2022全球重大网络攻击事件盘点

软件供应链攻击的频率和规模正在不断升级。3月底，一个被代号“RED-LILI”的黑客发动了针对NPM存储库的大规模供应链攻击，一口气发布近800个恶意NPM包。

“通常，攻击者使用一个匿名的一次性NPM帐户发起攻击，”以色列安全公司Checkmarx透露：“但这一次，攻击者似乎完全自动化了NPM帐户创建过程，为每个恶意程序包都开设了专用帐户，这使得这批新的恶意包更难被发现和完全清理。”

此前，JFrog和Sonatype最近的报告都详细介绍了数百个恶意NPM包，这些包利用依赖混淆和域名仿冒等技术针对Azure、Uber和Airbnb的开发人员。

据Checkmarx透露，黑客使用自定义Python代码和Selenium等Web测试工具的组合来模拟在..表中复制用户创建过程所需的用户操作，从而将恶意库自动化批量上传到NPM。

为了绕过NPM设置的一次性密码(OTP)验证，攻击者还利用一种名为Interactsh的开源工具将NPM服务器发送的OTP提取到..期间提供的电子邮件地址，从而成功创建帐户。

有了这个全新的NPM用户帐户后，攻击者会在生成访问令牌之后，以自动方式创建和发布一个恶意程序包，且每个帐户只发布一个，这种方式可以有效绕过电子邮件OTP验证。

研究人员说：“这是软件供应链攻击的一个里程碑，标志着供应链攻击者正在不断提高技能并让防御变得更加艰难。”“通过跨多个用户名分发恶意软件包，攻击者使防御者更难完全关联和防御，增加感染的机会。”

黑客伪造“政府传票”窃取科技巨头敏感数据，苹果、脸书等均受影响

3月底，安全博客KrebsOnSecurity披露了一种伪装政府执法部门向互联网公司套取用户数据的攻击手法，攻击者窃取执法部门邮箱等官方账号，向互联网..发送“紧急数据申请”，从而套取用户敏感数据；最近兴起的LAPSUS$数据勒索团伙正是利用这一手法为基础，成功入侵了微软、Okta、英伟达等知名企业内网窃取数据，苹果、Meta等巨头曾应黑客要求提供用户数据；互联网巨头们向黑客提供的数据包括用户的基本信息，如消费者的家庭住址、电话号码、IP地址等。

4月初，大亚圣象（000910）发布2021年度业绩报告，公司实现营收87.5亿元，同比上升20.46％；归属上市公司股东净利润5.95亿元，同比下降4.86％。

值得注意的是，公司同时披露，其全资子公司遭遇电信诈骗，涉案金额约356.9万美元(折合人民币2275.49万元)，追回可能性较低。

大亚圣象公告表示，2021年报告期内，公司全资子公司圣象集团有限公司下属子公司美国HomeLegendLLC公司，成为一起电信欺诈的受害者，肇事者入侵该公司租用的微软公司365邮箱系统，伪造假电子邮件冒充该公司管理层成员，伪造供应商文件及邮件路径，实施诈骗，涉案金额约356.9万美元（折合人民币2275.49万元）。

该公司已于美国地方联邦执法当局备案并向中国公安机关报案。大亚圣象表示，截至报告日，被盗资金追回可能性较低。

4月初，电子邮件..公司MailChimp披露其遭到黑客攻击，黑客利用内部客户支持和账户管理工具窃取用户数据，并进行网络钓鱼攻击。

MailChimp已经证实，黑客发动这次攻击不仅仅是为了访问Trezor的帐户，其部分员工受到了社会工程攻击，导致凭证被盗。这些凭证被黑客用于访问319个MailChimp帐户，并从102个客户帐户中导出“受众数据”。

MailChimp首席信息安全官Siobhan Smyth表示：“3月26日，我们的安全团队发现，恶意行为者访问了一个面向客户团队、用于客户支持和账户管理的的内部工具。该事件是由外部参与者发起的，他对Mailchimp员工进行了社会工程攻击，导致其凭证被泄露。我们迅速采取行动，终止黑客对被入侵员工账户的访问，并采取相应措施来防止更多员工受到影响。”

除了查看账户和导出数据以外，威胁参与者还获得了对客户API密钥的访问权，目前这些密钥已被禁用。应用程序编程接口 (API) 密钥是允许MailChimp客户直接从他们自己的网站或..管理他们的帐户和执行..活动的访问令牌。威胁参与者可以凭借这些泄露的API密钥创建自定义电子邮件活动，例如发起网络钓鱼活动，并将它们发送到用户邮件列表，而无需访问MailChimp的客户门户。

