全文共1740字,閱讀大約需3分鐘。
概述
自俄烏衝突以來, 90%俄羅斯互聯網暴露數據庫遭匿名者和其他親烏黑客組織攻陷,造成大量數據泄露和文件刪除。遭攻擊的數據庫中文件被重命名為「普京停止戰爭」進行示威。
背景
自俄烏衝突開始,Anonymous黑客組織和其他團體的成員一直針對俄羅斯官方媒體、政府網站以及互聯網暴露或存在配置錯誤的數據庫進行攻擊。
最新事件
截至3月7號,據不完全統計,匿名者和其他親烏組織攻陷了俄羅斯90%互聯網暴露的數據庫。
被攻擊的數據庫中的文件多數被刪除,文件夾被重命名為「Putin stop this war」、「stop war」、「glory to Ukraine」、「no war」和「HackedByUkraine.」等。
未被刪除的文件多數包含對攻擊者仍有價值的信息,例如:俄羅斯郵件提供商VK(也被稱為mail.ru集團,提供電子郵件服務,同時運營俄三大社交網站VK、Odnoklassniki和Moi Mir)服務器的大量密鑰、數十萬條俄羅斯個人信息、親烏克蘭數據等,匿名者及其他組織存在利用這些數據進一步發起釣魚攻擊或直接向目標發送惡意軟件以試圖感染他們設備的風險。
事件分析
針對互聯網暴露數據庫的攻擊不是本次俄烏衝突的個例。[ https://www.websiteplanet.com/blog/cyberwarfare-ukraine-anonymous/]據第三方安全公司研究人員統計,「自俄羅斯襲擊烏克蘭以來,匿名者和其他親烏組織攻陷了俄羅斯90%暴露在互聯網上的數據庫,同時這些數據庫存在配置錯誤的問題」。
「數據庫配置錯誤」通常指當管理員或公司在沒有任何密碼或安全身份驗證的情況下將其數據庫開放給公眾訪問時,就會發生配置錯誤。當互聯網暴露的數據庫存在錯誤配置時,攻擊者很容易通過shodan等搜索引擎訪問找到這些數據庫,並很輕易入侵獲取其中存儲的敏感數據。
因為網絡管理者配置不當,直接將數據庫暴露到互聯網的情況不僅僅發生在俄羅斯和烏克蘭。據綠盟威脅情報中心空間測繪系統的監測,當前全球在互聯網上暴露數據庫的問題普遍存在,面臨很大的安全風險,暴露數據庫分布如下。
安全啟示
隨着互聯網的快速發展,企業資產的規模和邊界在快速擴大。企業資產規模的快速增長導致資產管理規模和難度不斷增加。更重要的是,雲的廣泛使用使得越來越企業資產部署到了公有雲上,資產部署範圍的擴大,導致資產訪問控制越來越困難。稍有不注意就會存在因為「誤配置」被黑客通過公網直接訪問獲取數據的可能。例如本次俄羅斯暴露在公有雲上的數據庫,90%被親烏黑客組織入侵和進行了數據破壞。
因此,直接暴露在互聯網的數據庫存在重大的安全風險,這些數據庫很容易被攻擊者發現並攻擊。本次俄烏衝突事件中,這裡數據庫也成為了攻擊的重點。
建議各國家重要單位採用空間測繪技術梳理在互聯網上暴露的數據庫資產,對非必要部署在公網上的數據庫服務進行關閉。如必要暴露在互聯網上,也應該對這些數據庫系統進行強制訪問控制(例如限制訪問源IP、複雜口令認證),並對數據庫進行及時升級和漏洞審查,避免數據庫被攻陷後帶來的重大影響。同時,各國監管部門對其管轄範圍內資產進行周期性梳理、風險評估和引導處置,監督和引導重要企業數據庫資產暴露於公網的情況。
綠盟網絡空間測繪系統採用先進的網絡空間測繪技術,可以對全球網絡空間(IPv4/IPv6)的各類資產進行精確識別,幫助資產所有者進行資產梳理和防禦。
綠盟威脅情報中心
綠盟威脅情報中心(NSFOCUS Threat Intelligence center, NTI)是綠盟科技為落實智慧安全3.0戰略,促進網絡空間安全生態建設和威脅情報應用,增強客戶攻防對抗能力而組建的專業性安全研究組織。其依託公司專業的安全團隊和強大的安全研究能力,對全球網絡安全威脅和態勢進行持續觀察和分析,以威脅情報的生產、運營、應用等能力及關鍵技術作為核心研究內容,推出了綠盟威脅情報平台以及一系列集成威脅情報的新一代安全產品,為用戶提供可操作的情報數據、專業的情報服務和高效的威脅防護能力,幫助用戶更好地了解和應對各類網絡威脅。(綠盟威脅情報中心官網:https://nti.nsfocus.com/)
網絡空間測繪系統
網絡空間測繪系統(Seer)作為綠盟威脅情報雲的關鍵系統,是綠盟全面情報生態體系中的「千里眼」,負責對全球所有在線資產進行存活探測、服務識別、資產畫像、風險研判等資產測繪工作。通過業內領先並全球分布部署的高性能探針,Seer可以快速、準確地實現對全部IPv4/IPv6網絡空間和全球網站進行深度測繪,實時洞悉全球資產的分布動態、存活情況、風險信息等,幫助用戶快速發現和處置其在互聯網上的暴露資產。
推薦閱讀
俄烏網絡陣地前沿深度觀察
3-18 特稿
俄烏「網絡戰」對我國的影響趨勢分析
3-15 特稿
俄烏網絡對抗時間線及對抗過程研究
3-11 特稿
留言列表