这家名为Ph1ns的黑客组织声称,他们已经获得对虚拟机管理器、网络附加存储(NAS)和路由器等关键基础设施的访问权限,甚至获取了域管理员权限,从而能够无限制地访问员工的计算机。此外,该组织还夸耀称加密了域控制器,有效地封锁了授权用户的访问。
图 Ph1ns黑客组织在菲律宾科技部网站上留下的篡改信息
服务器攻击事件频发
菲律宾信息和通信技术部(DICT)的消息人士透露,黑客删除了25TB数据,造成一片混乱。然而,这些入侵者不仅仅删除了数据。Ph1ns组织在受到威胁的服务器上留下了这样的信息:“这个网站被菲律宾人民夺取了!”
菲律宾信息和通信技术部相关负责人表示:“我们报警系统在夜间10点左右检测到了对科技部的攻击。我们认识到需要改进国家网络安全运营中心(NSOC)的自动响应机制。目前,我们正在与科技部合作,尽快恢复他们的服务,并提高我们的检测和事件响应能力。我们还已经通知了我们在国家调查局(NBI)和安全机构的联系人,告知对方一个本地组织声称对此次攻击负责。”
今年以来,以国家级机构服务器为目标的网络攻击,呈现愈演愈烈态势。3月份,据外媒报道,乌克兰国防部情报总局(GUR)近日声称成功侵入了俄罗斯国防部(Minoborony)的服务器,并窃取了重要敏感文件。其中包括:俄罗斯国防部用于数据保护和加密的软件;包括命令、报告、指令等在内的2000多个单位的一系列机密文件;获取了Minoborony系统完整架构及其相互联系的信息;揭露了使用“Bureaucracy”电子文档管理系统的Minoborony高层领导、副手、助理和专家的身份信息,等等。
而在3月底,OpenAI、优步和亚马逊所使用的AI计算框架Ray发现了一个已被报告的漏洞,该漏洞遭到持续攻击,导致全球数千台存储AI工作负载和网络凭证的服务器被黑。据了解,这些攻击已经持续了7个月,造成了极为广泛的影响。
再早一些时间,媒体曾报道美国国防部服务器没设密码,导致3TB敏感数据泄露。其原因是暴露的服务器由于配置错误没有密码,任何人都可通过互联网访问。暴露数据包含过去几年的大量内部军事电子邮件,其中一些包含敏感的人员信息。
网络空间已成第二战线,
服务器安全不容有失
当前,世界百年未有之大变局正在加速演进,和世纪疫情交织叠加,国际环境日趋复杂,网络霸权主义对世界和平与发展构成威胁,网络空间安全面临的形势持续复杂多变。数字化空间的对抗已成为大国交锋的重要战场,而承载着主要数据和业务的服务器,很容易成为攻击组织的首要目标。
奇安信云安全资深专家李栋表示,目前随着云原生技术的发展,IT业务架构发生了巨大的变化,大量新型基础设施被引入,导致我们的防护对象从原来的服务器、网站、端口,扩展到容器、镜像、微服务、K8S、API等,攻击面被成倍放大,如果安全不能伴随着业务同步进化,就很可能导致严重安全问题,比如之前就发生过因API配置不当,导致数亿用户信息泄露的严重安全事件。
除此之外,奇安信还发现,黑客的攻击技术也在快速提升,尤其现在AI技术的快速发展,让漏洞挖掘和恶意代码生成的速度大幅度提升,“信息安全的最后一道防线”已经岌岌可危。例如,入侵菲律宾科技部服务器黑客的政治目的非常明确,这也是近几年黑客攻击的一个重要特征,在国际形式紧张的背景下,网络已经成为打击对手的第二条战线。
在本次攻击事件中,虽然受害方没有公布黑客的具体入侵方式,但是“侦察-入侵-获取权限-驻留-横向移动”的攻击链已经非常明确,黑客在获取某服务器的权限后,进一步横向移动,获得虚拟化设备、域控等集权设备的管理权限,让受害方安全彻底失控。这也证明了客户除了单点的服务器安全缺乏防护外,对东西向流量也缺乏必要的管控。因此奇安信建议,除了需要加强服务器单点的防护能力(防暴力破解、防漏洞利用、防恶意代码等),对东西向流量也需要做到细粒度的切分和管控,同时也应该加强安全运营和应急影响能力,让安全事件发生后,把影响控制在最小范围内。
奇安信椒图服务器安全管理系统可以细粒度梳理服务器的关键资产,如账户、端口、进程、web等,及时实时发现资产的漏洞、错误配置等安全风险,提前修复、缩小攻击面,同时结合系统加固、In-app waf、RASP、防暴力破解等运行阶段的防护能力,能有效抵御入侵服务器的黑客行为。椒图的微隔离功能可以实现进程级的进出网双向访问控制,对东西向流量进行精细化切分,快速隔离失陷服务器,阻断黑客横向移动,结合服务器端全量日志采集和智能分析引擎,可以自动化绘制黑客攻击路径,实现精准溯源。
原文始发于微信公众号(奇安信集团):服务器频遭攻击,未来或成大国博弈新战场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论