安全内参12月30日消息,本文基于网络安全知识平台《安全内参》内容库,梳理了约20起影响较大、危害较严重的国内网络攻击事件,以期为行业从业者提供参考。
统计显示,国内重大网络攻击事件涉及到各行各业,其中以教育科研、工业制造、医疗健康三个行业最为突出;攻击事件的披露方式主要为政府官方披露,第三方媒体披露、企业主动披露的数量较少,占比不足四成。
攻击事件按行业划分,具体如下:
-
教育
西北工业大学遭境外网络攻击,源头系美国国家安全局
中国上百个重要信息系统被美国植入木马程序
学习通疑泄露1.7亿用户数据,官方称公安已介入
-
制造
蔚来汽车披露数据安全事件:部分数据遭窃取 被勒索1567万元
美的工厂多处电脑中勒索病毒?官方称与事实不符
-
医疗
北京健康宝遭受境外网络攻击:源头来自境外 已有效处置
澳门健康码曾遭来自欧美地区网络攻击,达300多万次
-
政务
多个团伙利用社保公积金系统漏洞,非法获取公民个人信息2300万条
台湾全岛个人信息被放在网上兜售,经调查至少20万条真实
-
通信
我国电信设施曾遭网络窃密,部分数据传至境外
我国互联网遭受境外网络攻击:资源被滥用攻击俄乌等国
-
交通
境外公司谎称调研窃取我国高铁数据:月采集信号数据达500GB
-
金融
深圳证监局通报:某券商OA系统遭攻击,影响移动办公
-
企业
畅捷通漏洞被勒索软件利用攻击国内企业!工信部漏洞平台发布预警
黑客长期潜伏国内一外贸企业邮箱,骗走200余万美元货款
网传B站企业邮箱发钓鱼链接,致使多员工被骗达8万元
-
公众
QQ出现大规模盗号!自动群发低俗不雅内容,官方回应
“8220”挖矿团伙持续传播僵尸网络程序:重点攻击北上广等城市
Fodcha僵尸网络在国内大规模传播,日活跃感染终端超万台
BlackMoon僵尸网络在国内大规模传播,已感染数百万终端
攻击事件具体详情如下:
数据泄露类
蔚来汽车披露数据安全事件:部分数据遭窃取 被勒索1567万元
12月20日综合消息,蔚来汽车信息安全委员会负责人卢龙在官方社区发布公告,称12月11日收到数据勒索邮件,对方以泄露数据勒索225万美元(约人民币1567万元)等额比特币。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。蔚来公司称,承诺对因本次事件给用户造成的损失承担责任,并将协同有关执法部门深入调查此次事件,依法坚决打击相关的数据窃取、买卖行为。
多个团伙利用社保公积金系统漏洞,非法获取公民个人信息2300万条
据红星新闻12月7日消息,四川南充市公安局顺庆区分局侦破一起公安部挂牌督办案件,打掉多个利用社保、公积金等系统漏洞非法获取公民个人信息的犯罪团伙,涉及四川、河南、广东多个省市,抓获犯罪嫌疑人121人,查获公民个人信息2300余万条,发现国内多地各类信息系统平台漏洞300余个,收缴黑客工具12套。民警调查发现,犯罪嫌疑人杨某先后通过“Telegram”聊天软件建立“普通查询”和“高级查询”两个聊天群,吸纳群成员2200余人,并将其从四川、广东、广西等地信息系统非法获取的100余万条公民个人信息和300余个系统漏洞发布至群内,用于交易牟利,已形成多个犯罪链条。
台湾全岛个人信息被放在网上兜售,经调查至少20万条真实
据海峡导报10月30日消息,有台媒报道,台湾地区户政系统传出遭黑客入侵,有网友在海外论坛BreachForums上贩售20万笔台湾民众户籍资料,并宣称手上有全台2300万民众资料。台湾“调查局”本月25日获报后即展开追查,初步调查确认目前释出的20万笔集中在宜兰地区,且资料都吻合,宜兰“县长”林姿妙、民进党“立委”陈欧珀等人的个人资料都在其中。台湾“内政部”初步研判,该论坛上贩售的资料,看似由多个数据库组合而成,资料真实性有相似度,已交由检警调调查,并强调户役政资讯系统资料并未流出。
学习通疑泄露1.7亿用户数据,官方称公安已介入
据南方都市报6月21日消息,有公众号发文称,高校学习软件“学习通”数据库信息疑似大规模泄露,包含姓名、手机号、性别、学校、学号、邮箱等信息,数量疑达1亿7273万条。对此,学习通发微博回应称,不存储用户明文密码,理论上用户密码不会泄露,“公司确认网上传言密码泄露是不实的”。学习通还称收到用户数据疑似泄露的消息后已连续技术排查十余小时,暂未发现明确的用户信息泄露证据,且公安机关已经介入调查。
我国电信设施曾遭网络窃密,部分数据传至境外
