历年最具影响力的 APT 攻击事件汇总 - 持续更新
2021 年
首次发现感染惠普 iLO 固件的 Rootkit
惠普服务器提供一个名为 ilo (又称 ntegrated Lights-Out,集成熄灯)的管理模块,该模块在连接电源线后立即打开,并加载一个完整的专有操作系统。该模块可完全访问服务器上安装的所有固件、硬件、软件和操作系统。除了管理服务器硬件外,它还允许管理员远程开关服务器访问服务器控制台,甚至在服务器上安装操作系统。
ilo 的许多方面使其成为恶意软件和 APT集团的理想天堂:极高的权限 (高于操作系统的任何访问级别)、对硬件的极低访问级别、完全不在管理员和安全工具的视线范围内、普遍缺乏检查ilo 和/或保护 ilo 的知识和工具、即使在更换操作系统后恶意软件仍能持续存在,尤其是始终运行且从不关闭…..
在本报告中,我们分析了在野外发现的一种 rootkit,它隐藏在 ilo 内部,无法通过固件升级删除,而且可以长期隐藏起来。该恶意软件已被黑客使用了一段时间,我们一直在监控其性能。据我们所知,这是世界上第一份在 iLo 周件中发现真实恶意软件的报告。
深入探讨 NSO 零点击 iMessage 漏洞:远程代码执行
今年早些时候,公民实验室成功捕获了一个基于 NSO iMessage 的零点击漏洞,该漏洞被用来针对一名沙特活动人士。我们将首次描述野外零点击 iMessage 漏洞利用的工作原理。
根据我们的研究和发现,我们评估 这是我们所见过的技术最复杂的漏洞利用之一,进一步 证明NSO 提供的功能可以与以前认为只有少数民族国家才能使用的功能相媲美。
NSO 集团是最知名的“访问即服务”提供商 之一,销售打包的黑客解决方案,使没有本土攻击性网络能力的国家行为者能够“付费”,从而大大增加了拥有此类网络能力的国家数量。
2019 年
2018 年
2017 年
Vault7 - 2017年
Wikileaks 披露了代号为 Vault 7 的 CIA 黑客工具集。Vault 7 包含了感染 iPhone、Wi-Fi 路由器和思科网关等设备的漏洞利用和文档,被认为是 CIA 历史上已知最大规模的机密信息泄漏。现在,美国政府披露了背后泄密者的身份:29 岁的 Joshua A. Schulte,他已经在一年前就遭到逮捕,FBI 在 Wikileaks 公开第一批 Vault 7 文件后一周就突击搜查了他的家,扣押了手机、电脑和“最高机密的政府情报”,他随即成为泄密调查的主要目标。
维基解密爆料,CIA能够通过恶意软件等网络武器控制大量美国、欧洲等地的电子设备和操作系统产品,它能将这些设备变成麦克风展开监听,即便关机仍能录音。对此,CIA作出回应,该机构表示,发起网络攻击、收集情报这都是他们的工作内容,不过它并没有就维基解密曝光文件的真实性作出正面回应。
2017 年
2016 年
2015 年
乌克兰电网黑客 - 2015年
这是有史以来首次对电网实施并影响公众的攻击。攻击背后的组织被称作“沙虫”,被认为是俄罗斯军事情报机构一部分。
乌克兰电网因被攻击而停电,黑客成功入侵了乌克兰三家能源分配公司的信息系统、暂时中断了最终用户的电力供应,受影响最大的是“Прикарпаттяобленерго”的客户,其关闭了30个变电站、约有23万人断电了1到6个小时;另外还有两家能源分销公司也受到了程度较小的攻击。该攻击使用了一种名为BlackEnergy的恶意软件。2016年12月,攻击者又进行了类似攻击,不过这一次使用了名为“Industroyer”的更为复杂的恶意软件,这次成功切断了乌克兰首都的五分之一。
2014 年
2014 年
2013 年
斯诺登泄露事件 - 2013年
美国全球监听行动记录
斯诺登的暴露可能是十年来最为重要的网络安全事件,其暴露出美国及其“五眼联盟”在“911事件”袭击后建立的全球监视网络,该事件让很多国家创建了自己的监视部门,并加强了外国情报的收集工作,从而导致整个网络间谍活动的增加。
美国安局曾拦截华为加装后门
美国国安局的监控丑闻在全世界闹得沸沸扬扬。日前,德国《明镜周刊》再度报道称,美国国安局曾经拦截交付途中的笔记本电脑等电子设备,秘密加装监控后门软件,而生产商和客户完全不知情。
据报道,国安局底下有一个实施电子监控的“精锐部队”,名为“定制访问行动组”(TAO),专门针对不容易破击和进攻的信息系统。这个行动组曾经入侵了全球许多国家领导人物使用的受到安全加密的电脑系统和电子设备,他们甚至能够通过光纤,拦截窃取信息。
