Categories
程式開發

黑客十年:2010 年代最著名的網絡安全事件(上)


黑客十年:2010 年代最著名的網絡安全事件(上) 1

2010 年代即將結束,ZDNet 回顧了過去十年來發生的最重要的網絡安全事件。

在過去十年裡,我們已經目睹了這十年來發生的一切。我們經歷了駭人聽聞的數據洩露事件、多年來頻繁出現的黑客行動、大量的國家網絡間諜活動、幾乎無休止的網絡金融犯罪,以及使系統無法使用、極具破壞性的惡意軟件。

本文是 2010 年代最重要的網絡安全事件的摘要,按年份排序。我們不一定要研究最大的入侵行為或影響最廣泛的黑客活動,而是關注那些催生了新的網絡安全趨勢的黑客活動和技術,或者是專家如何看待整個網絡安全領域的範式轉變。

從 2010 年的 Stuxnet(震網)攻擊到 2019 年美國一家金融控股公司第一資本金融公司被黑,我們選擇了最相關的事件,並解釋了這些事件為何如此重要。

2010 年

震網(Stuxnet)

Stuxnet(震網)是一種由美國和以色列情報機構共同開發的計算機蠕蟲病毒,目的是破壞伊朗在本世紀初啟動的核武器計劃。

該蠕蟲病毒是專門設計用來摧毀伊朗政府在核燃料濃縮過程中使用的數據採集與監控系統設備(Supervisory control and data acquisition,SCADA)。這次攻擊很成功,摧毀了幾個地點的設備。

儘管在2010 年之前,各國之間也曾發生過其他網絡攻擊事件,但Stuxnet 是第一起登上全球頭條新聞的事件,標誌著網絡戰爭進入了一個新階段:從簡單的數據竊取和信息收集,發展到實際的物理破壞。

有關 Stuxnet 的影響和運作的更多信息,請參見 Kim Zettler 所著的 “Countdown to Zero Day”(《倒數至零:震網病毒和世界第一件數字武器的誕生》)一書和 “Zero Days”(《零日》)紀錄片。

“新聞稿”黑客

在 2010 年到 2015 年間,一家由五名東歐男子組成的黑客組織入侵了幾家通訊社,竊取了即將發布的新聞稿。

聽起來像是浪費時間?不,絕對不是。這實際上是十年來最聰明的黑客行為之一,因為這家黑客組織利用他們獲得的內幕信息來預測股市的變動,並據此進行交易,由此獲得了超過 1 億美元的利潤。

美國司法部和美國證劵交易委員會最終聽說了他們的陰謀計劃,從 2016 年開始嚴厲打擊該組織的成員。

美國一家科技新聞及媒體網站 The Verge 撰寫一篇了有關該黑客組織的報導,該報導是同類最好的,公眾可從中了解該黑客小組的內部運作情況。這篇報導題為:“How an international hacker network turned stolen press releases into $100 million”(《國際黑客網絡如何將竊取來的新聞稿變成 1 億美元》)。

2011 年

黑客組織 LulzSec 與“50 天攻擊計劃”

每當你看到黑客們在Twitter 上吹噓他們的黑客行動,使用大量的網絡爆紅事物來嘲笑他們的入侵目標,或者就DDoS /黑客攻擊的對象提出建議,你就會看到另一個LulzSec 的模仿者。

網絡爆紅事物(Internet meme),又稱網絡模因、網絡迷因,是指一夜間在互聯網上被大量宣傳及轉播,一舉成為備受注目的事物。

黑客組織 LulzSec 對今天黑客行為的影響不容小覷。這家黑客組織喜歡黑掉那些大牌公司,然後在互聯網上到處炫耀。

他們的“50 天攻擊計劃”(“50 days of lulz”),以及他們實施的所有其他重大黑客行動,開創了這樣一種趨勢,讓我們在接下來的十年看到了一大批尋求關注的模仿性黑客組織,如Lizard Squad、New World Hackers、TeaMp0isoN、CWA 等等。然而,LulzSec 仍然高居榜首,主要是因為他們的攻擊目標清單實在令人印象深刻,其中包括 Fox、HBGary、PBS、CIA 和 Sony。

DigiNotar 遭入侵改變了瀏覽器的格局

DigiNotar 遭入侵事件是 2011 年發生的一起鮮為人知的事件,它最終改變了瀏覽器、證書頒發機構(Certificate Authoritie,CA)和互聯網的工作方式,使其朝著更好的方向發展。

