2010 年代即将结束,ZDNet 回顾了过去十年来发生的最重要的网络安全事件。
在过去十年里,我们已经目睹了这十年来发生的一切。我们经历了骇人听闻的数据泄露事件、多年来频繁出现的黑客行动、大量的国家网络间谍活动、几乎无休止的网络金融犯罪,以及使系统无法使用、极具破坏性的恶意软件。
本文是 2010 年代最重要的网络安全事件的摘要,按年份排序。我们不一定要研究最大的入侵行为或影响最广泛的黑客活动,而是关注那些催生了新的网络安全趋势的黑客活动和技术,或者是专家如何看待整个网络安全领域的范式转变。
从 2010 年的 Stuxnet(震网)攻击到 2019 年美国一家金融控股公司第一资本金融公司被黑,我们选择了最相关的事件,并解释了这些事件为何如此重要。
Stuxnet(震网)是一种由美国和以色列情报机构共同开发的计算机蠕虫病毒,目的是破坏伊朗在本世纪初启动的核武器计划。
该蠕虫病毒是专门设计用来摧毁伊朗政府在核燃料浓缩过程中使用的数据采集与监控系统设备(Supervisory control and data acquisition,SCADA)。这次攻击很成功,摧毁了几个地点的设备。
尽管在 2010 年之前,各国之间也曾发生过其他网络攻击事件,但 Stuxnet 是第一起登上全球头条新闻的事件,标志着网络战争进入了一个新阶段:从简单的数据窃取和信息收集,发展到实际的物理破坏。
有关 Stuxnet 的影响和运作的更多信息,请参见 Kim Zettler 所著的 “Countdown to Zero Day”(《倒数至零:震网病毒和世界第一件数字武器的诞生》)一书和 “Zero Days”(《零日》)纪录片。
在 2010 年到 2015 年间,一家由五名东欧男子组成的黑客组织入侵了几家通讯社,窃取了即将发布的新闻稿。
听起来像是浪费时间?不,绝对不是。这实际上是十年来最聪明的黑客行为之一,因为这家黑客组织利用他们获得的内幕信息来预测股市的变动,并据此进行交易,由此获得了超过 1 亿美元的利润。
美国司法部和美国证劵交易委员会最终听说了他们的阴谋计划,从 2016 年开始严厉打击该组织的成员。
美国一家科技新闻及媒体网站 The Verge 撰写一篇了有关该黑客组织的报道,该报道是同类最好的,公众可从中了解该黑客小组的内部运作情况。这篇报道题为:“How an international hacker network turned stolen press releases into $100 million”(《国际黑客网络如何将窃取来的新闻稿变成 1 亿美元》)。
每当你看到黑客们在 Twitter 上吹嘘他们的黑客行动,使用大量的网络爆红事物来嘲笑他们的入侵目标,或者就 DDoS /黑客攻击的对象提出建议,你就会看到另一个 LulzSec 的模仿者。
网络爆红事物(Internet meme),又称网络模因、网络迷因,是指一夜间在互联网上被大量宣传及转播,一举成为备受注目的事物。
黑客组织 LulzSec 对今天黑客行为的影响不容小觑。这家黑客组织喜欢黑掉那些大牌公司,然后在互联网上到处炫耀。
他们的“50 天攻击计划”(“50 days of lulz”),以及他们实施的所有其他重大黑客行动,开创了这样一种趋势,让我们在接下来的十年看到了一大批寻求关注的模仿性黑客组织,如 Lizard Squad、New World Hackers、TeaMp0isoN、CWA 等等。然而,LulzSec 仍然高居榜首,主要是因为他们的攻击目标清单实在令人印象深刻,其中包括 Fox、HBGary、PBS、CIA 和 Sony。
DigiNotar 遭入侵事件是 2011 年发生的一起鲜为人知的事件,它最终改变了浏览器、证书颁发机构(Certificate Authoritie,CA)和互联网的工作方式,使其朝着更好的方向发展。
DigiNotar 为荷兰一家数字证书机构,母公司为 Vasco。DigiNotar 因这次入侵事件失去信任并宣告破产。
