近年來,全球針對政府機構的網絡攻擊層出不窮,常見攻擊類型有數據泄露、勒索軟件、DDoS攻擊、APT攻擊、釣魚攻擊以及網頁篡改等。根據美國白宮近期向國會提交的《2019年美國政府網絡安全年報》顯示,美國各政府部門在2019年共發生了28581起網絡安全事件,雖然同比2018年有所下降,但美國政府部門發現在暴力攻擊、利用移動設備(包括USB設備、外部硬盤驅動器)攻擊、以及沒有正確使用聯邦機構服務或設備方面導致的安全事件增加。
《安全內參》對跟蹤到的政府機構網絡安全事件進行梳理,篩選出近三年比較有代表性的十個事件,為政府相關部門和監管機構提供參考,防患于未然。
一、美國200多個公檢法部門泄露296GB數據文件
2020年6月,激進組織Distributed Denial of Secrets(DDoSecrets)聲稱從美國執法機構和融合中心竊取了296GB被稱作BlueLeaks的數據文件,這些數據包含了美國200多個警察部門和執法融合中心(Fusion Centers)的報告、安全公告、執法指南等。據推測,某些文件還包含敏感的個人信息,例如姓名、銀行賬號和電話號碼。據稱,此次數據泄露事件的始作俑者又是黑客組織“匿名者”。
二、德國政府遭冠狀病毒主題釣魚攻擊損失數千萬歐元
2020年4月,德國西部北萊茵威斯特法倫州政府網站遭遇釣魚攻擊,粗略估計至少造成3150萬歐元的損失。黑客創建了官方網站副本,利用釣魚電子郵件吸引用戶注冊以收集詳細信息,隨后黑客代表真實用戶向政府提出援助請求并替換匯款銀行賬戶。據外媒報道,發現黑客累計偽造了3500至4000份資金請求,此次黑客行動從3月中旬持續到了4月9日,事件被發現后,北威州政府立刻暫停向用戶付款并關閉了其網站。
三、英國政府泄露2800萬未成年人數據
2020年1月,英國教育部數據庫的信息訪問權被一家博彩公司非法獲取,該數據庫包含2800萬兒童的記錄,包括學生姓名、年齡及詳細地址等信息,是英國政府發生的最大的數據泄露事件之一。根據《泰晤士報》的報道,泄露的數據是由一家第三方培訓機構Trustopia向數據情報公司 GB Group提供的,而GB Group會將數據提供給一些賭博公司,這些公司會將這些數據用于其網站上的年齡和ID驗證。事件發生后,教育部已禁用對該數據庫的訪問,并將事件上報了ICO隱私保護機構。
四、2019年美國路易斯安那州新奧爾良市發生三起勒索軟件攻擊事件
2019年8月,新奧爾良市三個學區遭到勒索軟件攻擊,促使路易斯安那州州長宣布該州進入緊急狀態,這是該州歷史上第一次由網絡攻擊而非自然災害造成的緊急狀態。
2019年11月,發生了第二起事件,第二次勒索軟件攻擊加密了路易斯安那州政府IT網絡上的數據。襲擊發生幾周后,一些州機構在獲取州數據方面仍然存在困難。
2019年12月,美國路易斯安那州新奧爾良市發生了本年度第三起勒索軟件攻擊事件,造成全城斷網斷電,政府網站也處于離線狀態,該城市的其他服務器也已關閉。
五、聯合國內部42臺核心服務器遭到APT組織攻擊
2019年9月,聯合國信息和技術辦公室共42臺核心服務器遭到APT組織攻擊,約400GB文件被盜,包括員工記錄、健康保險和商業合同數據。攻擊者利用一個已知的漏洞(CVE-2019-0604)發起攻擊。聯合國發言人表示,此次襲擊引發了多個系統的重建。
六、俄羅斯政府網站泄露225萬用戶隱私
2019年5月,俄羅斯多個政府網站泄露了超過225萬公民、政府雇員和高級官員的個人和護照信息。俄羅斯非政府組織information Culture的聯合創始人發現了本次泄露事件,調查中發現有23個政府網站泄露了個人保險賬號,14個網站泄露了護照信息。網站負責人員將此次泄露歸咎于政府文檔管理操作不當、IT人員技術水平較低以及內部監控設施不夠完善。
七、美國聯邦應急管理局泄露230萬災難幸存者個人信息
2019年3月,據外媒報道,美國聯邦應急管理局泄露了230萬災難幸存者個人信息。公開的資料顯示,泄露的公民個人信息包括姓名、出生日期、援助日期和申請人社會保障號的后四位數字等。此外,聯邦應急管理局聯邦應急管理局還收集了非必要數據,包括申請人街道地址、城市、郵編、銀行賬號和電子匯款號碼等,這些信息后來被提供給一個身份不明的住房承包商。到目前為止,這些數據還未被發現在網上泄露,承包商也正在接受高級隱私培訓。
八、非洲加蓬共和國70多個政府網站遭到DDoS攻擊
2018年10月,根據外媒報道,位于非洲中部西海岸的加蓬共和國的70多個不同的官方和政府網站遭到黑客“匿名者”破壞和分布式拒絕服務(DDoS)攻擊,導致所有網站離線,并且對應的文件都被刪除。諷刺的是,所有托管在被攻陷服務器上的關鍵政府網站都沒有使用HTTPS協議,唯一沒有受到影響的加蓬總統網站恰恰是因為該網站受到了HTTPS保護。
九、重慶涉外黑客入侵700余個政府機關網站掛黑鏈
2018年5月,重慶警方破獲一起涉外黑客非法獲取我國境內網站服務器權限并出售獲利的案件。該黑客團伙主要攻擊入侵國內的新聞、學校、政府機關網站,通過尋找此類網站漏洞,植入木馬病毒,控制網站服務器,加掛黑鏈自動鏈接博彩網站,或把境外博彩公司鏈接地址保存在搜索引擎內,以加大博彩公司訪問量。經審訊,該網絡黑客團伙組織分工嚴密,非法侵入、控制境內網站數量巨大,該黑客犯罪團伙入侵的國家事務的網站達到200余個,非法控制網站500余個,涉案金額高達2千余萬元。
十、巴基斯坦政府泄露數百萬公民個人信息
2018年5月,數百萬巴基斯坦公民的個人敏感信息正在不同的社交媒體平臺上被出售,售價僅為100盧比,即1美元。根據外媒報道,在2017年8月,巴基斯坦省信息技術委員會由于應用程序漏洞導致公民敏感信息泄露,包括短信和通話記錄、犯罪記錄、酒店信息等。此次被出售的數據還包括由巴基斯坦國家數據庫和注冊局持有的個人和家庭數據、警方追蹤的犯罪記錄、由電信公司記錄的通話數據以及其他一些由政府機構持有或私營公司持有的數據,而這些數據泄露的根源似乎都與PITB的應用程序漏洞有關。
政府機關是與民生關聯最緊密的機構,掌握著大量公民隱私信息,一旦遭到網絡攻擊,便會造成十分嚴重的后果。通過對以上事件的梳理,我們看到多數的政府事件還是因為內部對于安全建設和管理有疏漏,導致黑客乘虛而入。同樣也存在公職人員監守自盜,非法獲取公民信息的情況。因此,增強政府機構的網絡安全建設、加強內部管理人員的安全培訓是當下政府部門網絡安全管理要重點考慮的事情。