DigiNotar 為荷蘭一家數字證書機構,母公司為 Vasco。 DigiNotar 因這次入侵事件失去信任並宣告破產。

2011 年,有人發現,伊朗政府的黑客入侵了 DigiNotar,並利用其基礎設施頒發了 SSL 證書,用於模仿包括 Google 和 Gmail 在內的熱門網站。伊朗黑客隨後利用這些證書截獲了加密的 HTTPS 通信,並監視 30 多萬伊朗人。

一項調查顯示,這家荷蘭公司的安全性和商業行為令人震驚,這反過來導致了瀏覽器的全面禁令,拒絕驗證使用 DigiNotar 證書保護的 HTTPS 網站。

這次黑客攻擊引起了 Google、瀏覽器製造商和其他科技巨頭的注意,並催生了對頒發 SSL/TLS 證書的整個做法的徹底改革。 DigiNotar 遭入侵之後實施的許多程序甚至在今天仍在使用。

Sony PlayStation 被黑,大規模停機

2011 年春,Sony(索尼)宣布,黑客竊取了 7700 萬 PlayStation Network (PSN)用戶的詳細信息,包括個人身份信息和財務信息。

7700 萬這一數字在今天似乎看上去微不足道,但在當時,以及之後的許多年裡,可以稱得上是世界上最大的黑客行動之一。

至少可以這樣認為,對 Sony 而言,這次黑客攻擊行動是災難性的。在工程師們解決安全漏洞期間,Sony 不得不關閉 PlayStation Network,多達 23 天,而 PlayStation Network 正是該公司的巨大財源。迄今為止,這仍然是 PlayStation Network 歷史上最長的宕機事件。

Sony 由於宕機事件損失了利潤,還因為一些用戶開始注意到信用卡欺詐後,他們提起的集體訴訟。當 Sony 不得不為用戶提供大量免費的 PlayStation 3 遊戲讓他們重新上線,它因此損失了更多的金錢。

Sony PlayStation Network 2011 年的黑客入侵事件之所以引人注目,不僅是因為該事件表明,如果一家公司未能對安全方面進行適當的投資,黑客入侵行動可能會帶來損失;而且還因為它創造了一種趨勢,就是公司在服務條款中增加了新的條款,迫使用戶放棄在安全漏洞出現後提起訴訟的權利。 Sony 並不是第一家使用這一條款的公司,但正是他們讓這一條款流行起來,許多其他公司在不久之後,也增加了類似的條款。

黑客十年:2010 年代最著名的網絡安全事件(上) 2

2012 年

Shamoon 惡意軟件及其破壞力

Shamoon (又名 DistTrack),是一款伊朗開發的惡意軟件,可以視為兩年前 Stuxnet 病毒攻擊帶來的直接結果。

在親身了解惡意軟件的破壞力之後,伊朗政府也創造了自己的“網絡武器”,並於 2012 年首次部署。

Shamoon 旨在擦除數據,摧毀了沙特阿拉伯國家石油公司(Saudi Aramco,簡稱沙特阿美)網絡上的 3.5 萬個工作站,使該公司數週以來一直陷於癱瘓狀態。當時有報導稱,Saudi Aramco 購買了 wolrd 的大部分硬盤,以替換被摧毀的 PC 集群,此舉導致硬盤價格在隨後幾個月裡不斷上漲,而供應商難以滿足需求。

該惡意軟件的變種在隨後幾年被發現,大多數都部署在活躍的公司或與石油和天然氣行業相關的公司。

惡意軟件 Flame:有史以來最複雜的惡意軟件

Flame被 Kaspersky(卡巴斯基)發現,認為該惡意軟件與 Equation Group(美國國家安全局的代號)有關,Flame 被描述為有史以來最先進、最複雜的惡意軟件。

譯註:Equation Group,是一家十分先進而隱秘的計算機間諜活動團體,可能與美國國家安全局(NSA)有所關聯。 Equation Group 是由 Kaspersky 命名,命名的原因是該團體在間諜活動中喜好使用複雜的加密算法和混淆策略。

兩年後的 2014 年,當 Kaspersky 發現 Regin 時,Flame 終於不再是有史以來最先進、最複雜的惡意軟件,但 Flame 的發現,揭示了美國網絡武器庫與其他國家組織使用的所有其他工具之間的技術和能力差距。

Washington Times(華盛頓時報)隨後的一篇報導稱,Flame 和 Stuxnet 屬於同一批黑客工具庫的一部分,主要是針對伊朗部署的。自那以後,這種惡意軟件就再也沒有出現過,但它的發現,至今仍被認為是世界各地網絡間諜活動升級的一個里程碑。