据新华社4月16日消息,国家安全机关公布多起典型案件,包括一起关键信息基础设施领域遭网络攻击窃密案。2020年以来,国家安全机关工作发现,我国有关电信运营商、航空公司等单位内网和信息系统先后多次出现越权登录、数据外传等异常网络行为,疑似遭受网络攻击。国家安全机关依法开展技术检查,确认部分骨干网络节点设备、核心业务系统服务器等被植入特种木马程序,已有部分数据被发送至境外。通过进一步深入调查证实,相关攻击活动是由某境外间谍情报机关精心策划、秘密实施的。该机构调集强力网络攻击力量,使用全球多地网络资源和先进网络武器,妄图实现对我国关键信息基础设施战略控制的目的。最终,国家安全机关成功粉碎其对我国“停服断网”的图谋。
境外公司谎称调研窃取我国高铁数据:月采集信号数据达500GB
据央视新闻4月13日消息,国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。这起案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件。一境外公司借口调研,委托国内某公司采集中国铁路信号数据。公司法务曾提示项目可能危害国家安全。而面对高额利润,这家公司仍按要求采集数据,还为对方开通登录端口,甚至介绍其他公司赚分成。此项目一个月就能采集500G数据,若不法分子利用数据进行干扰,可威胁铁路运营。目前,相关嫌疑人已被逮捕。
黑客攻击类
黑客长期潜伏国内一外贸企业邮箱,骗走200余万美元货款
据浙江法制报10月31日消息,杭州钱塘一家外贸企业的电子邮箱遭不法分子入侵,导致企业险些被骗200余万美元货款。据当地警方调查,黑客通过木马程序侵入了这家企业的邮箱,并长期潜伏,发现双方交易后,篡改了企业发送给国外客户邮件中的收款人信息及收款账户,致使客户根据邮件信息,将货款打进了黑客的账户。警方介入时,这笔货款仍在银行中转流程中,警方通过及时申诉支付冻结,将全部货款顺利追回。
深圳证监局通报:某券商OA系统遭攻击,影响移动办公
据证监会网站10月13日消息,深圳证监局公布了2022年第5期证券期货机构监管通讯,其中通报了一起证券公司网络安全风险管理不规范的风险案例。通报称,辖区某证券公司因网络安全风险管理存在漏洞,导致公司OA系统遭受注入攻击影响公司移动端OA办公。深圳证监局核查发现,该公司渗透测试及漏洞修复机制不完备,网络安全监控方式和响应机制有待改进,安全防护策略有待加强。同时,该公司信息系统相关人员流动较大,多个重要信息系统运维主岗已离职,多个技术管理环节权限管理不严。
澳门健康码曾遭来自欧美地区网络攻击,达300多万次
据环球时报9月16日消息,澳门保安司司长黄少泽在一场修改《维护国家安全法》咨询会上透露,去年5月初澳门健康码连续两天遭受境外网络攻击,导致部分人无法转换粤康码,珠澳出入境大受影响,关口一度人流拥挤。经调查发现这是来自欧美地区的持续性攻击,多达300多万次。特区政府认为这并非普通的网络攻击,明显是想影响澳门的整体社会运作。澳门司警局局长薛仲明称,澳门每天都遭到大大小小的网络攻击,去年平均每分钟约受到3.4次攻击。
西北工业大学遭网络攻击,源头系美国国家安全局
据央视新闻9月5日消息,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,经综合研判分析,初步判明相关攻击活动源自美国国家安全局下属的“特定入侵行动办公室”。调查发现,“特定入侵行动办公室”多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。
QQ出现大规模盗号!自动群发低俗不雅内容,官方回应
据南方都市报6月27日消息,26日晚间,标题为“QQ盗号”“QQ回应大批账号被盗”的词条相继登上微博热搜。大量QQ用户反映,自己的QQ账号被盗后,向好友或在群聊中发送色情图片等不良信息,随后用户账号因被检测到违规行为而遭到封禁。27日上午,腾讯QQ官方微博发文回应称,其自6月26日晚10时左右收到部分用户反馈的QQ账号被盗一事,经调查发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。
“国防七校”西北工业大学遭受境外网络攻击
综合消息,西北工业大学官方公众号6月22日发布公开声明,近期,该校电子邮件系统遭受网络攻击,报警后经公安机关初步判定,是境外黑客组织和不法分子发起的网络攻击行为。据悉,该校电子邮件系统发现一批以科研评审,答辩邀请和出国通知等为主题的钓鱼邮件,内含木马程序,引诱部分师生点击链接,非法获取师生电子邮箱登录权限,致使相关邮件数据出现被窃取风险。同时,部分教职工的个人上网电脑中也发现遭受网络攻击的痕迹。上述发送钓鱼邮件和发起网络攻击的行为对西北工业大学校内信息系统和广大师生的重要数据造成重大安全威胁。
北京健康宝遭受境外网络攻击:源头来自境外 已有效处置