2011 年,有人发现,伊朗政府的黑客入侵了 DigiNotar,并利用其基础设施颁发了 SSL 证书,用于模仿包括 Google 和 Gmail 在内的热门网站。伊朗黑客随后利用这些证书截获了加密的 HTTPS 通信,并监视 30 多万伊朗人。
一项调查显示,这家荷兰公司的安全性和商业行为令人震惊,这反过来导致了浏览器的全面禁令,拒绝验证使用 DigiNotar 证书保护的 HTTPS 网站。
这次黑客攻击引起了 Google、浏览器制造商和其他科技巨头的注意,并催生了对颁发 SSL/TLS 证书的整个做法的彻底改革。DigiNotar 遭入侵之后实施的许多程序甚至在今天仍在使用。
2011 年春,Sony(索尼)宣布,黑客窃取了 7700 万 PlayStation Network (PSN)用户的详细信息,包括个人身份信息和财务信息。
7700 万这一数字在今天似乎看上去微不足道,但在当时,以及之后的许多年里,可以称得上是世界上最大的黑客行动之一。
至少可以这样认为,对 Sony 而言,这次黑客攻击行动是灾难性的。在工程师们解决安全漏洞期间,Sony 不得不关闭 PlayStation Network,多达 23 天,而 PlayStation Network 正是该公司的巨大财源。迄今为止,这仍然是 PlayStation Network 历史上最长的宕机事件。
Sony 由于宕机事件损失了利润,还因为一些用户开始注意到信用卡欺诈后,他们提起的集体诉讼。当 Sony 不得不为用户提供大量免费的 PlayStation 3 游戏让他们重新上线,它因此损失了更多的金钱。
Sony PlayStation Network 2011 年的黑客入侵事件之所以引人注目,不仅是因为该事件表明,如果一家公司未能对安全方面进行适当的投资,黑客入侵行动可能会带来损失;而且还因为它创造了一种趋势,就是公司在服务条款中增加了新的条款,迫使用户放弃在安全漏洞出现后提起诉讼的权利。Sony 并不是第一家使用这一条款的公司,但正是他们让这一条款流行起来,许多其他公司在不久之后,也增加了类似的条款。
Shamoon (又名 DistTrack),是一款伊朗开发的恶意软件,可以视为两年前 Stuxnet 病毒攻击带来的直接结果。
在亲身了解恶意软件的破坏力之后,伊朗政府也创造了自己的“网络武器”,并于 2012 年首次部署。
Shamoon 旨在擦除数据,摧毁了沙特阿拉伯国家石油公司(Saudi Aramco,简称沙特阿美)网络上的 3.5 万个工作站,使该公司数周以来一直陷于瘫痪状态。当时有报道称,Saudi Aramco 购买了 wolrd 的大部分硬盘,以替换被摧毁的 PC 集群,此举导致硬盘价格在随后几个月里不断上涨,而供应商难以满足需求。
该恶意软件的变种在随后几年被发现,大多数都部署在活跃的公司或与石油和天然气行业相关的公司。
Flame被 Kaspersky(卡巴斯基)发现,认为该恶意软件与 Equation Group(美国国家安全局的代号)有关,Flame 被描述为有史以来最先进、最复杂的恶意软件。
译注:Equation Group,是一家十分先进而隐秘的计算机间谍活动团体,可能与美国国家安全局(NSA)有所关联。Equation Group 是由 Kaspersky 命名,命名的原因是该团体在间谍活动中喜好使用复杂的加密算法和混淆策略。
两年后的 2014 年,当 Kaspersky 发现 Regin 时,Flame 终于不再是有史以来最先进、最复杂的恶意软件,但 Flame 的发现,揭示了美国网络武器库与其他国家组织使用的所有其他工具之间的技术和能力差距。
Washington Times(华盛顿时报)随后的一篇报道称,Flame 和 Stuxnet 属于同一批黑客工具库的一部分,主要是针对伊朗部署的。自那以后,这种恶意软件就再也没有出现过,但它的发现,至今仍被认为是世界各地网络间谍活动升级的一个里程碑。