2013 年

斯諾登(Snowden)洩密事件

這件事說來話長,並非三言兩語可以說得清楚。那我們直入主題吧。斯諾登洩密事件可能是這十年來,最重要的一起網絡安全事件。他曝光了美國及其五眼聯盟在 911 襲擊後建立的全球監視網絡。

譯註:五眼(Five Eyes,縮寫為FVEY),又譯為五眼聯盟,一個語言以講英語為主的國家的情報聯盟,在英美協定下組成的國際情報分享團體,成員包括澳大利亞、加拿大、新西蘭、英國和美國五國。五眼聯盟的歷史可以追溯到第二次世界大戰時,同盟國發布的大西洋憲章。

斯諾登洩密事件促使中國、俄羅斯和伊朗等國建立了自己的監視系統,並加強了外國情報收集工作的力度,從而導致網絡間諜活動的整體增長。

目前,許多國家都在炫耀諸如“國家互聯網”或“互聯網主權”等概念,以證明對本國公民進行監視和審查網絡的做法是合理的。而這一切都始於 2013 年斯諾登向全世界揭露美國國家安全局的醜聞之後。

關於斯諾登洩密事件的影響,Wikipedia(維基百科) 的條目已經相當完整了,這對於任何人來說,都是開始研究這一主題的很好的切入點。

塔基特公司(Target)遭入侵事件

2013 年 12 月,零售巨頭塔基特公司(Target)承認,植入在他們的門店系統中的惡意軟件已幫助黑客收集了大約4000 萬用戶的支付卡詳細信息,從而讓世界首次接觸了POS 惡意軟件這一術語。

POS 惡意軟件事件以前也曾發生過,但這是大型零售商第一次遭受這種程度的破壞。

其他零售商在接下來的幾年都在跟進,通過跟踪報導,人們最終發現,黑客是如何在一個名為“信用卡商店”(card shops)的網站上交易偷來的信用卡,以製作克隆信用卡,並清空用戶的銀行賬戶的。

Adobe 被黑事件

2013 年 11 月,Adobe 承認,黑客竊取了超過 1.53 億用戶的數據。數據被拖到網上,用戶密碼幾乎立即被破解,並被還原為明文版本。

多年來,這一事件被用來推動強大的密碼哈希函數的採用。

絲路(Silk Road)被取締

絲路(Silk Road)是利用 Tor 來運作的暗網黑市購物網站,販售物品多為毒品等違法產品,它是第一家被取締的暗網黑市購物網站。絲路在 2013 年被取締,首次向全世界表明,暗網和 Tor 也並不完美,甚至在互聯網的這個角落裡,法律的力量也能觸及。而在那之前,人們曾認為,暗網是無法穿透的。

在絲路遭查封關停之後,其他市場如雨後春筍般冒了出來,但卻沒有一家能夠長久存活下來。他們中的大多數人要么踩雷(管理員捲走了用戶的錢出逃),要么最終也被執法部門拿下

Have I Been Pwned?

Have I Been Pwned(“我的信息是否已經洩露”)網站成立於2013 年12 月,網站的理念是為用戶提供一種簡單的方法來檢查他們的賬戶是否被包含在Adobe 的被入侵名單中,如今已成為一個獨立的品牌了。

今天,這家網站仍然可以正常運行,就像它推出時一樣,允許用戶查看他們的用戶名或電子郵件是否已經包含在數據洩露清單中。

目前,該網站包括來自 410 個被黑網站的數據庫,以及 90 多億個賬戶的信息。它集成在 Firefox、密碼管理器、公司後端、甚至一些政府系統中。

這家網站由澳大利亞安全專家 Troy Hunt 管理,為改善世界各地組織的安全狀況做出了巨大貢獻。

2014 年

朝鮮攻擊 Sony

毫無疑問,2014 年 Sony Pictures(索尼影視娛樂)遭黑客攻擊事件讓世界第一次了解到朝鮮也有黑客,而且黑客能力相當強。

這些黑客攻擊行動是由一個自稱“Guardians of Peace”(和平守衛者,後來被稱為 Lazarus Squad)的黑客組織實施的,這家組織最終被認為跟朝鮮的情報機構有關。

這次黑客攻擊行動的目的是迫使製片方放棄行一部名為《刺殺金正恩》(Interview)的電影發行,這是一部關於暗殺朝鮮領導人金正恩的喜劇片。

Sony 拒絕後,黑客就摧毀了 Sony 公司內部網絡,並在網上洩漏了工作室數據和私人電子郵件。

Sony 事件被認為不過是一次小小的黑客攻擊行動,幫助網絡安全公司了解到朝鮮黑客能力的範圍,並在接下來的幾年裡,他們終於擁有了對其他許多事件的洞察力。

在這起事件發生之前,朝鮮黑客活動主要集中在攻擊他們的南部鄰國。繼奧巴馬總統實施的黑客攻擊和製裁之後,他們的黑客行動就擴展到全球,使美國成為當今最活躍的網絡間諜和網絡犯罪大國之一。

