黑客在思傑內部潛伏了五個月之久!
網路軟體巨頭思傑系統表示,2018年至2019年期間惡意黑客在其網路中潛伏了五個月,竊取了有關公司僱員、合同工、實習生、求職者及其家屬的個人和財務數據。思傑在承認數字入侵者通過嗅探其員工帳戶尋找安全性差的密碼而闖入網路近一年後才披露了這個事實。
思傑提供的軟體被全球數十萬客戶所使用,包括《財富》100強中的大多數公司。思傑恐怕以出售虛擬專用網(VPN)軟體而家喻戶曉,這種軟體讓用戶可以通過加密連接來遠程訪問網路和計算機。
2019年3月,聯邦調查局(FBI)提醒思傑:他們有理由相信網路犯罪分子已闖入了該公司的內部網路。FBI告訴思傑,黑客很可能採用一種名為「密碼噴洒」(password spraying)的技術闖入了網路,這是一種比較原始又非常有效的攻擊手法,企圖僅僅使用少數幾個常用密碼,訪問大量員工帳戶(用戶名/電子郵件地址)。
思傑在當時發布的一份聲明中稱,黑客似乎「可能已經訪問並下載了公司文檔」,它仍在竭力查明具體是哪些資料被訪問或被竊取了。
不過思傑在2020年2月10日發給受影響人員的一封信中披露了有關該事件的其他詳細信息。據該信透露,2018年10月13日至2019年3月8日期間,攻擊者「斷斷續續地訪問了」思傑的內部網路;但沒有證據表明網路犯罪分子仍然潛伏在公司的系統中。
思傑表示,入侵者獲取的信息可能包括社會保障號碼及其他稅收標號、駕照號、護照號、財務賬號、支付卡號及/或有限的醫療保險信息(比如健康保險參與者的識別號及/或與服務日期和醫療服務機構名稱有關的醫保信息)。
目前尚不清楚有多少人收到了這封信,但這表明思傑在聯繫某個時候在該公司工作或工作過的眾多人,還有向該公司申請工作或實習的人以及因家人受雇于思傑而可能已經從該公司獲得健康福利或其他福利的人。
思傑之所以寫這封信,是由於美國幾乎所有州的法律明文要求:公司必須將危及個人和財務數據的任何事件通知受影響的消費者。雖然通知並未明確表明攻擊者是否竊取了有關該公司軟體和內部運營的專有數據,但入侵者當然也有足夠的機會訪問至少其中一些信息。
在思傑於2019年3月首次披露入侵事件後不久,一家鮮為人知的安全公司Resecurity聲稱它有證據證明伊朗黑客對此負有責任,黑客在思傑網路中潛伏了多年,竊取了數TB的數據。Resecurity還提供了證據,表明它早在2018年12月28日就向思傑告知該事件。思傑最初否認了這一說法,但後來予以了承認。
伊朗黑客最近因在全球範圍內到處黑入VPN伺服器而飽受指責,企圖在大型企業網路中植入後門。安全公司ClearSky本周發布的一份報告詳細介紹了政府撐腰的伊朗黑客團伙如何一直忙於利用來自思傑及其他許多軟體公司的熱門VPN產品中的安全漏洞。
ClearSky表示,攻擊者之所以致力於攻擊VPN工具,是由於這類工具可以在目標組織中提供長期的立足點,並常常為通過供應鏈攻擊而黑入其他公司敞開了大門。該公司表示,這種策略已使伊朗黑客得以持續訪問公司企業的網路,包括IT、安全、電信、石油天然氣、航空和政府等行業領域的公司。
攻擊者可以利用諸多VPN漏洞,其中一個是思傑VPN伺服器中最近剛打上補丁的漏洞(CVE-2019-19781),該漏洞被安全社區的一些人取名為「Shitrix」(該死的思傑)。之所以取這個貶損性的名字,是由於思傑最初在2019年12月中旬警告客戶注意該漏洞,但直到2020年1月下旬才開始發布補丁以堵住該漏洞——而在之前大概兩周,攻擊者已開始使用公開發布的漏洞攻擊代碼,闖入不堪一擊的企業組織。
貴公司抵擋得住密碼噴洒攻擊嗎?正如思傑被黑事件表明,如果你不知道情況,就應該檢查一下,然後針對結果採取相應的措施。有一點可以肯定,就算你沒發現漏洞,不壞分子也會發現的。