据报道,这个行动组,还会拦截一些厂商处于交付途中的电子设备,然后秘密安装后门软件,客户完全不知晓。
所涉及的电子产品除了电脑之外,还有硬盘、路由器等。受影响的电子厂商包括思科、戴尔、西部数据、迈拓、三星电子、华为等。
《明镜周刊》报道称,国安局的TAO行动组有一个50多页长的电子产品目录,其中的产品可被加装后门软件。
据报道,对于电子厂商的任何安全锁定措施,国安局总会找到破解的办法,旗下的破解专家,在技术上已经超越了科技行业的安全部门。
对于这则报道,戴尔公司表示,并不了解自家的产品是否被美国国安局加装了后门软件,生产路由器和网络设备的思科也表示,目前并不掌握相关的安全漏洞。
美国国安局在全球的监听计划,引发了各国和美国国内公民权利组织的反对。不过,在针对国安局的一宗诉讼中,美国纽约曼哈顿一家法庭日前宣布,国安局监听行为旨在对付恐怖组织,因此合法。美国总统奥巴马表示,将会对国安局监听计划作出调整。
NSA入侵中东银行案例
首先通过未公开的漏洞利用工具,取得了架设在网络边界上的4台Juniper VPN防火墙的控制权,并在其上安装了Rootkit;然后攻陷内层的企业级防火墙,包括1台Cisco ASA防火墙和1台Juniper防火墙,也在其上安装了Rootkit;之后,攻击者针对内网节点,使用漏洞攻击平台FuzzBunch进行横向移动,并使用5个未公开的漏洞利用工具获得服务器权限,其中包括4个“永恒”系列漏洞和1个“爆炸之罐”漏洞,在攻陷的系统上安装模块化的DanderSpritz木马,先后取得了2台管理服务器和9台业务服务器的控制权;最后通过2个SQL脚本实现了与Oracle服务器的
2012 年
2010 年
震网病毒 2010年
Stuxnet作为世界上首个网络“超级破坏性武器”,最终成功感染了全球超过45000个网络,其中伊朗遭到的攻击最为严重,60%的个人电脑受到感染。该病毒在伊朗工控系统潜伏了5年之久,对伊朗整体核计划的约五分之一造成了重大损害。有专家大胆猜测称,Stuxnet是一种政府型网络武器,这也是第一次使用计算机病毒来操纵物理世界的事件。
震网(Stuxnet):2010年6月中旬,白俄罗斯安全公司VirusBlokAda发现了一种计算机蠕虫,并从其代码关键字中取名“Stuxnet”。2012年经《纽约时报》报道,该病毒是由美国国家安全局在以色列情报部门的协助下共同开发,以奥林匹克网络攻击行动为计划代号,目的是要破坏伊朗核武器计划、销毁伊朗在其核燃料浓缩过程中所使用的西门子SCADA(数据采集与监控系统)设备。Stuxnet同时利用微软和西门子公司产品的7个最新漏洞进行攻击,最初通过感染USB闪存驱动器传播,病毒非常复杂,需要编写者对工业生产过程和工业基础设施十分了解;为了绕过安全产品的检测,该病毒还伪装称Realtek与JMicron两家公司的数字签名。
Stuxnet是一个席卷全球工业界的病毒,于2010年6月首次被发现,也是第一个专门定向攻击真实世界中基础设施(控制伊朗核计划的工业控制系统)的“蠕虫”病毒。该病毒在伊朗工控系统潜伏了5年之久,并通过感染超过200,000台计算机以及导致1,000台机器物理降级,对伊朗整体核计划的约五分之一造成了重大损害。据悉,这种病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或提示出现)取得一些工业用电脑系统的控制权。
参考链接
- https://vx-underground.org/apts.html
- https://github.com/kbandla/APTnotes
- https://github.com/aptnotes/data
- https://www.secrss.com/articles/15576
- Ant Design 源码仓库被删除
- 2021-02-15 41 ,stackoverflow 上有用户发现 Ant Design 项目在 GitHub 上的仓库地址无法访问,疑似被官方删除。经过 Ant Design 官方的初步调查,认定此次事件是受到黑客攻击导致。
- Facebook5.33亿用户的数据免费在黑客论坛中泄漏事件调研
- 卧底互联网大厂的情报猎人
- 微盟删库事件
- 断卡风暴后,虚拟运营商电诈重灾区