新冠疫情、俄乌战争、极端天气、首相遇刺……2022年已经过半,从经济政治到柴米油盐,我们似乎每天都在见证历史。现实世界云谲波诡,网络空间也不曾有半刻停歇。
6月30日,乌克兰国家特殊通信和信息保护局表示,2月份到6月底,乌克兰共遭受来自俄罗斯的网络攻击达796起。微软的分析报告则表明,俄乌战争前后,俄罗斯针对乌克兰的网络攻击超过 237 次,其中破坏性网络攻击接近40次,32%的攻击直接针对乌克兰国家、地区和城市层面的政府机构,超过40%的攻击针对关键基础设施机构。此外,微软还检测到俄罗斯对乌克兰以外42个国家和地区的128个组织机构发起过攻击。
当然,来自乌克兰及亲乌阵营的反击也并不少。乌克兰组建了“IT志愿军”,在战争之初就针对俄罗斯的大量机构和服务发起DDoS攻击等破坏性攻击。根据推特账号@CyberKnow发布的站队清单,截至6月13日,有47个黑客组织表示支持乌克兰,27个黑客组织表示支持俄罗斯。匿名者组织高调行动,先后入侵了俄罗斯的电视台、紧急情况部网站、国家核能公司;干扰俄罗斯军事通信、公开俄罗斯及白俄罗斯境内大量摄像头访问权、“缴获”100多台军队和政府用的打印机等等……
这是迄今为止网络攻防首次在国家间的较量中明目张胆地出现,也让更多人意识到,现代战争中“舆论战、网络战、信息战”无处不在。上半年,葡萄牙因网络攻击出现大面积断网、乌克兰政府和银行网站遭大规模DDoS攻击、意大利多个重要政府网站遭攻击瘫痪;我国也披露了几个长期潜伏对我国发起APT攻击的组织……无论是否受到俄乌战争的影响,2022年上半年的网络攻击、勒索病毒、数据泄露、数字诈骗大规模蔓延已经成为事实,人人都比过去更容易成为受害者。
勒索病毒自2017大规模爆发至今,一直呈现增多趋势。Verizon 的报告表明2020年11月1日到2021年10月31日这一年的时间里,勒索软件同比上涨13%,比过去五年的总涨幅都高。到2022年上半年,勒索狂潮更是越演愈烈。Lapsus、LockBit和Conti三个勒索组织“出尽风头”。
1月到4月,Lapsus把英伟达、三星到微软、育碧、Okta等几家巨头企业勒索了个遍,获取了以T为单位的源代码和其他高价值数据,还公开发起投票,让网友决定下一家被勒索的大冤种或者接下来要公布的数据。据不完全统计,截至4月,约有18家巨头遭到 Lapsus 的勒索。3月底,英国警方逮捕了与Lapsus有关的7名成员,年龄在 16 至 21 岁之间。4月后,这个组织开始沉默,但谁也不知道,后续会有怎样的发展。
已存在几年的 LockBit 每隔段时间就会更新换代,曾在2021年打败Hive和Conti,在受害者数量上取得领先。研究表明,LockBit 勒索软件在四分钟内就能加密10万份Windows文件,加密速度非常快。6月底,LockBit升级到了 3.0 版本,还一并推出了“漏洞赏金”计划,收漏洞也收各种机密信息。这意味着,LockBit 3.0的攻击可能充满更多未知,也更难应对。
作为勒索领域的“常青树”,Conti不仅规模化、组织化运作,提供勒索软件即服务(RaaS),还肆意涉足政治。4月开始,Conti 组织攻击并勒索哥斯达黎加,让财政、政府服务、医疗保健系统纷纷瘫痪,造成每天数千万美元的损失,导致哥斯达黎加不得不进入“国家紧急状态”以应对攻击,堪称史无前例。此外,Conti组织还在网络上公开支持俄乌战争,并发表针对哥斯达黎加以及美国政府的言论,同时还瞄准了秘鲁财务部和情报机构。
不论是Lapsus、LockBit还是Conti,这些行为无疑开启了勒索软件的新时代,勒索组织处事高调,还从获利目的踏入了政治领域,让勒索攻击逐渐升级成了勒索战争。未来,不论是企业还是国家实体,遇到勒索攻击可能会更棘手、更焦头烂额。
