-
東芝歐洲業(yè)務遭入侵,專業(yè)人士:黑客可能已在東芝建立基礎據(jù)點
最后更新: 2021-05-15 08:59:28【文/觀察者網(wǎng) 呂棟 編輯/周遠方】美國東海岸輸油“大動脈”——運營商Colonial Pipeline剛交完贖金恢復運營,該國東南部油品短缺情況尚未緩解,肇事黑客組織“黑暗面”(DarkSide)又盯上了日本企業(yè)。
當?shù)貢r間5月14日,據(jù)日本放送協(xié)會(NHK)報道,被美國聯(lián)邦調(diào)查局認定與Colonial Pipeline網(wǎng)絡攻擊事件有關(guān)的黑客組織“黑暗面”宣稱入侵東芝法國子公司,并竊取了機密信息,該公司正對此事進行調(diào)查。
網(wǎng)絡安全專業(yè)人士宋國龍對觀察者網(wǎng)分析了“黑暗面”兩次行動的特點,并表示,按照常規(guī)APT攻擊的思路,黑客在成功攻擊法國東芝分公司之后,已建立基礎據(jù)點,接下來黑客會在保障隱蔽的前提下實施突破外網(wǎng)后的內(nèi)網(wǎng)攻擊。
NHK報道截圖
日本信息安全公司“三井物產(chǎn)安全方向”(Mitsui Bussan Secure Directions)稱,日本時間周五凌晨1點剛過,位于俄羅斯(Russia-based)的“黑暗面”在暗網(wǎng)(dark web)上建立了一個網(wǎng)站,并在上面發(fā)布聲明稱,該組織入侵了東芝法國公司一處設施的系統(tǒng),竊取了超過740G的數(shù)據(jù),其中包括有關(guān)東芝管理層和新業(yè)務的資料以及個人信息。
周五,過去幾年一直深陷一系列丑聞的東芝表示,正在成立一個戰(zhàn)略審查委員會,以考慮如何提高公司價值,并已任命瑞銀(UBS)為其財務顧問。財報顯示,在截至2021年3月的財年中,東芝實現(xiàn)營業(yè)利潤1044億日元(約合人民幣61.4億元),較上年下降20%,主要因為新冠疫情大流行損害了其盈利能力。該公司預計,在截至2022年3月的財年收入為3.25萬億日元,營業(yè)利潤為1700億日元(約合人民幣100億元),較2020財年增長62.8%。
路透社報道稱,雖然東芝方面表示只有少量工作數(shù)據(jù)丟失,但遭遇勒索軟件攻擊令該公司公布的戰(zhàn)略評估和樂觀的利潤預測黯然失色(overshadowing)。該報道稱,“黑暗面”面向公眾的網(wǎng)站已經(jīng)無法訪問,安全研究人員表示,該組織的多個網(wǎng)站已經(jīng)停止訪問。
路透社報道截圖
一周前(當?shù)貢r間5月7日),美國最大成品油輸送管道的運營商Colonial Pipeline遭黑客勒索軟件攻擊,被迫全面暫停運營,該管道為東海岸供應了45%的汽油、柴油、航空燃料,還為軍方供油。
5月10日,襲擊者“黑暗面”在其“暗網(wǎng)”的主頁發(fā)布聲明,間接回應造成Colonial Pipeline公司暫停運營三天的網(wǎng)絡襲擊,強調(diào)“只想要錢”,“不想給社會找麻煩”,還撇清關(guān)系,自稱“沒有政治目的”。
同日,美國聯(lián)邦調(diào)查局(FBI)也向媒體公布了襲擊事件的調(diào)查結(jié)論,指控“黑暗面”組織對ColonialPipeline發(fā)動了勒索軟件攻擊。FBI表示,正與企業(yè)及其他政府部門合作,繼續(xù)開展調(diào)查。
經(jīng)歷一周的艱難“周旋”,終于在當?shù)貢r間5月13日下午5點左右,Colonial Pipeline公司宣布恢復運營。至于為何能恢復運營,彭博社5月13日報道援引知情人士的話稱,其實Colonial公司早在勒索攻擊發(fā)生的數(shù)小時內(nèi),就已向黑客支付了500萬美元贖金以恢復系統(tǒng)。
同一天,美國總統(tǒng)拜登在白宮羅斯福廳發(fā)表講話,他直指此次對美國輸油管道運營商發(fā)起網(wǎng)絡攻擊的黑客來自俄羅斯境內(nèi),但他也強調(diào),不認為普京和其所領導的俄羅斯政府是此次事件的幕后黑手,但俄政府有責任阻止發(fā)生在其境內(nèi)的這類網(wǎng)攻行動。
專業(yè)人士:黑客可能已在東芝建立基礎據(jù)點
從事網(wǎng)絡安全工作多年的EKEdu創(chuàng)始人(上海享聚群分信息技術(shù)有限公司)宋國龍從專業(yè)角度向觀察者網(wǎng)分析了兩次攻擊的異同點。