这件事说来话长,并非三言两语可以说得清楚。那我们直入主题吧。斯诺登泄密事件可能是这十年来,最重要的一起网络安全事件。他曝光了美国及其五眼联盟在 911 袭击后建立的全球监视网络。
译注:五眼(Five Eyes,缩写为 FVEY),又译为五眼联盟,一个语言以讲英语为主的国家的情报联盟,在英美协定下组成的国际情报分享团体,成员包括澳大利亚、加拿大、新西兰、英国和美国五国。五眼联盟的历史可以追溯到第二次世界大战时,同盟国发布的大西洋宪章。
斯诺登泄密事件促使中国、俄罗斯和伊朗等国建立了自己的监视系统,并加强了外国情报收集工作的力度,从而导致网络间谍活动的整体增长。
目前,许多国家都在炫耀诸如“国家互联网”或“互联网主权”等概念,以证明对本国公民进行监视和审查网络的做法是合理的。而这一切都始于 2013 年斯诺登向全世界揭露美国国家安全局的丑闻之后。
关于斯诺登泄密事件的影响,Wikipedia(维基百科) 的条目已经相当完整了,这对于任何人来说,都是开始研究这一主题的很好的切入点。
2013 年 12 月,零售巨头塔基特公司(Target)承认,植入在他们的门店系统中的恶意软件已帮助黑客收集了大约 4000 万用户的支付卡详细信息,从而让世界首次接触了 POS 恶意软件这一术语。
POS 恶意软件事件以前也曾发生过,但这是大型零售商第一次遭受这种程度的破坏。
其他零售商在接下来的几年都在跟进,通过跟踪报道,人们最终发现,黑客是如何在一个名为“信用卡商店”(card shops)的网站上交易偷来的信用卡,以制作克隆信用卡,并清空用户的银行账户的。
2013 年 11 月,Adobe 承认,黑客窃取了超过 1.53 亿用户的数据。数据被拖到网上,用户密码几乎立即被破解,并被还原为明文版本。
多年来,这一事件被用来推动强大的密码哈希函数的采用。
丝路(Silk Road)是利用 Tor 来运作的暗网黑市购物网站,贩售物品多为毒品等违法产品,它是第一家被取缔的暗网黑市购物网站。丝路在 2013 年被取缔,首次向全世界表明,暗网和 Tor 也并不完美,甚至在互联网的这个角落里,法律的力量也能触及。而在那之前,人们曾认为,暗网是无法穿透的。
在丝路遭查封关停之后,其他市场如雨后春笋般冒了出来,但却没有一家能够长久存活下来。他们中的大多数人要么踩雷(管理员卷走了用户的钱出逃),要么最终也被执法部门拿下。
Have I Been Pwned(“我的信息是否已经泄露”)网站成立于 2013 年 12 月,网站的理念是为用户提供一种简单的方法来检查他们的账户是否被包含在 Adobe 的被入侵名单中,如今已成为一个独立的品牌了。
今天,这家网站仍然可以正常运行,就像它推出时一样,允许用户查看他们的用户名或电子邮件是否已经包含在数据泄露清单中。
目前,该网站包括来自 410 个被黑网站的数据库,以及 90 多亿个账户的信息。它集成在 Firefox、密码管理器、公司后端、甚至一些政府系统中。
这家网站由澳大利亚安全专家 Troy Hunt 管理,为改善世界各地组织的安全状况做出了巨大贡献。
毫无疑问,2014 年 Sony Pictures(索尼影视娱乐)遭黑客攻击事件让世界第一次了解到朝鲜也有黑客,而且黑客能力相当强。
这些黑客攻击行动是由一个自称“Guardians of Peace”(和平守卫者,后来被称为 Lazarus Squad)的黑客组织实施的,这家组织最终被认为跟朝鲜的情报机构有关。
这次黑客攻击行动的目的是迫使制片方放弃行一部名为《刺杀金正恩》(Interview)的电影发行,这是一部关于暗杀朝鲜领导人金正恩的喜剧片。
Sony 拒绝后,黑客就摧毁了 Sony 公司内部网络,并在网上泄漏了工作室数据和私人电子邮件。
Sony 事件被认为不过是一次小小的黑客攻击行动,帮助网络安全公司了解到朝鲜黑客能力的范围,并在接下来的几年里,他们终于拥有了对其他许多事件的洞察力。