勒索病毒的肆虐伴随着大规模的数据泄露。从2月开始的英伟达与Lapsus争夺战中,就有1T的数据被 Lapsus 获取,包括超分辨率技术DLSS的头文件、即将发布的新产品信息、源代码以及几万名员工的电子邮件和密码。同样是2月,瑞士国际空港服务公司也因为勒索而泄露了1.6T的数据,把内部业务以及相关求职者的姓名电话等隐私信息泄露了个遍。此外,医疗、政企领域数据泄露事件也持续走高。3月底,南非几乎所有公民的征信信息泄露;到6月份连南非总统的个人信贷信息都被黑客公开,整个南非的国防/国安/情报等系统均存漏洞,几乎成了黑客乐园,国家事务与国家安全受到严重影响。6-7月,国内也曝光了几起疑似信息泄露事件,数量都以亿为单位,再次引发了大众对于隐私安全的探讨。
从比特币到 NFT, 加密货币领域在总体起起起起起的趋势中经历着暴涨暴跌,也在迅速扩张到 Web 3.0 的过程中用到存储、转换、管理、交易等不同的协议、工具与程序,因而暴露了缺陷。虚拟空间的烈火烹油往往也会吸引来诸多风险因素。
7月上旬,区块链审计和安全公司CertiK发布的 Web3.0 安全报告显示,2022年前六个月,Web3.0 项目因黑客攻击和漏洞利用损失了超过20亿美元,比2021年全年的损失总和还多。除了漏洞利用、诈骗和钓鱼,还有跨链桥等新型威胁。
2 月份,攻击者利用 Wormhole 桥中的一个漏洞获取了当时价值约 3.21 亿美元的 Wormhole 以太坊变体。3 月底,朝鲜 Lazarus 组织从 Ronin 区块链“桥”中偷走了当时价值 5.4 亿美元的以太坊和 USDC 稳定币。4 月,攻击者针对稳定币协议 Beanstalk 获取“闪电贷”,窃取了当时价值约 1.82 亿美元的加密货币。这些动辄以亿为单位的失窃几乎每月都有发生,更不用提百万、千万级别的加密货币失窃案了。现实世界的攻击手段在虚拟空间中似乎变本加厉,原本标榜安全的加密货币反而要承受更大安全风险。在发展之路上,Web 3.0 必将直面并解决这些安全问题,不是现在就是在不久的将来。
回归到现实世界,全球工控安全态势也在恶化。6月份,10家OT供应商被曝出56个“冰瀑漏洞”。随后,伪装成工控系统可编程逻辑控制器(PLC)、人机界面(HIM)及项目文档密码破解器的恶意软件(木马)在网上大量扩散。西门子、欧姆龙、富士、三菱、松下等大型工控厂商的热门系统都包含在内。全球工控系统面临着变成僵尸网络的风险。
面对各个领域只增不减的安全威胁,立法与监管也在不断从严细化。据统计,截至6月份,累计有32项国家政策法规、22项重点行业政策、28项地方政策规章、34项国家技术标准提及到网络安全与数据安全相关内容;其中《“十四五”数字经济发展规划》、《网络安全审查办法》、《APP收集使用个人信息最小必要评估规范》、《移动互联网应用程序信息服务管理规定》、《车联网网络安全和数据安全标准体系建设指南》以及7月初刚刚公布的《数据出境安全评估办法》等都从不同的角度对网络安全相关内容作出了直接、明确的规范与规定。
国家计算机网络应急技术处理协调中心发布的《2012年中国互联网网络安全报告》显示,当年我国尚未发现重大网络安全事件,不过,针对我国网络基础设施的探测、渗透和攻击事件时有发生;网站后门、网络钓鱼、移动互联网恶意程序呈大幅增长态势。尽管《2021年中国互联网网络安全报告》还未发布,我们也能预见,除了APT攻击、关键信息基础设施安全、个人信息保护外,网络产品和服务的供应链安全、远程协作安全问题以及数据安全与防护也将成为这份报告的重点内容。
网络的浪潮滚滚向前,我们都身处浪潮之中。未来似乎有迹可循又充满意外,我们很难简单地用好和坏去评判。不过无论如何变化,未来网络安全必将与每个人息息相关。安全从业者也将继续用自己发现问题、解决问题的本能与技能,去应对错综复杂的局势,就像过去几十年来几代人一路打怪升级、过关斩将一样。
GeekPwn 国际安全极客大赛积极推动各领域的网络安全发展、鼓励前沿技术的安全创新,以可视化舞台形式展现极客技术、促进提升大众安全意识。九年来,GeekPwn见证了数千名参赛选手的成长,负责任地披露了1000多个安全漏洞。2022年,GeekPwn将继续记录极客故事、见证极客力量。