宋國龍分析,美國的輸油管道和法國東芝分公司遭受網(wǎng)絡攻擊這兩件事情,從攻擊方式上來講,都屬于高級可持續(xù)性攻擊,業(yè)內(nèi)通常簡稱為APT攻擊,是Advanced Persistent Threat在國內(nèi)的專業(yè)術(shù)語。跟常規(guī)APT攻擊以悄無聲息的方式竊取信息所不同的是:兩次攻擊均帶有勒索性質(zhì)。即:DarkSide采用APT攻擊方式將勒索病毒植入被攻擊方的系統(tǒng)將數(shù)據(jù)加密,并以此勒索解密數(shù)據(jù)的費用。
輸油管道主要針對操作系統(tǒng)層面的攻擊,導致物聯(lián)網(wǎng)系統(tǒng)的基礎運行時環(huán)境被破壞。而東芝公司的遭受的攻擊可以歸屬為旁路攻擊,即:攻擊者難以突破東芝總部的網(wǎng)絡防御,進而轉(zhuǎn)向防守較為薄弱的分公司。從事后分析的角度看,東芝總部跟法國東芝分公司是存在管理關(guān)系的獨立組織;因此可以確認法國東芝分公司的數(shù)據(jù)被竊取,但不能確定黑客竊取了東芝企業(yè)的核心機密。
雖有媒體稱黑客竊取東芝公司的核心數(shù)據(jù),但是實際上,并沒有在黑產(chǎn)數(shù)據(jù)交易類的WebSite上捕捉到帶有明顯證據(jù)的數(shù)據(jù)樣本,東芝也并未承認或認可此次數(shù)據(jù)泄露事件。
之前國內(nèi)某家銀行機構(gòu),發(fā)生過類似的疑似數(shù)據(jù)泄露事件,經(jīng)過調(diào)研并發(fā)布的公告里已明確說明未受到攻擊,且泄漏數(shù)據(jù)與真實客戶數(shù)據(jù)不符。
受影響的輸油管道示意圖
所謂“勒索病毒”,其攻擊和傳播方式通常基于0day和nday,廠商提供修復補丁之前的漏洞被稱為0day,之后的稱之為nday,因為企業(yè)安裝補丁需要特定的時間窗口、需要花費時間,所以黑客就是利用這個時間差,將勒索病毒集成到攻擊代碼中,在互聯(lián)網(wǎng)上搜集未完成補丁修復的軟件、操作系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)等,常規(guī)勒索病毒的攻擊方式是廣泛的、大面積投放的一種攻擊形式。
從政治角度看,美國輸油管路攻擊事件,受攻擊對象為國家基礎設施,再繼續(xù)往下細分的話,攻擊目標是民用級別的工業(yè)基礎設施,對國家安全和運行的穩(wěn)定性會帶來間接的、細微的影響,其影響主要在于民生問題。
從企業(yè)角度角度看,法國東芝屬于總部的分支機構(gòu),按照常規(guī)跨國企業(yè)的數(shù)據(jù)安全管理模型,核心數(shù)據(jù)的存儲通常集中于總部,且法國東芝分公司的業(yè)務并不是以研發(fā)類為主,因此可以推測核心研發(fā)類機密數(shù)據(jù)受到影響的概率不大,但銷售類數(shù)據(jù)可能會受到波及。如果黑客以法國東芝分公司為攻擊點,存在攻擊東芝總部的可能,但目前無法證實。
按照常規(guī)APT攻擊的思路,黑客在成功攻擊法國東芝分公司之后,已建立基礎據(jù)點,接下來黑客會在保障隱蔽的前提下實施突破外網(wǎng)后的內(nèi)網(wǎng)攻擊,通過橫向和縱向攻擊手段,進一步實施信息收集,必要時通過社工攻擊,攻擊東芝總部;其主要目的是竊取黑客希望獲得的核心數(shù)據(jù),例如:核心研發(fā)數(shù)據(jù)。
外媒報道截圖
據(jù)外媒報道梳理,“黑暗面”成立于2020年,被路透社等形容為“年輕且專業(yè)”,還有美媒聲稱該組織與俄羅斯政府有聯(lián)系,但沒有提供證據(jù)。
總部設在紐約、實驗室設在以色列的網(wǎng)絡安全公司Varonis透露,從去年8月份開始,“黑暗面”因發(fā)動一系列具有“高度針對性”的網(wǎng)絡勒索攻擊而引發(fā)關(guān)注。Varonis公司認為,鑒于該組織“十分熟悉”勒索對象的網(wǎng)絡基礎設施、安保技術(shù)與弱點,可以推測其成員中或有前互聯(lián)網(wǎng)安保領域的專業(yè)人士。
“黑暗面”組織慣用“胡蘿卜加大棒”的手法,通過挾持一部分被害者的文件資料(如人事、財務與個人信息等),以威脅曝光來阻止對方重啟系統(tǒng)。有網(wǎng)絡安全公司的專家認為,以“黑暗面”為代表的一批黑客組織正朝“無情的高效率”方向發(fā)展,向受害者傳遞“我們是專業(yè)人士,抗衡是沒有用的,付錢吧”的潛臺詞。
去年8月,美國《連線》雜志曾以“勒索成為生意,且越發(fā)殘酷”為題,報道“黑暗面”等黑客組織如何像企業(yè)一樣行事,包括為勒索對象提供資金周轉(zhuǎn)期限、實時聊天支持,甚至承擔“企業(yè)責任”:該組織當時承諾攻擊對象僅限“付得起贖金”的目標。
本文系觀察者網(wǎng)獨家稿件,未經(jīng)授權(quán),不得轉(zhuǎn)載。
- 責任編輯: 呂棟 
-
專訪伏擁軍:30年市場換技術(shù),美的為何走了出來?