近期，俄罗斯国家天然气公司Gazprom的石油部门Gazprom Neft网站因遭黑客攻击而被迫关闭，这似乎是俄罗斯入侵乌克兰后对政府相关网站的最新黑客攻击。据说该网站上有一份来自俄罗斯天然气工业股份公司首席执行官阿列克谢米勒的声明，该声明似乎已经是网站被黑客入侵后的版本了，这份声明中对俄罗斯向乌克兰派遣数千名士兵的决定发表了批评言论，随后，该网站就被迫停止运营。

除此之外，据称多个乌克兰新闻网站在上个月同样遭到俄罗斯威胁攻击者的黑客攻击，并向访问者展示了“Z”符号。乌克兰国家特别通信和信息保护局在一篇网络帖子中证实了这一事件，并将责任归咎于俄罗斯国家支持的行为者。

4月初，乌克兰CERT和ESET披露，沙虫黑客组织针对乌能源工控设施发起破坏性网络攻击，希望切断区域电力供应，但被成功阻止；攻击者使用了曾导致乌克兰大停电的Industroyer更新版、CaddyWiper数据擦除软件；据分析，此次攻击发生在4月8日晚间，Industroyer2在两周前已经准备好，被攻击网络至少在2月已经被渗透。

在这次攻击中，攻击者使用了Industroyer的更新版本Industroyer2。Industroyer是沙虫组织使用过的一种恶意软件，曾在2015年导致乌克兰大停电。对专为工业环境设计的Industroyer2留下的痕迹的分析表明，该组织已经就对乌克兰电力系统攻击筹划了数周。

美国国土安全部当地时间4月12日在一份声明中表示，上周火奴鲁鲁的联邦特工“破坏”了对一家未具名电信公司服务器的明显网络攻击，该服务器与负责夏威夷和该地区互联网、有线电视服务和手机连接的海底光缆相关。

国土安全部下属的国土安全调查部（HSI）驻夏威夷的特工收到来自大陆HSI同行的提示，导致“涉及与海底电缆相关的私人公司服务器的重大违规行为”中断。调查显示，“一个国际黑客组织”是这次袭击的幕后黑手，“几个国家的HSI特工和国际执法合作伙伴得以逮捕嫌疑人”。

近期，乌克兰计算机应急响应小组 (CERT-UA) 发现了新的网络钓鱼活动，旨在用IcedID恶意软件感染乌克兰政府机构的系统。

攻击者在网络钓鱼消息使用了名为“Mobilization Register.xls”的Excel文档。当用户打开文档并启用嵌入式宏后，该文档将开始下载并运行可执行文件，这个可执行文件可用于解密并运行GzipLoader，GzipLoader可作为IcedID恶意软件的广告加载器。用户下载的EXE文件将解密并运行计算机上的GzipLoader恶意软件，然后该恶意软件将开始下载、解密和运行IcedID恶意软件。IcedID恶意软件（也称为BankBot）属于“银行木马”类，除了造成常规的攻击影响以外，还可以执行身份验证数据窃取。

近期，东欧国家保加利亚的国家邮政系统遭到网络攻击，有业务系统无法工作，导致柜台养老金发放业务被迫中断；这给许多老年人的生活带来了意外打击，有民众担心拿不到养老金，没法应付即将到来的复活节假期；保加利亚副总理Kalina Konstantinova称，过去十年以来，保加利亚邮政的网络安全问题一直遭到系统性忽视。

4月17日，因供应商系统遭受网络攻击，加拿大老牌航空公司阳翼航空的重要系统中断服务，致使航班严重延误近一周时间；此次事件导致至少188个航班发生延误，许多乘客因此被困在机场，有乘客表示已经滞留在机场超过3天；为减少服务中断，阳翼航空表示会尽量以手动方式处理航班业务。

北美国家财政系统遭勒索攻击

4月18日，北美洲国家哥斯达黎加财政部披露遭到Conti勒索软件攻击，多个部委大量系统受影响瘫痪，大量敏感数据被盗；哥国财政部受影响最严重，纳税人信息被盗引发大众恐慌，税务海关等系统瘫痪多天，导致该国出口业务损失惨重，至少损失2亿美元；哥国总统称攻击者试图破坏国家稳定，并暗指与俄罗斯有关。不过也有安全专家认为，这只是一起普通的金钱勒索，仅仅因为该国系统漏洞太多。

