APT & 針對式目標攻擊
MOVEit 資料傳輸服務爆漏洞,美國多個聯邦機關遭 Clop 勒索病毒集團入侵
上週發生多起美國聯邦與市政府機關遭 Clop 勒索病毒集團入侵的事件,使得拜登政府今年稍早發布的國家網路資安策略首次遭逢嚴重考驗。儘管目前仍有許多細節尚未對外公布,但可以確定的是,網路犯罪集團總是能夠藉著不確定性而占據上風。
美國政府機關之間普遍採用的 MOVEit 資料傳輸服務存在著一個嚴重漏洞讓駭客集團滲透了多個美國政府機關,包括美國能源部 (DOE) 以及多個州境內的大學系統。有些政府官員很快就對外發布消息以確保攻擊行動能被偵測並遏止,但其他機構的反應則慢了半拍,沒能獲得正面的成果。資安事件應變的最大挑戰之一就是了解駭客已經入侵到什麼程度,以及接下來會往哪個方向移動 (如果仍在活動的話)。
在此同時,Clop 集團也在週三發布一則聲明表示本次事件受害者遭竊的資料已經全數刪除。駭客在攻擊事件當中謹守某些分際的現象並非什麼新鮮事,但我們不能單看聲明的表面。儘管全球勒索病毒攻擊的衝擊程度多年來一直在起伏變化 (尤其是俄羅斯的集團),但最近卻突然嚴重起來。
為了快速偵測及回應像這樣情勢急轉直下的情況,企業必須徹底掌握自己的受攻擊面與資安風險。然而如果得靠多個獨立的資安元件來達成這點的話,將提高資安出現盲點以及關鍵問題延遲解決的可能性。有鑑於此,市場上的需求也開始發生變化,企業紛紛轉向單一平台解決方案,藉由結合延伸式偵測及回應、受攻擊面管理、合作夥伴服務整合以及 AI 技術來無縫保護所有環境中的資料。
隨著聯邦機構面臨越來越多的挑戰與風險,趨勢科技與委員會成員將持續提供資安上的協助並促進全球網路資安情報的分享。
美國最新實施的國家網路資安策略目前正首次面臨重大考驗,包括能源部旗下單位在內的美國多個聯邦機構遭駭客集團利用熱門檔案傳輸服務 MOVEit 的一個零時差漏洞入侵。稍早的報導指出這起攻擊使得橡樹嶺大學聯盟 (Oak Ridge Associated Universities) 與美國能源部的核廢料隔離試辦工廠 (Waste Isolation Pilot Plant) 受到嚴重影響,損失了大量資料。值得一提的是,儘管這些攻擊並未滲透到能源部的內部系統,但確實導致了這些機構的資料遭到外洩。
駭客入侵的嚴重性與潛在後果使得能源部將此事列為「重大事件」來調查,數萬名能源部員工及外包商的個人資料恐將因這次外洩而面臨風險。
能源部迅速啟動了網路攻擊應變措施,強調他們對網路資安與資料保護的決心,並採取了預防性措施來避免繼續暴露於此漏洞。此外,該部門也將該事件通報給美國網路資安與基礎設施安全局 (Cybersecurity and Infrastructure Security Agency,簡稱 CISA)。
依照 MOVEit Transfer 軟體的熱門程度來看,應該還有許多其他機構也遭到類似的攻擊。CISA 網路資安執行副總監 Eric Goldstein 出面證實了這點,他表示有多個聯邦機構受到影響。為此,CISA 正加緊腳步試圖掌握此事件的衝擊範圍,並且迅速採取矯正措施。
至於確切有哪些機構遭到入侵,目前尚未公布,但該事件疑似是由俄羅斯一個名為「CL0P」的勒索病毒集團所為,該集團已出面承認發動此次 MOVEit 攻擊事件。不過,CISA 總監 Jen Easterly 表示這些攻擊大部分還是亂槍打鳥,並非針對性攻擊。
此事件可說是一記大大的醒鐘,突顯美國聯邦機構迫切需要藉由網路資安現代化來提升類似入侵事件的防範、解決及從中復原的能力。美國州政府機關、約翰霍普金斯大學 (Johns Hopkins University) 及英國殼牌 (Shell) 石油公司也陸續成為 MOVEit 事件的受害者,而且受害者名單還在持續成長。
MOVEit 的母公司 Progress Software 也主動採取了措施來解決漏洞並遏止攻擊。這起衝擊廣泛的網路攻擊,突顯出美國網路資安基礎設施正面臨嚴酷挑戰。
Trend Vision One 的受攻擊面風險管理以及平台整體的 XDR 功能,再加上 TTrend Micro Apex One 這類產品,能讓客戶隨時掌握漏洞的最新資訊。客戶可利用 Risk Insights 一系列的應用程式來掃描並發掘受影響的資產,即時取得最新的防範步驟,包括如何使用趨勢科技產品來偵測及防範漏洞攻擊。
☛趨勢科技客戶請參閱以下公告:https://success.trendmicro.com/solution/000293538
◎欲了解有關 Clop 的更多資訊,請參閱:
https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-clop