近年來,全球針對政府機構的網絡攻擊層出不窮,常見攻擊類型有資料洩露、勒索軟體、DDoS攻擊、APT攻擊、釣魚攻擊以及網頁篡改等。根據美國白宮近期向國會送出的《2019年美國政府網絡安全年報》顯示,美國各政府部門在2019年共發生了28581起網絡安全事件,雖然同比2018年有所下降,但美國政府部門發現在暴力攻擊、利用移動裝置(包括USB裝置、外部硬碟驅動器)攻擊、以及沒有正确使用聯邦機構服務或裝置方面導緻的安全事件增加。
我們對跟蹤到的政府機構網絡安全事件進行梳理,篩選出近三年比較有代表性的十個事件,為政府相關部門和監管機構提供參考,防患于未然。
一、美國200多個公檢法部門洩露296GB資料檔案
2020年6月,激進組織(DDoSecrets)聲稱從美國執法機構和融合中心竊取了296GB被稱作BlueLeaks的資料檔案,這些資料包含了美國200多個警察部門和執法融合中心(Fusion Centers)的報告、安全公告、執法指南等。據推測,某些檔案還包含敏感的個人資訊,例如姓名、銀行賬号和電話号碼。據稱,此次資料洩露事件的始作俑者又是黑客組織“匿名者”。
二、德國政府遭冠狀病毒主題釣魚攻擊損失數千萬歐元
2020年4月,德國西部北萊茵威斯特法倫州政府網站遭遇釣魚攻擊,粗略估計至少造成3150萬歐元的損失。黑客建立了官方網站副本,利用釣魚電子郵件吸引使用者注冊以收集詳細資訊,随後黑客代表真實使用者向政府提出援助請求并替換彙款銀行賬戶。據外媒報道,發現黑客累計僞造了3500至4000份資金請求,此次黑客行動從3月中旬持續到了4月9日,事件被發現後,北威州政府立刻暫停向使用者付款并關閉了其網站。
三、英國政府洩露2800萬未成年人資料
2020年1月,英國教育部資料庫的資訊通路權被一家博彩公司非法擷取,該資料庫包含2800萬兒童的記錄,包括學生姓名、年齡及詳細位址等資訊,是英國政府發生的最大的資料洩露事件之一。根據《泰晤士報》的報道,洩露的資料是由一家第三方教育訓練機構Trustopia向資料情報公司 GB Group提供的,而GB Group會将資料提供給一些賭博公司,這些公司會将這些資料用于其網站上的年齡和ID驗證。事件發生後,教育部已禁用對該資料庫的通路,并将事件上報了ICO隐私保護機構。
四、2019年美國路易斯安那州新奧爾良市發生三起勒索軟體攻擊事件
● 2019年8月,新奧爾良市三個學區遭到勒索軟體攻擊,促使路易斯安那州州長宣布該州進入緊急狀态,這是該州曆史上第一次由網絡攻擊而非自然災害造成的緊急狀态。
● 2019年11月,發生了第二起事件,第二次勒索軟體攻擊加密了路易斯安那州政府IT網絡上的資料。襲擊發生幾周後,一些州機構在擷取州資料方面仍然存在困難。
● 2019年12月,美國路易斯安那州新奧爾良市發生了本年度第三起勒索軟體攻擊事件,造成全城斷網斷電,政府網站也處于離線狀态,該城市的其他伺服器也已關閉。
五、聯合國内部42台核心伺服器遭到APT組織攻擊
2019年9月,聯合國資訊和技術辦公室共42台核心伺服器遭到APT組織攻擊,約400GB檔案被盜,包括員工記錄、健康保險和商業合同資料。攻擊者利用一個已知的漏洞(CVE-2019-0604)發起攻擊。聯合國發言人表示,此次襲擊引發了多個系統的重建。
六、俄羅斯政府網站洩露225萬使用者隐私
2019年5月,俄羅斯多個政府網站洩露了超過225萬公民、政府雇員和進階官員的個人和護照資訊。俄羅斯非政府組織information Culture的聯合創始人發現了本次洩露事件,調查中發現有23個政府網站洩露了個人保險賬号,14個網站洩露了護照資訊。網站負責人員将此次洩露歸咎于政府文檔管理操作不當、IT人員技術水準較低以及内部監控設施不夠完善。
七、美國聯邦應急管理局洩露230萬災難幸存者個人資訊
2019年3月,據外媒報道,美國聯邦應急管理局洩露了230萬災難幸存者個人資訊。公開的資料顯示,洩露的公民個人資訊包括姓名、出生日期、援助日期和申請人社會保障号的後四位數字等。此外,聯邦應急管理局聯邦應急管理局還收集了非必要資料,包括申請人街道位址、城市、郵編、銀行賬号和電子彙款号碼等,這些資訊後來被提供給一個身份不明的住房承包商。到目前為止,這些資料還未被發現在網上洩露,承包商也正在接受進階隐私教育訓練。
八、非洲加蓬共和國70多個政府網站遭到DDoS攻擊
2018年10月,根據外媒報道,位于非洲中部西海岸的加蓬共和國的70多個不同的官方和政府網站遭到黑客“匿名者”破壞和分布式拒絕服務(DDoS)攻擊,導緻所有網站離線,并且對應的檔案都被删除。諷刺的是,所有托管在被攻陷伺服器上的關鍵政府網站都沒有使用HTTPS協定,唯一沒有受到影響的加蓬總統網站恰恰是因為該網站受到了HTTPS保護。
九、重慶涉外黑客入侵700餘個政府機關網站挂黑鍊
2018年5月,重慶警方破獲一起涉外黑客非法擷取我國境内網站伺服器權限并出售獲利的案件。該黑客團夥主要攻擊入侵國内的新聞、學校、政府機關網站,通過尋找此類網站漏洞,植入木馬病毒,控制網站伺服器,加挂黑鍊自動連結博彩網站,或把境外博彩公司連結位址儲存在搜尋引擎内,以加大博彩公司通路量。經審訊,該網絡黑客團夥組織分工嚴密,非法侵入、控制境内網站數量巨大,該黑客幫派入侵的國家事務的網站達到200餘個,非法控制網站500餘個,涉案金額高達2千餘萬元。
十、巴基斯坦政府洩露數百萬公民個人資訊
2018年5月,數百萬巴基斯坦公民的個人敏感資訊正在不同的社交媒體平台上被出售,售價僅為100盧比,即1美元。根據外媒報道,在2017年8月,巴基斯坦省資訊技術委員會由于應用程式漏洞導緻公民敏感資訊洩露,包括短信和通話記錄、犯罪記錄、酒店資訊等。此次被出售的資料還包括由巴基斯坦國家資料庫和注冊局持有的個人和家庭資料、警方追蹤的犯罪記錄、由電信公司記錄的通話資料以及其他一些由政府機構持有或私營公司持有的資料,而這些資料洩露的根源似乎都與PITB的應用程式漏洞有關。
政府機關是與民生關聯最緊密的機構,掌握着大量公民隐私資訊,一旦遭到網絡攻擊,便會造成十分嚴重的後果。通過對以上事件的梳理,我們看到多數的政府事件還是因為内部對于安全建設和管理有疏漏,導緻黑客乘虛而入。同樣也存在公職人員監守自盜,非法擷取公民資訊的情況。是以,增強政府機構的網絡安全建設、加強内部管理人員的安全教育訓練是當下政府部門網絡安全管理要重點考慮的事情。