4月22日，巴西里约热内卢州的财政大臣披露该州的财政系统遭到LockBit勒索软件攻击，420GB数据遭窃取，威胁不支付赎金将马上公开数据；据悉，这批数据窃取自Sefaz-RJ系统中，约占州财政部门全部数据存储量的0.05%；LockBit是目前最流行的勒索软件即服务..之一，有数据显示今年已攻击了至少650个目标组织。

网络攻击致使汽车租赁巨头全球系统中断

4月29日，国际汽车租赁巨头Sixt遭到网络攻击，部分业务系统被迫中断，运营出现大量技术问题；公司的客户服务中心和部分分支机构受影响较大，大多数汽车预定都是通过笔和纸进行的，服务热线短时离线后恢复，业务陷入混乱；据猜测，此次攻击可能属于勒索软件攻击，目前暂时没有相关组织表示负责。

农业机械巨头爱科遭勒索攻击

5月初，美国农业机械巨头爱科遭到勒索软件攻击，部分生产设施运营受影响，可能持续多天；有经销商表示，这导致拖拉机销售在美国最重要的种植季节停滞不前；近一年来多家农业供应链企业遭到攻击，农业逐渐成为勒索攻击重点目标，FBI已接连发布两次行业预警。

勒索攻击致使美国老牌高校林肯学院倒闭

5月初，位于美国伊利诺伊州农村的林肯学院表示，在其成立157年之后，由于新冠疫情和最近遭受的勒索软件攻击对其财务造成了残酷的打击，学院决定将在本月永久关闭。林肯学院网站公告中写道：“林肯学院在2021年12月遭受了一次网络攻击，阻碍了招生计划和对所有机构信息的访问，导致对2022年秋季招生的预测无法明确。”

最强间谍软件：难以防范的国家安全威胁

近期，以色列间谍软件Pegasus（飞马）再次成为欧美关注的焦点。5月初，西班牙首相桑切斯确认遭飞马软件入侵，成为现任全球政府首脑的首个确认案例。此前，英国首相鲍里斯·约翰逊办公室相连设备也发现 飞马间谍软件的活动痕迹。

接连曝光的事件引发对监控软件使用的广泛争议。在全球开展的飞马项目调查显示，目前已在世界各地发现超过 450 起疑似飞马入侵事件，受害者分布普及世界各地，包括不少国家的领导人。

目前飞马软件已被美国商务部列入黑名单，正在接受欧洲议会..的调查。频发曝光的飞马入侵事件突显出间谍软件构成的国家安全威胁。

俄罗斯电视台在胜利阅兵日被黑，显示“恐吓式”反战信息

5月9日，在俄罗斯举行胜利日阅兵的重要时刻，该国智能电视显示的画面遭到篡改，展示了许多血淋淋的反战标语信息；俄罗斯主要电视频道、最大搜索网站Yandex、最大视频网站RuTube均受到网络攻击的影响；俄罗斯政府近期通过一项法律，任何抹黑俄罗斯军队及其在乌克兰作战行动的企图都是违法的，上述大部分言论在俄罗斯国内都会遭到禁止。

5月11日，加拿大、德国军方的独家战机..供应商Top Aces透露，已遭到LockBit勒索软件攻击；LockBit团伙的官方网站已经放出要求，如不支付赎金将公布窃取的44GB内部数据；

安全专家称，针对国防相关企业的攻击令人担忧，因为“无从得知被盗数据最终会落入哪里”，很可能流入对手国家；LockBit是目前最流行的勒索软件即服务..之一，据统计今年已攻击了至少650个目标组织。

意大利多个重要政府网站遭新型DDoS攻击瘫痪

近期，意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击，网站无法访问至少1个小时；意大利CERT发布预警称，此次攻击使用了“慢速HTTP”的新型DDoS手法，传统防御措施较难抵御，需要针对性处置；亲俄黑客团伙Killnet声称对本次攻击负责。

俄最大银行遭到最严重DDoS攻击

5月19日，俄罗斯最大银行Sberbank（联邦储蓄银行）官网披露，在5月6日成功击退了有史以来规模最大的DDoS攻击，峰值流量高达450 GB/秒。

Sberbank副总裁兼网络安全主管Sergei Lebed称，网络犯罪分子利用各种策略实施网络攻击，包括将代码注入广告脚本、恶意Chrome扩展程序，以及被DDoS工具武器化的Docker容器等。

Sberbank安全负责人表示，俄罗斯网络安全发生了结构性转变，过去3个月来企业遭受的网络攻击呈现爆炸性增长，实力大幅提升；普京称俄罗斯正在遭受“信息空间战争”，他提出了三项关键任务，以确保俄关键信息基础设施安全。

 推荐阅读