加密劫持的工作原理。“我要入侵某人的云帐户，然后开始在上面消耗他们的资源。如果其他人正在支付账单，而我入侵了他们的帐户并突然开始在上面消耗大量 CPU 周期，那么他们就是在为我的努力买单。” 

Barracuda 产品营销总监 Olesia Klevchuk 表示，一般来说，头衔中带有信息技术职位的个人是攻击者的诱人切入点。她说，从特权账户创建辅助账户也是一种策略，因为这些辅助账户可能没有得到很好的监控。 

趋势科技威胁情报副总裁乔恩·克莱 (Jon Clay) 表示，一般来说，监控加密劫持攻击可能很困难。

“我们经常看到的一件事是，他们进来后就放弃他们的矿机，然后抹去他们之前所做的一切痕迹。所以这非常困难，”他说。“他们还清除并关闭了这些机器上运行的许多安全产品。”

采取这些手段的攻击者往往是个人，或以挖掘加密货币为商业模式的犯罪团伙。Proofpoint 威胁研究主管丹尼尔·布莱克福德 (Daniel Blackford) 表示，民族国家（尤其是与朝鲜政府有关的团体）也部署了加密货币劫持。 

不过，专家表示，加密劫持行为主要是为了赚钱，通常不会针对特定目标。艾斯勒指出，加密劫持可能有点像“打地鼠”游戏，可能会让目标损失数千万美元。 

多位消息人士称，多因素身份验证有助于降低此类攻击的可能性。微软去年 8 月为 Azure 登录引入了强制性 MFA 身份验证，该身份验证原定于 2024 年开始分阶段推出。 

美国国际开发署事件发生的背景是，人们对政府机构部署 MFA 的担忧持续不断，而微软的网络安全和联邦云计算 方法也受到批评。

原文始发于微信公众号（Ots安全）：美国国际开发署遭受了密码喷洒攻击，导致微软损失了约 50 万美元的服务费