美国机构成为MOVEit黑客攻击的最新受害者 - 彭博社
Andrew Martin, Ari Natter, William Turton
大约一周前,美国网络安全与基础设施安全局和联邦调查局发布了一份联合警报,警告称一个名为MOVEit的文件传输产品存在严重漏洞,可能允许黑客从受影响的系统中窃取数据。
事实证明,这个问题近在眼前。周四,这个被简称为CISA的机构提供了最新消息:MOVEit中的同样漏洞已被用来入侵了几个美国机构。
CISA主任Jen Easterly表示,该机构正在为受MOVEit攻击影响的部门提供支持。她表示“据我们所知”,黑客只是在窃取存储在MOVEit服务上的信息,并且这些入侵并没有被利用来进一步访问网络的其他部分。
CISA的公告是对本月初披露的首批与MOVEit有关的入侵的最新确认,许多人担心这可能演变成一场黑客攻击浪潮。尽管Easterly没有点名受影响的机构,但据知情人士透露,美国一个国家实验室的承包商和一个由能源部管理的放射性废物存储场地是受害者之一。
“在得知两个能源部实体的记录在与文件共享软件MOVEit传输的全球网络攻击中被泄露后,能源部立即采取措施防止进一步暴露漏洞,”一位机构发言人表示。
受害者名单包括壳牌公司、新斯科舍省政府、英国通信监管机构Ofcom、明尼苏达州教育部和荷兰露营地和休闲公司Landal GreenParks。
国际航空集团(IAG SA)的英国航空、药店连锁店Boots和英国广播公司告知员工,由于其工资单提供商Zellis遭到入侵,个人信息可能已遭泄露。
声称发动这些攻击的黑客组织名为Clop,最初表示他们掌握了数百家公司的信息。MOVEit软件中的漏洞使黑客能够窃取公司和组织上传到其中的文件。
与许多其他黑客组织一样,Clop从公司窃取数据,然后威胁在暗网上的自己的泄露网站上发布数据,除非他们收到赎金。Clop,也被称为Cl0p,是勒索软件变种的名称,但有时也用来描述使用它的黑客组织。
阅读更多:黑客交换勒索战术,避开警方
这个说俄语的组织在其网站上发布了一条消息,要求黑客受害者在6月14日前开始赎金谈判。该组织当天似乎没有在其网站上发布任何数据,尽管列出了约十几家被指称的新受害者,包括一所美国大学、保险和制造公司、银行以及投资和金融服务公司。
文件传输应用程序,如Progress Software Corp.的MOVEit,旨在安全地提交机密信息并满足企业合规要求。这些系统可以配置为符合像HIPPA这样保护机密信息的数据隐私法规。
根据Progress网站上的一段视频,“您的组织依赖于安全可靠地传输关键任务的敏感数据。”“MOVEit可以帮助。”
该公司首次在5月28日晚上接到客户支持电话标记可疑活动后开始调查黑客攻击,根据向美国证券交易委员会提交的文件。
调查人员发现了软件中的一个零日漏洞,意味着尚未有补丁来修复它。根据提交的文件,该漏洞可能为“未经授权的升级特权和访问客户基础环境”铺平道路。该公司于5月30日通知了客户和证券交易委员会。
Progress已为该漏洞发布了补丁。网络安全公司Huntress帮助该公司发现了可能为黑客开辟途径的其他漏洞,并为这些漏洞发布了补丁。该公司在6月9日表示,“我们尚未看到这些新发现的漏洞被利用的迹象。”
然而,周四,Progress宣布一家未透露姓名的第三方发现了另一个零日漏洞,根据公司网站上的更新。当时还没有补丁,使得软件容易受到攻击,因此Progress断开了MOVEit的云服务,并敦促客户关闭他们自己的MOVEit服务器。
到周五,公司表示已经修补了MOVEit云端的最新漏洞,并鼓励客户将补丁应用到他们自己的MOVEit服务器上。