一、小白劇場

大東:小白你馬上就要工作了,你知道在公司重要文件傳輸用什么軟件嗎?

小白:我不太知道啊!東哥,有沒有什么推薦的軟件呢?

大東:市面上的文件傳輸軟件還真不少,這里我就不贅述了,小白感興趣可以問問師長,就不要自己去搜索下載了哦!

機密數據泄漏(圖片來自網絡)

小白:為什么,難道“小度”給出的推薦不安全嗎?

大東:當然,因為大部分的小眾軟件都沒有安全保障,并且一些被市場接受的大眾軟件卻更容易被攻擊者針對。

小白:為什么這么說呢,東哥?難道你又有什么故事了嗎?

大東:小白你的“嗅覺”可是越來越靈敏了哦,沒錯,我正好有一個有關文件傳輸軟件泄密的案例,小白你想聽聽嗎?

小白:當然,東哥,你快講講吧,我再充充電!

二、話說事件

大東:要談文件傳輸軟件,就不得不提一家安全廠商Accellion。

小白:這個廠商是什么來頭呢,東哥?

大東:他是一家私有云解決方案提供商。

小白:那他在文件傳輸方面出了什么問題呢,東哥?

大東:問題就出在他的文件傳輸程序FTA。

小白:怎么說,東哥?

大東:攻擊者利用了FTA中的0day漏洞,訪問并竊取了大量用戶數據!

小白:真的嗎,都有哪些公司遭殃了呢?

大東:比如2021年3月工業巨頭霍尼韋爾的員工使用FTA傳輸機密文件,導致其IT系統遭攻擊者的惡意軟件破壞,而同樣在3月份,能源巨頭殼牌公司也遭遇了黑客攻擊!

小白:哇,接連作案,攻擊者使用的不會是同一種攻擊手段吧,東哥?

大東:顯然是的,殼牌公司2021年3月表示,攻擊者利用了FTA的零日漏洞,已經訪問了一些個人數據以及屬于殼牌利益相關方和子公司的數據。

小白:那東哥,你覺得這幾次攻擊導致數據泄漏的原因有哪些呢?

大東:首先便是Accellion作為一家安全廠商,理應為其他公司提供保障,自身卻出現了安全問題。

小白:唉,自家后院起火,還怎么幫別人出謀劃策啊!

大東:哈哈,沒錯!除了Accellion本身的問題以外,各大企業在處理私密數據時也并不是高度謹慎,沒有對安全廠商進行深入調研,錯付了信任。

小白:唉,這些企業怎么也沒想到,任命這么多年的信使,到頭來還是錯付了。那東哥,攻擊者是怎么利用漏洞攻擊的呢?

大東:據相關安全人員調查分析,攻擊過程中,黑客通過服務器0day漏洞安裝了一個名為“DEWMODE”的web shell,再用于下載存儲在目標受害者FTA服務器上的相關文件。

小白:原來是這樣,那我們在FTA上下載存儲的文件,就悄悄地溜進攻擊者的口袋了嗎?

大東:顯然是這樣的。

小白:那攻擊者竊取到數據之后,都會用來干什么呢?

大東:據調查顯示,在泄密事件爆發后,陸續有受害者收到該黑客組織的勒索電子郵件,威脅要將竊取的數據發布在名為“CL0P^_- LEAKS”的網站上。

小白:這是一個什么網站呢?

大東:這其實是一個非法交易的暗網,很多通過非正當途徑竊取的用戶數據都會在這里被變賣。

小白:那泄漏的數據大概包括哪些類型呢,東哥?

大東:泄露的數據包括公司發票、采購訂單、稅務文件和掃描報告等,都是至關重要的商業機密數據。

暗網變賣的數據(圖片來自網絡)

三、大話始末

小白:那攻擊者借助FTA的0day漏洞竊取數據的事件后續有什么進展嗎,東哥?

大東:2021年3月,火眼的安全專家指出,FTA攻擊事件的始作俑者是黑客組織 FIN11(也稱UNC2546)。

小白:原來又是個APT組織啊,東哥!

大東:嗯,不錯,看來你沒有忘記咱們的APT普及課,平時肯定認真復習了,值得鼓勵!

小白:過獎了,東哥!還是說說FIN11后續有什么攻擊進展了吧!

大東:說來也是有趣,雖然FIN11正在泄露或是準備泄露受害者的數據,但并沒有真實地直接對受害者受感染的系統進行加密。

小白:FIN11不是以經濟利益為目標的嗎,怎么沒有進行勒索呢?

大東:沒錯,作為一個向來以經濟利益為動機的攻擊組織,FIN11此次卻沒有真實地從中獲取勒索贖金,也讓相關專家們對這次攻擊行動動機存疑。

小白:那火眼專家們后續發表什么言論了呢,東哥?

大東:技術人員目前仍在跟蹤兩個單獨的活動集群。

小白:是那些集群呢,東哥?

大東:首先追蹤的是UNC2546的第一個集群,該集群與利用Accellion的FTA軟件中的零日漏洞,進而從運行舊版的FTA產品的目標組織中竊取數據有關。

小白:第二個集群呢?

大東:其次跟蹤的是UNC2582的第二個集群,該集群與隨后的勒索活動有關。

FIN11勒索信件模板(圖片來自網絡)

小白:看來這是一次漫長的追蹤過程啊!

大東:漫長并不可怕,火眼研究人員已經宣布“我們已經確定了UNC2582,UNC2546 和以前的 FIN11 操作之間的重疊,并且將繼續評估這些活動集群之間的關系,繼續 FireEye。”

小白:竟然熱血起來了呢,我相信火眼研究人員一定會成功的,攻擊者必定會被繩之以法!那東哥,Accellion對本次攻擊的源頭,0day漏洞怎么處理了呢?

大東:該廠商為了應對本次攻擊浪潮,發布了多個安全補丁,以解決黑客利用的漏洞。而且公司還將在2021年4月30日之前淘汰舊有的FTA服務器軟件。

四、小白內心說

小白:東哥,怎樣處理公司重要的文件才是正確的呢?

微信辦公(圖片來自網絡)

大東:傳輸的時候也要連接內網,不可公網傳輸。此外,一定要加強員工的安全意識。

小白:嗯嗯,收到了,東哥,保守公司秘密是每個員工的基本義務!

來源: 中科院之聲