信息窃取者正在破坏美国关键安全系统：军方甚至 FBI 都受到攻击

这篇文章原本不打算发的，就是网络安全公司宣传他们的产品，但是 hackread居然也跟进发了，那我也发下吧。

多年来，美国军方及其防务承包商一直被视为安全的“金标准”，拥有数十亿美元的预算、机密情报网络以及全球最先进的网络安全措施。

然而，来自Hudson Rock的全球信息窃取恶意软件数据揭示了一个令人不安的现实：

• 包括洛克希德·马丁、波音和霍尼韦尔在内的大型防务承包商员工已感染信息窃取恶意软件。

• 美国陆军和海军人员的登录信息被盗，暴露了VPN访问、电子邮件系统和机密采购门户。

• 甚至联邦调查局（FBI）和政府问责办公室（GAO）也遭遇了恶意软件感染，这对调查和网络安全人员构成了威胁。

每一位受感染员工都是一个真实的人。他们可能是从事军事人工智能系统开发的工程师，也可能是管理机密合同的采购官员，或者拥有关键任务情报访问权限的防务分析师。这些员工在某个时刻下载了恶意软件到工作设备上。这不仅暴露了他们的凭证，还可能泄露整个数字足迹，包括浏览历史、自动填充数据、内部文件和敏感应用程序的会话Cookie。

如果这些组织——作为美国国家安全的支柱——都遭到恶意软件感染，那么这将如何影响它们抵御更复杂攻击的能力呢？

信息窃取者：将员工变成内部威胁的恶意软件

在过去几年中，Hudson Rock识别出超过3000万台计算机受到信息窃取者影响，其中五分之一受感染者电脑上存储有企业凭证。令人震惊的是，网络犯罪分子只需花费10美元，就能购买在机密国防和军事领域工作的员工的数据。

与传统黑客不同，信息窃取者并不是通过强行进入网络，而是等待员工犯错——下载游戏模组、盗版软件或感染PDF，然后提取所有数据：

✅ 军事及承包商网络的VPN凭证
✅ 多因素认证会话Cookie（用于增强安全性的临时凭证）
✅ 政府及防务机构电子邮件登录信息
✅ 内部开发工具（如GitHub、Jira、Confluence）
✅ 存储文档、浏览器自动填充数据及历史记录

以下是一个真实的网络犯罪市场示例，这里数百万台受到信息窃取者影响计算机的数据以低价出售。该市场使得网络犯罪分子能够轻松搜索受感染计算机上的特定凭证，例如_army.mil_：

除了凭证外，信息窃取日志通常还附带一系列活动会话Cookie，使黑客能够劫持实时会话并绕过双重身份验证（2FA/MFA）

美国主要防务承包商的信息窃取者感染情况

现在，让我们看看一些实际案例，其中信息窃取者已经渗透到美国最敏感组织中。这些公司设计着地球上最先进的军事技术——从F-35战斗机到核潜艇。然而，Hudson Rock的数据显示，这些组织里的高级员工已经感染了信息窃取恶意软件，这可能导致机密项目、内部通信和敏感蓝图被泄露，从而严重威胁国家安全与企业运营。

案例研究：霍尼韦尔被入侵——供应链噩梦

• 398名霍尼韦尔员工多年来受到信息窃取者影响，泄露了对身份验证门户和开发工具（Bitbucket, SharePoint, SAP）的访问权限。

• 472个第三方企业凭证被曝光，包括微软、思科和SAP集成。

• 如果敌手想要渗透一家防务承包商的供应链，这将是他们获取成功的重要途径。 对于那些不常阅读我们研究的人，我们曾报道过许多敏感泄露事件中的具体攻击向量，这些事件均始于信息窃取者凭证——空客、AT&T、Change Healthcare、施耐德电气等多个案例。

以下是一名霍尼韦尔员工在2024年9月受到感染后的真实示例。他根据LinkedIn资料显示，在霍尼韦尔工作了30年，并积累了数十个企业凭证：

这位受感染员工是数百名受到影响的霍尼韦尔员工之一，他拥有56个与霍尼韦尔基础设施相关的重要企业凭证，以及45个额外第三方凭证。

以下是该受感染员工具备的一些URL凭证列表（完整列表可见此处(https://pastebin.com/sPQvQF6S)）：

与霍尼韦尔基础设施相关的重要URL凭证 –

• “http://intranet.honeywell.com” – 霍尼韦尔内部网，用于内部沟通、公司资源及员工服务。
• “http://access.dev1.honeywell.com” – 可能为霍尼韦尔员工使用的一种内部访问或登录门户，用于测试或开发（由“dev1”指示）。
• “http://globalapps.honeywell.com” – 可能为全球应用门户，为霍尼韦尔全球运营提供各种内部应用访问。
• “https://adfs1.honeywell.com/adfs/ls” – 活动目录联合服务（ADFS）登录系统。这对于霍尼韦尔单点登录基础设施至关重要，如果被攻破，将提供对多个内部服务的访问权限。
• “https://itim.honeywell.com/idm/controller” – 身份与访问管理（IAM）系统，用于管理用户角色、权限和账户。

在检查这台计算机时，Hudson Rock 的 AI 分析了下载记录和浏览历史，以确定他们下载了哪些文件导致其受到感染：(https://cavalier.hudsonrock.com/docs)

但需要明确的是，这不仅仅是一个霍尼韦尔的问题——这是一个影响到每一家与之相关公司的系统性问题，包括安杜里尔公司、西部数据公司以及帕兰提尔公司等。即使那些没有受污染雇员公司的合作伙伴也仍然面临风险，因为它们的数据也可能泄漏出去。

美国军事与政府机构的信息窃取者感染情况

案例研究：美国海军被入侵——通往网络战争的大门

• 30名海军人员 的凭据、浏览历史和Cookies被盗。

• 泄露出的OWA, Confluence, Citrix 和 FTP身份验证数据表明敌手可以在军事系统内横向移动。

• 256个第三方凭据也被泄露，包括USALearning.gov等军事培训平台，以及McAfee安全集成。

如果敌对国家获得这些凭据，他们需要多久才能深入突破海军的重要基础设施呢？

严酷现实：这只是开始

现实很简单：

• 如果信息窃取者可以突破洛克希德·马丁、波音、美军陆军以及FBI，他们就能突破任何人。

• 泄漏出的凭据 = 供应链攻击、内部威胁以及国家安全漏洞。

• 即使保持良好网络环境且没有遭到破坏，如安杜里尔这样的公司，也依然面临风险，因为它们合作伙伴及供应商已经遭遇攻击。

目前已经有解决方案可以在信息窃取者感染发生后对其进行监控，但为了首先防止感染，组织必须坚持强有力的网络安全措施。

结论

关于信息窃取者情报，不仅仅是检测谁受到影响，更重要的是理解整个被入侵凭据及第三方风险网路。如果信息窃取者能够渗透军事工业复合体，那么还有什么已经潜伏其中？