Celebgate 攻擊

直到今天,網絡安全公司還在以Celebgate 攻擊(也稱為 Fappening 洩漏)為例來訓練有關魚叉式網絡釣魚(spear-phishing)的培訓課程。 Celebgate 攻擊是指用戶不注意密碼重置郵件的有效性時會發生什麼情況。這是因為早在 2014 年,就有一小撮黑客利用針對名人的假密碼重置電子郵件,騙取名人在釣魚網站上輸入他們的 Gmail 或 iCloud 密碼。

隨後,黑客利用釣來的這些憑據訪問賬戶,來查找色情或裸體照片和視頻,然後將這些發佈到網上。其他的“Fappening 洩漏”浪潮發生在後來的幾年,但最初的洩漏是發生在 2014 年夏天。

Carbanak 開始入侵銀行

多年來,專家和用戶都認為,尋求金錢的黑客通常會盯上消費者、商店零售商或公司。

關於 Carbanak(也稱為 Anunak 或 FIN7)的報告首次表明,存在一家技術高超的黑客組織,能夠直接從源頭(即銀行)中竊取資金。

Kaspersky Lab(卡巴斯基實驗室)、Fox-IT 和Group-IB 的報告顯示,Carbanak 黑客組織非常先進,它可以滲透銀行的內部網絡,隱蔽數週或數月,然後通過SWIFT 銀行交易或協同ATM提款來竊取巨額資金。

譯註:SWIFT,Society for Worldwide Interbank Financial Telecommu-nication 環球同業銀行金融電訊協會。是國際銀行同業間的國際合作組織,成立於一九七三年,目前全球大多數國家大多數銀行已使用 SWIFT 系統。 SWIFT 的使用,使銀行的結算提供了安全、可靠、快捷、標準化、自動化的通訊業務,從而大大提高了銀行的結算速度。由於 SWIFT 的格式具有標準化,目前信用證的格式主要都是用 SWIFT 電文。

人們認為,這家組織總共從被黑的銀行中竊取了超過 10 億美元,這一數字還沒有任何其他組織能與之匹敵。

Mt. Gox 服務器遭入侵

Mt. Gox 並不是世界上第一家遭到黑客攻擊的加密貨幣交易所,但它的被黑事件至今仍是加密貨幣生態系統中最大的網絡盜竊案。

這起黑客攻擊行動發生在 2014 年初,至今仍籠罩在迷霧之中,當時,黑客盜竊了 85 萬枚比特幣,如今價值已超過 63 億美元。那時候,Mt. Gox 是世界上最大的加密貨幣交易所。

在這起黑客事件之後,黑客們意識到,他們可以通過攻擊交易平台來獲取巨額利潤,因為與現實世界的銀行相比,交易所平台的安全保護比較薄弱。在隨後的幾年裡,又發生了數百起黑客攻擊事件,但 Mt. Gox 遭入侵仍然是引發這類攻擊行為的開山鼻祖。

黑客 Phineas Fisher

2014 年夏天,全年世界第一次知道了 Phineas Fisher,他是一名激進黑客,熱衷攻擊製造間諜軟件和監視工具的公司。

這名黑客在 2014 年入侵了 Gamma Group2015 年入侵了 HackingTeam。黑客從這兩家公司竊取並發布了間諜軟件工具的內部文檔和源代碼,甚至還包括零日漏洞。

Phineas 的洩密為世人揭露了向世界各國政府出售黑客、間諜軟件和監視工具的公司的陰暗世界。雖說有些工具可以說是用來抓捕罪犯的,但其中一些工具與暴虐政權有關,這些暴虐政權濫用這些工具來監視異見人士、記者和政治對手。

心臟出血漏洞(Heartbleed)

OpenSSL 中的心臟出血漏洞(Heartbleed)是罕見的安全缺陷之一,好得讓人難以置信。

該漏洞允許攻擊者從公共服務器獲取加密密鑰,這些密鑰可用於解密通信或在易受攻擊的系統上進行身份驗證。

這個漏洞在被公開披露後就被攻擊者利用了,並導致了 2014 年及以後的一系列黑客攻擊事件,因為儘管一再發出警告,但一些服務器運營商仍然未能對 OpenSSL 實例進行修補。