在这起事件发生之前,朝鲜黑客活动主要集中在攻击他们的南部邻国。继奥巴马总统实施的黑客攻击和制裁之后,他们的黑客行动就扩展到全球,使美国成为当今最活跃的网络间谍和网络犯罪大国之一。
直到今天,网络安全公司还在以Celebgate 攻击(也称为 Fappening 泄漏)为例来训练有关鱼叉式网络钓鱼(spear-phishing)的培训课程。Celebgate 攻击是指用户不注意密码重置邮件的有效性时会发生什么情况。这是因为早在 2014 年,就有一小撮黑客利用针对名人的假密码重置电子邮件,骗取名人在钓鱼网站上输入他们的 Gmail 或 iCloud 密码。
随后,黑客利用钓来的这些凭据访问账户,来查找色情或裸体照片和视频,然后将这些发布到网上。其他的“Fappening 泄漏”浪潮发生在后来的几年,但最初的泄漏是发生在 2014 年夏天。
多年来,专家和用户都认为,寻求金钱的黑客通常会盯上消费者、商店零售商或公司。
关于 Carbanak(也称为 Anunak 或 FIN7)的报告首次表明,存在一家技术高超的黑客组织,能够直接从源头(即银行)中窃取资金。
Kaspersky Lab(卡巴斯基实验室)、Fox-IT 和 Group-IB 的报告显示,Carbanak 黑客组织非常先进,它可以渗透银行的内部网络,隐蔽数周或数月,然后通过 SWIFT 银行交易或协同 ATM 提款来窃取巨额资金。
译注:SWIFT,Society for Worldwide Interbank Financial Telecommu-nication 环球同业银行金融电讯协会。是国际银行同业间的国际合作组织,成立于一九七三年,目前全球大多数国家大多数银行已使用 SWIFT 系统。SWIFT 的使用,使银行的结算提供了安全、可靠、快捷、标准化、自动化的通讯业务,从而大大提高了银行的结算速度。由于 SWIFT 的格式具有标准化,目前信用证的格式主要都是用 SWIFT 电文。
人们认为,这家组织总共从被黑的银行中窃取了超过 10 亿美元,这一数字还没有任何其他组织能与之匹敌。
Mt. Gox 并不是世界上第一家遭到黑客攻击的加密货币交易所,但它的被黑事件至今仍是加密货币生态系统中最大的网络盗窃案。
这起黑客攻击行动发生在 2014 年初,至今仍笼罩在迷雾之中,当时,黑客盗窃了 85 万枚比特币,如今价值已超过 63 亿美元。那时候,Mt. Gox 是世界上最大的加密货币交易所。
在这起黑客事件之后,黑客们意识到,他们可以通过攻击交易平台来获取巨额利润,因为与现实世界的银行相比,交易所平台的安全保护比较薄弱。在随后的几年里,又发生了数百起黑客攻击事件,但 Mt. Gox 遭入侵仍然是引发这类攻击行为的开山鼻祖。
2014 年夏天,全年世界第一次知道了 Phineas Fisher,他是一名激进黑客,热衷攻击制造间谍软件和监视工具的公司。
这名黑客在 2014 年入侵了 Gamma Group,2015 年入侵了 HackingTeam。黑客从这两家公司窃取并发布了间谍软件工具的内部文档和源代码,甚至还包括零日漏洞。
Phineas 的泄密为世人揭露了向世界各国政府出售黑客、间谍软件和监视工具的公司的阴暗世界。虽说有些工具可以说是用来抓捕罪犯的,但其中一些工具与暴虐政权有关,这些暴虐政权滥用这些工具来监视异见人士、记者和政治对手。
OpenSSL 中的心脏出血漏洞(Heartbleed)是罕见的安全缺陷之一,好得让人难以置信。
该漏洞允许攻击者从公共服务器获取加密密钥,这些密钥可用于解密通信或在易受攻击的系统上进行身份验证。
这个漏洞在被公开披露后就被攻击者利用了,并导致了 2014 年及以后的一系列黑客攻击事件,因为尽管一再发出警告,但一些服务器运营商仍然未能对 OpenSSL 实例进行修补。
当这一漏洞被公开披露时,人们相信,大约有 50 万台互联网服务器是易受攻击的,这一数字花了好几年才修复。
