如果水门事件发生在今天,也许尼克松团队根本不需要潜入办公室进行物理窃听。如今的秘密情报工作借助网络,在屏幕后远程部署就能侵入目标的电子设备,获取机密信息。
在过去的十年中,网络攻击变得更具破坏性,影响范围更广,甚至在许多情况下更具政治性。各国政首和政要的私人信息和设备被间谍软件入侵,造成隐私信息泄露的事件时有发生;政府机构则不仅面临间谍软件,还包括勒索软件的双重攻击。在网络攻击指数级增长的当下,各国将网络安全视为国家安全的关键挑战。
数国元首遭网络攻击,窃取机密信息
近年来,数十名政府官员的手机遭到黑客攻击,包括法国总统埃马纽埃尔·马克龙、西班牙总理佩德罗·桑切斯、英国首相鲍里斯·约翰逊的工作人员、英国前首相利兹·特拉斯、欧盟司法专员以及美国外交官等。
这些政要手机上被安装的通常是以色列公司NSO Group的Pegasus软件(飞马间谍软件)。Pegasus可以在受害者不知情的情况下感染目标设备并访问个人数据,还可以远程启用摄像头和麦克风。据了解,2021年马克龙更换了手机并更改了电话号码,据称他的号码在Pegasus的某个监视名单上。
2022年10月30日,英国前首相利兹·特拉斯(Liz Truss)的私人手机被网络间谍入侵。据《每日邮报》报道,利兹·特拉斯和25名英国内阁部长的个人手机号码、邮件地址、密码和其他个人信息在美国网站上曝光。
据称该网站上包含14亿件被盗数据,一些文件可以追溯到十多年前的攻击事件,而公众能够轻而易举地获取这些信息,该网站每周只需6.49英镑(7.25美元)即可订阅其数据库。
虽然黑客攻击的细节尚不清楚,但据信攻击者下载了长达一年的录音,包括特拉斯及其政治盟友夸西·克沃腾批评约翰逊的私人谈话,以及特拉斯“与高级国际外交部长就乌克兰战争进行的高度敏感讨论,包括关于武器运输的详细讨论”。
据了解,该事件早在当年夏季首相选举时就已被发现,但时任外交部长的特拉斯正在角逐保守党党魁和下任首相,时任首相鲍里斯·约翰逊决定压下此事。据报道,黑客获得的消息包括特拉斯 。
对英国情报部门来说,特拉斯和内阁大臣的私人手机如此轻易地被入侵,显然不太好看。但英国政府发言人坚称,英国政府拥有“强大的系统来防范网络威胁”。
政府机构频遭攻击
除了各国政要,政府机构也经常遭遇黑客攻击。2020年末,俄罗斯情报机构利用SolarWinds软件包中的漏洞入侵了美国国务院、国土安全部、五角大楼的部分地区以及数十个联邦机构。
国家级政府机构通常是黑客攻击的首要目标,但攻击者也经常瞄准地方政府,而地方政府通常因为防御薄弱而产生较大的影响。2023年2月,新西兰奥克兰市因勒索软件攻击导致所有IT系统脱机,不得不宣布进入紧急状态。
美国战略与国际研究中心(Center for Strategic and International Studies)保留了一份重大网络事件清单,基本上每个月都有针对世界各地政府机构的重大攻击。网络安全公司CloudSek的最新报告也指出,与2021年同期相比,2022年下半年全球针对政府部门的攻击数量增加了95%。报告显示,过去两年,印度、美国、印度尼西亚和中国是最受攻击的国家,占全球政府部门攻击事件的40%。
2021至2022年全球针对政府部门的攻击数量
CloudSek观察到,攻击政府机构和组织的威胁主体在过去两年中保持不变。Kelvin Security、Against The West、PoCExploiter Admin、LockBit和Holistic-K 1ller是2022年的前五大威胁主体。
2022年攻击政府机构的前五大威胁团伙
这里简要介绍前两大威胁团伙。Kelvin Security通常以Kristina的名义运作,该组织通常利用fuzzing技术和常见的漏洞来锁定受害者,对工具的使用驾轻就熟并且对漏洞有非常深入的研究。通常该组织瞄准的对象都是有共同的基础技术或基础设施。他们在网络犯罪论坛和通信渠道(如Telegram)上公开分享新的漏洞、目标和数据库等信息,还经常分享其工具清单和有效载荷。
Against The West发现于2021年10月,又称APT49或BlueHornet。该组织持续利用一组常见的漏洞和poc入侵特定地区的数据并在暗网出售,其攻击范围包括中国、俄罗斯和欧洲。值得注意的是,2021年,针对中国政府机构95.7%的攻击来自Against The West。
攻击者的三大动机
为何政府官员和政府机构总是被黑客攻击?根据CloudSek报告,窃取数据、入侵系统、黑客主义(hacktivism,泛指因政治或社团目的而产生的黑客行为)是针对政府部门攻击的前三大动机,分别占比62.7%、13.5%和8.8%。
2022年政府机构攻击动机占比
政府机构和组织收集和存储大量数据,包括敏感机密信息和大量公民个人信息,这些数据庞大而真实,黑客窃取数据后发布到暗网高价售卖谋取暴利。根据IBM的一份报告,政府等公共部门的平均违规总成本从从193万美元增加到207万美元,增幅达7.25%。
此外,如果涉及国家安全和军事数据或系统,则要警惕被恐怖组织或敌对势力利用进行间谍行为的风险。
紧张的地缘政治局势也经常引起黑客主义网络攻击。自2022年2月24日俄乌冲突爆发以来,两国之间的网络攻击愈发频繁,俄罗斯背景的APT组织Primitive Bear自2013年就开始瞄准乌克兰组织,针对乌克兰政府、军队和执法部门,在冲突发生前后,更是组织了多次网络行动。
印度和巴基斯坦、伊朗和以色列的地缘局势也长期处于紧张状态,两国之间持续性发生网络攻击行为。2022年6月,巴基斯坦黎明报(DAWN)称,一个总部位于印度的黑客团伙针对巴基斯坦政客、军事官员和外交官进行攻击,监听其设备信息以方便情报工作。
根据网络安全公司Sophos的一份报告,地方政府之所以经常成为目标,因为其防御薄弱、IT预算和IT人员有限、计算机系统老化、代码过时,导致黑客能够轻而易举地攻破其防线。与私营组织相比,政府IT部门通常不堪重负,黑客更容易侵入并安装勒索软件。而规模较大的政府部门虽然网络安全防御更严格,但其吸引黑客之处在于其丰厚的部门资金和公共资金。
应对之策
政府机构和组织需要提高网络安全能力,培养强大的检测、响应、侦察和恢复能力,对数据全流程和IT基础设施有清晰的认知和掌握,开启访问控制,确保数据和关键基础设施不受威胁者的影响。
网络攻击的数量呈指数级增长意味着政府不仅需要抵御网络攻击,而是需要转变为零信任模式,即预先假设用户身份或网络本身可能会被盗,主动地验证用户活动的真实性。政府应该不断监测暗网和已知的威胁者,了解他们最新的TTPs,并采取措施预先阻止攻击;还应该主动监测基础设施、网络漏洞和可疑行为。除了传统的渗透测试外,政府还应该关注漏洞赏金计划和漏洞披露计划。