据北京青年报4月28日消息,北京市第318场新冠病毒肺炎疫情防控工作新闻发布会召开。北京市委宣传部对外新闻处副处长隗斌在会上表示,当天北京健康宝使用高峰期遭受网络攻击,经初步分析,网络攻击源头来自境外,北京健康宝保障团队进行及时有效应对,受攻击期间,北京健康宝相关服务未受影响。在北京冬奥会冬残奥会期间,北京健康宝也遭受过类似网络攻击,均得到有效处置。
我国互联网遭受境外网络攻击:资源被滥用攻击俄乌等国
据新华社3月11日消息,国家互联网应急中心监测发现,2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。经分析,这些攻击地址主要来自美国,仅来自纽约州的攻击地址就有10余个,攻击流量峰值达36Gbps,87%的攻击目标是俄罗斯,也有少量攻击地址来自德国、荷兰等国家。据悉,国家互联网应急中心已及时对以上攻击行为最大限度予以处置。
网传B站企业邮箱发钓鱼链接,致使多员工被骗达8万元
据炣燃科技2月7日消息,微博用户@王落北 爆料称,1月5日凌晨,B站公司内部邮件发了全员钓鱼链接,多位同事中招,受骗金额总计8万左右。当天下午1点IT才把钓鱼邮件删除完。该微博的配图显示,钓鱼邮件为“年终工资补贴通知”相关内容,受害员工成立了“钓鱼邮件受害者”群,已有72人加入。
恶意软件类
(勒索软件/病毒木马/僵尸网络)
畅捷通漏洞被勒索软件利用攻击国内企业!工信部漏洞平台发布预警
综合消息,国内多家安全厂商发布预警称,8月28日起国内某企业财务软件0day漏洞可能遭到大规模勒索利用,已出现上千起使用该软件的企业勒索软件攻击案例,中招用户被勒索0.2比特币(约2.7万元)。30日,工信部网络安全威胁和漏洞信息共享平台发布预警称,畅捷通T+软件存在远程代码执行的超危安全漏洞。该漏洞已被攻击者利用进行勒索病毒攻击,导致多起服务器因遭受攻击造成数据被加密的事件。建议受影响的单位和用户立即升级到最新版本。
美的工厂多处电脑中勒索病毒?官方称与事实不符
综合消息8月11日,有网友爆料称美的工厂多处电脑中勒索病毒,导致所有内部系统上不了,所有文件无法打开,被勒索要求7天汇1000万美金到指定账户,还称黑客是在美的集团长达九天的集体年假时趁虚而入。对此,美的方面回应称:这是谣言,与事实不符。美的官方微博称,“8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。”
中国上百个重要信息系统被美国植入木马程序
据环球网6月29日消息,国家计算机病毒应急处理中心和360公司分别发布专题研究报告,同日披露美国国家安全局(NSA)所属的又一款网络攻击武器“酸狐狸”漏洞攻击武器平台。报告称,“酸狐狸”的默认木马程序“验证器”的不同版本曾在中国上百个重要信息系统中运行,其植入时间远远早于“酸狐狸平台”及其组件被公开曝光时间,说明NSA对至少上百个中国国内的重要信息系统实施网络攻击。时至今日,多个“验证器”木马程序仍在一些信息系统中运行,向NSA总部传送情报。
“8220”挖矿团伙持续传播僵尸网络程序:重点攻击北上广等城市
据CNCERT 5月19日消息,CNCERT近期监测跟踪发现,“8220”挖矿团伙近期持续传播Tsunami僵尸网络程序。抽样监测发现,在近期该团伙单日对上千台主机成功实施漏洞攻击,并下载挖矿、僵尸网络程序等恶意样本。上述团伙传播目标IP所在地域主要集中在北京、广东、上海等省份城市。目前捕获的8220攻击团伙的IP类型的攻击资源,主要分布美国、乌克兰等国家。CNCERT建议,对暴露在公网上的应用服务使用高强度口令及认证机制,定期对服务器进行加固,修复相关高危漏洞。
Fodcha僵尸网络在国内大规模传播,日活跃感染终端超万台
据CNCERT 4月12日消息,国家互联网应急中心(CNCERT)监测发现一个新的且在互联网上快速传播的DDoS僵尸网络Fodcha,通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)已超过1万、且每日会针对超过100个攻击目标发起攻击,给网络空间带来较大威胁。Fodcha僵尸网络位于境内肉鸡按省份统计,排名前三位的分别为山东省(12.9%)、辽宁省(11.8%)和浙江省(9.9%);按运营商统计,联通占59.9%,电信占39.4%,移动占0.5%。
BlackMoon僵尸网络在国内大规模传播,已感染数百万终端
据CNCERT 3月1日消息,国家互联网应急中心(CNCERT)监测发现,BlackMoon僵尸网络在互联网上进行大规模传播,通过跟踪监测发现其1月控制规模(以IP数计算)已超过100万,日上线肉鸡数最高达21万,给网络空间带来较大威胁。BlackMoon僵尸网络位于境内肉鸡按省份统计,排名前三位的分别为广东省(12.7%)、河南省(9.3%)和江苏省(7.6%);按运营商统计,电信占57.5%,联通占22.9%,移动占19.4%。