Categories
程式開發

GitHub pages、WHO疑被攻擊,最大暗網託管商被黑,黑客疫情下動作頻繁


由於國外大部分公司仍在遠程辦公,所以部分服務與疫情之前相比有所下降,比如Netflix、YouTube、Facebook 先後宣布下調歐洲視頻流質量,以幫助緩解新冠病毒疫情期間任何潛在的網絡擁堵,谷歌此前宣布暫停Chrome 瀏覽器更新等。然而,黑客在此期間卻動作頻頻,先後曝出世衛組織遭到不明黑客攻擊、GitHub pages 被攻擊等消息。

黑客動作頻頻,全球各地接連遭到攻擊

近日,GitHub pages 被曝可能遭遇中間人攻擊。中國 IP 訪問會顯示一個無效證書,域名所有者使用騰訊郵“[email protected]”,GitHub 顯然不會使用騰訊郵箱。使用境外 IP 訪問則返回 DigiCert 簽發的有效證書,使用的名字都是 GitHub,目前不清楚中間人攻擊範圍有多大。

GitHub pages、WHO疑被攻擊,最大暗網託管商被黑,黑客疫情下動作頻繁 1

GitHub pages、WHO疑被攻擊,最大暗網託管商被黑,黑客疫情下動作頻繁 2

與此同時,最大的暗網託管商 Daniel’s Hosting 再次被黑,它上一次被黑是 2018 年 11 月,這一次發生在 3 月 10 日。這次攻擊中,Daniel’s Hosting 的數據庫被刪除,託管的 7600 個網站全部下線。站長 Daniel Winzen 在一份聲明中稱,攻擊者訪問了服務的後端,刪除了所有託管相關的數據庫,攻擊者隨後還刪除了 Winzen 的數據庫賬號,創建了一個新的賬號。 Winzen 第二天發現入侵,但為時已晚,其服務設計也沒有備份,如果有備份,託管商可能會收到法庭傳票,如果其託管的某個網站遭到調查,意味著數據無法恢復。 Winzen 表示不知道黑客是如何入侵的,現在忙其它項目無暇調查。

本週早些時候,世衛組織 WHO 稱遭到不明黑客攻擊,冒充該機構郵箱系統竊取員工密碼。消息人士表示,本月早些時候,有“精英黑客”試圖侵入世界衛生組織 (WHO),該機構一名高級官員稱,最近遭受的網絡攻擊增加逾兩倍。

網絡安全專家、紐約黑石法律集團的律師亞歷山大烏爾貝里斯首先向路透社透露了這一輪攻擊。烏爾貝里斯說,他是在 3 月 13 日左右發現這個活動的,當時他跟踪的一群黑客啟動了一個模仿世衛組織內部電子郵件系統的惡意網站。

早在今年 2 月份,中國人民萬眾一心抗擊疫情之際,印度黑客組織也曾對我國醫療機構發起定向攻擊。根據當時 360 安全大腦的調查,這是一起由印度黑客組織 APT 發起的攻擊。該攻擊組織採用魚叉式釣魚攻擊方式,通過郵件進行投遞,利用當前肺炎疫情等相關題材作為誘餌文檔,部分相關誘餌文檔如:武漢旅行信息收集申請表.xlsm,進而通過相關提示誘導受害者執行宏命令。

延展閱讀:《趁火打劫!印度黑客組織對我國醫療機構發起定向攻擊》

金錢、敏感信息都是目標

在此前印度 APT 組織攻擊我國醫療機構時,發動定向攻擊的原因,360 安全團隊曾在官方微信公眾號進行了部分猜測,其中一條是關於進一步截取醫療設備數據。當時,我國投入了重大的人力、物力、財力資源,尤其是醫療設備上。所以,該組織此次發動攻擊,能進一步截取更多醫療設備數據信息。

在世衛組織遭到的攻擊中,世衛組織的阿喬證實,惡意網站被用來試圖從多個機構職員那裡竊取密碼。阿喬在接受路透社的電話採訪中表示:“目前沒有確切的數字,但針對我們的這種攻擊嘗試以及冒充世衛組織來詐騙他人的做法增加了兩倍多。”世衛組織上個月還曾發布一份警告,稱有黑客冒充該機構,從公眾那裡竊取金錢和敏感信息。

在 AMD 最近遭受的一起攻擊中,黑客的目標也是如此。 AMD發表聲明,證實部分 GPU 相關文件被盜,但表示不是核心技術,正與執法機構合作對此展開調查。隨後,黑客聯絡媒體聲稱,她(是否為女性存疑) 在一台被入侵的計算機上發現AMD Navi GPU 硬件源代碼,源代碼涉及Navi 10 和Navi 21 設備,微軟即將發布的下一代主機Xbox Series X使用了Navi 21 和Arden,並表示這些文件價值一億美元,如果找不到買家,她會將其全部公開。

在這之中,勒索軟件攻擊的金錢目的更加明顯。 國外一家醫療和軍事電子產品製造商 Kimchuk 近期受到勒索軟件打擊。這家公司平常主要是製造醫療設備,也為海軍製造一些設備。本月早些時候,DoppelPaymer 感染了其係統,並使其脫機,DoppelPaymer 是一種新型的勒索軟件,可以在加密用戶文件之前將數據從受感染的網絡中滲出。如果受害者沒有支付贖金解密他們的文件,DoppelPaymer 組將開始發布受害者網絡的內容。

怎麼做?

此前,業內就有專家預測近期可能會有很多攻擊出現,尤其是醫療行業。醫療機構一般防禦措施有限,一旦被攻擊會造成嚴重後果。隨著更多的黑客組織在此刻關注到相關熱點,很有可能會有更多攻擊手法出現。如果再出現像去年針對醫療行業的針對性勒索攻擊的話,將會對相關目標造成災難性後果,可直接造成整個醫院業務停擺。如果相關的攻擊發生在疫情嚴重地區的話,其後果不堪想像。建議採取以下防範措施:

1、及時升級操作系統以及應用軟件,打全補丁,尤其是 MS17-010、CVE-2019-0708 等高危漏洞的補丁。由於 Windows 7 操作系統已經停止推送更新補丁,建議有條件的更新到 Windows 10 操作系統。

2、及時更新已部署的終端、邊界防護產品規則。

3、盡量減少各種外部服務的暴露面(如 RDP,VNC 等遠程服務),如果一定要開啟的話,需要設置白名單訪問策略,設置足夠強壯的登陸密碼,避免黑客利用遠程服務攻入。

4、增強人員的網絡安全意識,不打開不明郵件,郵件中的不明鏈接、附件等。

5、常用辦公軟件應保持嚴格的安全策略,如禁止運行 Office 宏等。

很多企業紛紛開始遠程辦公模式,需要對暴露在互聯網上的主機應採取一些必要的防範措施。

1、及時升級相關主機的補丁,尤其是 2019 年出現的 CVE-2019-0708 等一系列 RDP 漏洞。

2、設置足夠強壯的登陸密碼,並開啟強制身份認證,避免黑客利用遠程服務攻入。

結束語

網絡安全與信息安全一直是需要重點關注的事情。過去幾年,安全相關事件頻頻登上頭條新聞,從醫療信息、賬戶憑證、企業電子郵件到企業內部敏感數據。為避免此類事件發生,企業或個人首先需要提高安全意識,其次採取恰當的安全手段進行防範。疫情當前,我們尤為不要放鬆警惕,特別是與醫療相關的關鍵領域。