近年来,全球针对政府机构的网络攻击层出不穷,常见攻击类型有数据泄露、勒索软件、DDoS攻击、APT攻击、钓鱼攻击以及网页篡改等。根据美国白宫近期向国会提交的《2019年美国政府网络安全年报》显示,美国各政府部门在2019年共发生了28581起网络安全事件,虽然同比2018年有所下降,但美国政府部门发现在暴力攻击、利用移动设备(包括USB设备、外部硬盘驱动器)攻击、以及没有正确使用联邦机构服务或设备方面导致的安全事件增加。
《安全内参》对跟踪到的政府机构网络安全事件进行梳理,筛选出近三年比较有代表性的十个事件,为政府相关部门和监管机构提供参考,防患于未然。
一、美国200多个公检法部门泄露296GB数据文件
2020年6月,激进组织Distributed Denial of Secrets(DDoSecrets)声称从美国执法机构和融合中心窃取了296GB被称作BlueLeaks的数据文件,这些数据包含了美国200多个警察部门和执法融合中心(Fusion Centers)的报告、安全公告、执法指南等。据推测,某些文件还包含敏感的个人信息,例如姓名、银行账号和电话号码。据称,此次数据泄露事件的始作俑者又是黑客组织“匿名者”。
二、德国政府遭冠状病毒主题钓鱼攻击损失数千万欧元
2020年4月,德国西部北莱茵威斯特法伦州政府网站遭遇钓鱼攻击,粗略估计至少造成3150万欧元的损失。黑客创建了官方网站副本,利用钓鱼电子邮件吸引用户注册以收集详细信息,随后黑客代表真实用户向政府提出援助请求并替换汇款银行账户。据外媒报道,发现黑客累计伪造了3500至4000份资金请求,此次黑客行动从3月中旬持续到了4月9日,事件被发现后,北威州政府立刻暂停向用户付款并关闭了其网站。
三、英国政府泄露2800万未成年人数据
2020年1月,英国教育部数据库的信息访问权被一家博彩公司非法获取,该数据库包含2800万儿童的记录,包括学生姓名、年龄及详细地址等信息,是英国政府发生的最大的数据泄露事件之一。根据《泰晤士报》的报道,泄露的数据是由一家第三方培训机构Trustopia向数据情报公司 GB Group提供的,而GB Group会将数据提供给一些赌博公司,这些公司会将这些数据用于其网站上的年龄和ID验证。事件发生后,教育部已禁用对该数据库的访问,并将事件上报了ICO隐私保护机构。
四、2019年美国路易斯安那州新奥尔良市发生三起勒索软件攻击事件
2019年8月,新奥尔良市三个学区遭到勒索软件攻击,促使路易斯安那州州长宣布该州进入紧急状态,这是该州历史上第一次由网络攻击而非自然灾害造成的紧急状态。
2019年11月,发生了第二起事件,第二次勒索软件攻击加密了路易斯安那州政府IT网络上的数据。袭击发生几周后,一些州机构在获取州数据方面仍然存在困难。
2019年12月,美国路易斯安那州新奥尔良市发生了本年度第三起勒索软件攻击事件,造成全城断网断电,政府网站也处于离线状态,该城市的其他服务器也已关闭。
五、联合国内部42台核心服务器遭到APT组织攻击
2019年9月,联合国信息和技术办公室共42台核心服务器遭到APT组织攻击,约400GB文件被盗,包括员工记录、健康保险和商业合同数据。攻击者利用一个已知的漏洞(CVE-2019-0604)发起攻击。联合国发言人表示,此次袭击引发了多个系统的重建。
六、俄罗斯政府网站泄露225万用户隐私
2019年5月,俄罗斯多个政府网站泄露了超过225万公民、政府雇员和高级官员的个人和护照信息。俄罗斯非政府组织information Culture的联合创始人发现了本次泄露事件,调查中发现有23个政府网站泄露了个人保险账号,14个网站泄露了护照信息。网站负责人员将此次泄露归咎于政府文档管理操作不当、IT人员技术水平较低以及内部监控设施不够完善。
七、美国联邦应急管理局泄露230万灾难幸存者个人信息
2019年3月,据外媒报道,美国联邦应急管理局泄露了230万灾难幸存者个人信息。公开的资料显示,泄露的公民个人信息包括姓名、出生日期、援助日期和申请人社会保障号的后四位数字等。此外,联邦应急管理局联邦应急管理局还收集了非必要数据,包括申请人街道地址、城市、邮编、银行账号和电子汇款号码等,这些信息后来被提供给一个身份不明的住房承包商。到目前为止,这些数据还未被发现在网上泄露,承包商也正在接受高级隐私培训。
八、非洲加蓬共和国70多个政府网站遭到DDoS攻击
2018年10月,根据外媒报道,位于非洲中部西海岸的加蓬共和国的70多个不同的官方和政府网站遭到黑客“匿名者”破坏和分布式拒绝服务(DDoS)攻击,导致所有网站离线,并且对应的文件都被删除。讽刺的是,所有托管在被攻陷服务器上的关键政府网站都没有使用HTTPS协议,唯一没有受到影响的加蓬总统网站恰恰是因为该网站受到了HTTPS保护。
九、重庆涉外黑客入侵700余个政府机关网站挂黑链
2018年5月,重庆警方破获一起涉外黑客非法获取我国境内网站服务器权限并出售获利的案件。该黑客团伙主要攻击入侵国内的新闻、学校、政府机关网站,通过寻找此类网站漏洞,植入木马病毒,控制网站服务器,加挂黑链自动链接博彩网站,或把境外博彩公司链接地址保存在搜索引擎内,以加大博彩公司访问量。经审讯,该网络黑客团伙组织分工严密,非法侵入、控制境内网站数量巨大,该黑客犯罪团伙入侵的国家事务的网站达到200余个,非法控制网站500余个,涉案金额高达2千余万元。
十、巴基斯坦政府泄露数百万公民个人信息
2018年5月,数百万巴基斯坦公民的个人敏感信息正在不同的社交媒体平台上被出售,售价仅为100卢比,即1美元。根据外媒报道,在2017年8月,巴基斯坦省信息技术委员会由于应用程序漏洞导致公民敏感信息泄露,包括短信和通话记录、犯罪记录、酒店信息等。此次被出售的数据还包括由巴基斯坦国家数据库和注册局持有的个人和家庭数据、警方追踪的犯罪记录、由电信公司记录的通话数据以及其他一些由政府机构持有或私营公司持有的数据,而这些数据泄露的根源似乎都与PITB的应用程序漏洞有关。
政府机关是与民生关联最紧密的机构,掌握着大量公民隐私信息,一旦遭到网络攻击,便会造成十分严重的后果。通过对以上事件的梳理,我们看到多数的政府事件还是因为内部对于安全建设和管理有疏漏,导致黑客乘虚而入。同样也存在公职人员监守自盗,非法获取公民信息的情况。因此,增强政府机构的网络安全建设、加强内部管理人员的安全培训是当下政府部门网络安全管理要重点考虑的事情。