在过去的十年里,已经发生了数千起数据泄露事件,但如果 ZDNet 必须选择最重要的一起事件,我们会毫不犹豫地选择 2015 年成人交友网站 Ashley Madison 的数据泄露事件。
这起数据泄露事件发生在 2015 年 7 月,当时一家自称 Impact Team 的黑客组织公布了 Ashley Madison 的内部数据库。这家网站将自己定位为婚外恋的成人交友网站。
如今,大多数入侵事件都会在论坛上暴露你的用户名和密码,而你甚至都不记得在 21 世纪初在这些论坛上注册过账户。但 Ashley Madison 数据泄露事件却不是这样,它暴露了许多人的丑闻,这是其他任何一起泄露事件都不曾有过的情况。
在这家网站上注册的用户面临敲诈勒索的企图,一些人在被公开揭露在该网站拥有账户后自杀。这是为数不多的直接导致死亡的网络安全事件之一。
SIM 交换攻击(SIM swapping)是指黑客打电话给移动电信公司,诱使移动运营商将受害者的电话号码转移到攻击者控制的 SIM 卡上的一种策略。
关于首次使用 SIM 交换的攻击报告可以追溯到 2015 年。最初,大多数 SIM 交换攻击都与黑客在社交媒体账户上重置密码、劫持抢手的用户名并随后在网上转售的事件有关。
随着黑客们慢慢意识到,他们也可以利用这种技术获取加密货币或银行账户的权限,从而窃取大量金钱,SIM 交换攻击由此变得越来越流行。
从那时起,这种技术变得越来越流行,美国电信公司最容易受到攻击,因为他们不愿意阻止用户在没有亲自访问他们的营业厅的情况下迁移电话号码,就像世界上大多数地方所做的那样。
2015 年也是 DDoS 敲诈勒索成为现实的一年。这项技术是由一家名为 DD4BC 的组织首创并流行起来的,该组织会向要求比特币支付的公司发送电子邮件,否则他们将通过 DDoS 攻击来攻击该公司的基础设施,并迫使关闭关键服务。
早在 2016 年初,欧洲刑警组织就逮捕了这个原始组织的成员,但 DD4BC 的运作方式被一家自称 Armada Collective 的黑客组织复制过去,使得这种做法更加流行。
DD4BC 和 Armada Collective 在 2015 年和 2016 年首次使用的战术,直到今天仍在使用,这些战术是今天许多 DDoS 攻击的核心,并且它们在某些目标上造成了宕机事件。
2015 年 12 月,乌克兰电网的网络受到攻击,导致乌克兰西部地区停电,这是有记录以来第一次对电网控制网络的成功攻击。
2015 年的攻击行动,使用了一种称为 BlackEnergy 的恶意软件,第二年,也就是 2016 年 12 月,又发生了一次类似的攻击,第二次攻击行动甚至使用了一种更复杂的恶意软件:Industroyer,成功切断了乌克兰首都五分之一的电力供应。
虽然 Stuxnet 和 Shamoon 是第一批针对工业目标的网络攻击,但乌克兰的这两起事件是第一起影响到普通公众的事件,让所有人都意识到,网络攻击可能会对一个国家的关键基础设施带来的危险。
在俄罗斯 2014 年初入侵克里米亚半岛之后,俄罗斯黑客对乌克兰实施了一系列攻击行动,这两起攻击行动只是其中的开始。其他网络安全事件包括 2017 年发生的 NotPetya 和 Bad Rabbit 勒索软件事件。
这些攻击行动幕后的组织被称为 Sandworm,据信是俄罗斯军事情报机构的一部分。由 Wired (连线)杂志信息安全编辑 Andy Greenberg 撰写的 Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers(《Sandworm:网络战争的新时代,寻找克里姆林宫最危险的黑客》)一书详细描述了该组织的黑客行动。
原文链接:
A decade of hacking: The most notable cyber-security events of the 2010s
领取专属 10元无门槛券
私享最新 技术干货