當這一漏洞被公開披露時,人們相信,大約有 50 萬台互聯網服務器是易受攻擊的,這一數字花了好幾年才修復。

黑客十年:2010 年代最著名的網絡安全事件(上) 3

2015 年

成人交友網站 Ashley Madison 數據遭洩露

在過去的十年裡,已經發生了數千起數據洩露事件,但如果 ZDNet 必須選擇最重要的一起事件,我們會毫不猶豫地選擇 2015 年成人交友網站 Ashley Madison 的數據洩露事件。

這起數據洩露事件發生在 2015 年 7 月,當時一家自稱 Impact Team 的黑客組織公佈了 Ashley Madison 的內部數據庫。這家網站將自己定位為婚外戀的成人交友網站。

如今,大多數入侵事件都會在論壇上暴露你的用戶名和密碼,而你甚至都不記得在 21 世紀初在這些論壇上註冊過賬戶。但 Ashley Madison 數據洩露事件卻不是這樣,它暴露了許多人的醜聞,這是其他任何一起洩露事件都不曾有過的情況。

在這家網站上註冊的用戶面臨敲詐勒索的企圖,一些人在被公開揭露在該網站擁有賬戶後自殺。這是為數不多的直接導致死亡的網絡安全事件之一。

SIM 交換攻擊

SIM 交換攻擊(SIM swapping)是指黑客打電話給移動電信公司,誘使移動運營商將受害者的電話號碼轉移到攻擊者控制的 SIM 卡上的一種策略。

關於首次使用 SIM 交換的攻擊報告可以追溯到 2015 年。最初,大多數 SIM 交換攻擊都與黑客在社交媒體賬戶上重置密碼、劫持搶手的用戶名並隨後在網上轉售的事件有關。

隨著黑客們慢慢意識到,他們也可以利用這種技術獲取加密貨幣或銀行賬戶的權限,從而竊取大量金錢,SIM 交換攻擊由此變得越來越流行。

從那時起,這種技術變得越來越流行,美國電信公司最容易受到攻擊,因為他們不願意阻止用戶在沒有親自訪問他們的營業廳的情況下遷移電話號碼,就像世界上大多數地方所做的那樣。

DD4BC 與 Armada Collective 黑客組織

2015 年也是 DDoS 敲詐勒索成為現實的一年。這項技術是由一家名為DD4BC 的組織首創並流行起來的,該組織會向要求比特幣支付的公司發送電子郵件,否則他們將通過DDoS 攻擊來攻擊該公司的基礎設施,並迫使關閉關鍵服務。

早在 2016 年初,歐洲刑警組織就逮捕了這個原始組織的成員,但 DD4BC 的運作方式被一家自稱 Armada Collective 的黑客組織複製過去,使得這種做法更加流行。

DD4BC 和 Armada Collective 在 2015 年和 2016 年首次使用的戰術,直到今天仍在使用,這些戰術是今天許多 DDoS 攻擊的核心,並且它們在某些目標上造成了宕機事件。

烏克蘭電力系統遭受攻擊事件

2015 年 12 月,烏克蘭電網的網絡受到攻擊,導致烏克蘭西部地區停電,這是有記錄以來第一次對電網控製網絡的成功攻擊。

2015 年的攻擊行動,使用了一種稱為 BlackEnergy 的惡意軟件,第二年,也就是 2016 年 12 月,又發生了一次類似的攻擊,第二次攻擊行動甚至使用了一種更複雜的惡意軟件:Industroyer,成功切斷了烏克蘭首都五分之一的電力供應。

雖然Stuxnet 和Shamoon 是第一批針對工業目標的網絡攻擊,但烏克蘭的這兩起事件是第一起影響到普通公眾的事件,讓所有人都意識到,網絡攻擊可能會對一個國家的關鍵基礎設施帶來的危險。

在俄羅斯 2014 年初入侵克里米亞半島之後,俄羅斯黑客對烏克蘭實施了一系列攻擊行動,這兩起攻擊行動只是其中的開始。其他網絡安全事件包括 2017 年發生的 NotPetya 和 Bad Rabbit 勒索軟件事件。

這些攻擊行動幕後的組織被稱為 Sandworm,據信是俄羅斯軍事情報機構的一部分。由 Wired (連線)雜誌信息安全編輯 Andy Greenberg 撰寫的 Sandworm: A New Era of Cyber​​war and the Hunt for the Kremlin’s Most Dangerous Hackers(《Sandworm:網絡戰爭的新時代,尋找克里姆林宮最危險的黑客》)一書詳細描述了該組織的黑客行動。

原文鏈接:

A decade of hacking: The most notable cyber-security events of the 2010s