今年4月,联合国曾遭遇网络攻击,攻击者盗取了大量数据,这些数据可能被用来攻击联合国。
黑客们进入联合国网络的方法不复杂,他们很可能是利用暗网上购买的被盗的联合国雇员的用户名和密码进入。目前无法确定黑客的身份,也无法确定他们入侵联合国的目的。
联合国秘书长发言人Stéphane Dujarric在9月9日的一份声明中表示,“我们可以确认,未知的攻击者在2021年4月入侵了联合国的部分基础设施。”
在声明中,联合国称经常成为网络攻击的目标,且面临持续性的攻击,已经发现并正在应对进一步的攻击,这些攻击与先前的入侵有关。
发现该事件的网络安全公司Resecurity称,黑客能够借此深入访问联合国网络。黑客最早进入联合国系统是4月5日,最晚活动时间是8月7日。
据联合国官员向Resecurity表示,这次黑客攻击活动仅限于侦察,黑客只是在内网拍摄了屏幕截图。但当Resecurity向联合国提供被盗数据的证据时,联合国并未回应。
黑客的侦察活动可能是为了筹备后续攻击,也可能是打算把信息出售给试图入侵联合国的其他团伙。
Ressecurity称,在最近的黑客入侵中,黑客试图获取更多有关联合国计算机网络架构的信息,并入侵了53个联合国账户。
Resecurity首席执行官Gene Yoo说:“像联合国这样的组织是网络间谍活动的高价值目标。”黑客入侵目的是窃取联合国网络中的大量用户数据,以进一步收集长期情报。
联合国及其机构曾经成为黑客的目标。2018年,荷兰和英国执法部门挫败了俄罗斯对禁止化学武器组织(Organisation for the Prohibition of Chemical Weapons)的网络攻击,当时该组织正在调查一种致命神经毒剂在英国本土的使用情况。
根据《福布斯》的一份报告,在2019年8月,联合国的“核心基础设施”在一次网络攻击中遭到破坏,该攻击原本针对的是微软SharePoint平台的一个已知漏洞。
此次的泄露凭证属于联合国专有项目管理软件Umoja上的某个账户。黑客使用的Umoja账户并未启用双因素身份验证,这是一项基础安全功能。根据Umoja网站7月发布的公告,该系统已经迁移至微软Azure,这套云平台直接提供多因素身份验证机制。Umoja的迁移公告称,此举“降低了网络安全风险”。
Recorded Future的高级威胁分析师Allan Liska表示,联合国一直是民族国家攻击者的主要目标。他曾看到暗网出售联合国雇员的帐号和密码。网络犯罪分子正在寻求将被盗数据高效变现的方法,初始访问者频繁出售自己掌握的入侵资源,在可预见的未来,攻击活动将呈现愈发明确的针对性与渗透趋势。
安全情报公司Intel 471的首席执行官Mark Arena表示,一些讲俄语的网络犯罪分子,将联合国凭证和几十个帐号和密码一起,出售给各个组织,价格仅为1000美元。
彭博社查询了暗网论坛上的广告,至少有三个论坛的用户,直到7月5日还在出售这些相关凭证。
Arena称,“自2021年初以来,我们已经发现多名出于经济动机的网络犯罪分子在出售联合国Umoja系统的访问权限。这些参与者会同时出售来自多个犯罪团伙的泄露凭证。根据之前的经验,这些被盗的凭证还会被出售给其他网络犯罪分子,再由他们用于实施后续入侵活动。”