2021-05-14 21:29 上市公司 -
盈利驟降、研發(fā)不足、專利稀缺,中圖科技“拼湊”硬闖科創(chuàng)板
2021-05-14 10:22 上市公司 -
中國人口紅利并未沒落,正向巨大的數(shù)據(jù)紅利轉(zhuǎn)變
2021-05-14 07:22 中國經(jīng)濟 -
阿里發(fā)布Q4財報:反壟斷罰款導致上市以來首次季度虧損
2021-05-13 20:23 阿里帝國 -
監(jiān)管連續(xù)出手,鐵礦石暴跌7.5%
2021-05-13 16:44 金融圈 -
礦業(yè)巨頭警告:西方企業(yè)“天真”,哪天中國不出口電池咋辦
2021-05-13 15:21 新能源汽車 -
“500億美元,打錢”
2021-05-13 14:06 上市公司 -
恒大:擬出售恒大汽車2.66%股權(quán)
2021-05-13 09:23 大公司 -
最近的鐵礦石,有這些炒法
2021-05-12 22:01 -
小米與美國防部達成和解,被移出“涉軍黑名單”
2021-05-12 18:34 觀察者頭條 -
美國對電視、遙控器等啟動337調(diào)查,中企在列
2021-05-12 13:07 中美關(guān)系 -
美議員還不罷休,追問企業(yè)“還賣華為硬盤嗎?”
2021-05-12 11:41 上市公司 -
央行發(fā)布2021年第一季度中國貨幣政策執(zhí)行報告
2021-05-11 19:41 中國經(jīng)濟 -
“美帝優(yōu)選”,股價為證
2021-05-11 16:06 上市公司 -
坐擁三大世界級產(chǎn)業(yè)集群,湖南打造國家先進制造業(yè)高地
2021-05-11 15:57 中國品牌日 -
魚躍回應收購凱立特:新戰(zhàn)略布局的第一個舉措
2021-05-10 21:04 -
央行:2021年一季度8家單位拒收現(xiàn)金被處罰
2021-05-10 20:19 依法治國 -
大商所警示風險:焦煤、焦炭和鐵礦石價格波動較大
2021-05-10 18:31 -
馬斯克“承認騙局”,狗狗幣交易價格下跌38.6%
2021-05-10 17:30 瘋狂比特幣 -
對日媒炒作,長江存儲鄭重聲明
2021-05-10 17:18 上市公司
相關(guān)推薦 -
最新聞 Hot
-
“我們目前世界領先,但中國人正敲開我們的大門”
-
“我不太喜歡談論競爭,但我開的是小米”
-
盧卡申科評“朝軍援俄”:胡說八道,普京不是這性格
-
“不止美德,北約至少七國反對”
-
華裔老板拒絕“背書”哈里斯,加州第一大報編委辭職
-
英高級外交官搶、奪、撕...扎哈羅娃怒斥
-
連他都不敢說,“怕被特朗普報復”
-
134條!金磚通過《喀山宣言》,“將在聯(lián)合國分發(fā)”
-
“我們愿做一切符合中國利益的事”
-
“重要盟友”想加入金磚,北約回應
-
果然,她開始攪局…
-
他拒談2000億英鎊奴隸制賠償:就不能往前看?
-
巴菲特:我誰也不支持
-
民主黨集體發(fā)聲:對,他是法西斯
-
談到金磚,她提醒美歐“保持警惕”
-
美司法部警告馬斯克:你可能犯法了
-