关于红十字国际委员会遭遇网络攻击事件的当前状况
更新日期:2022年6月24日
1月,我们判定存储全球51.5万余人个人数据的服务器在一次复杂的网络攻击中遭到了黑客攻击。目前,距离我们做出这一判定已有近一个月,我们可以就此次网络侵入事件分享部分分析结果。
作为对合作伙伴及受助民众负责的人道组织,我们认为有责任就此次黑客攻击事件分享能够公布的信息。
如果我认为自己的数据可能已在此次网络攻击中遭到获取,我应该采取何种措施?
如果您尚未收到我们的消息,但又感到担心,我们鼓励您联系当地红十字会或红新月会,或您所在国家的红十字国际委员会办事处。请在此查询联系方式。我们还为受影响民众编写了相关问答,提供更多信息。我们知道,您将生命中往往对您造成重大创伤事件的相关个人详细信息交付给了我们,这一责任重于泰山。我们将努力维持您对我们的信任,从而继续为您提供服务。
你们的系统是否恢复上线?
是的。系统目前已恢复上线,这至关重要,使世界各地的红十字与红新月工作组能够帮助离散家人重聚。系统已重新启用,配有安全增强功能,包括双因素认证过程和先进的威胁检测解决方案。应用和系统均经外部机构成功开展渗透测试后才恢复上线。我们会继续密切监督系统情况,并进行相关的安全增强工作。
你们如何告知受影响民众?
我们一直在与各国红十字会和红新月会以及一线的红十字国际委员会代表处协调,向数据信息已经遭到泄露的个人和家庭告知相关情况。这一过程较为复杂,目前正在进行,每个案例都要基于个体风险评估进行管理。有些人员是通过电话、热线、公告、信件告知的;在有些情况下则需要工作组前往偏远社区当面告知。我们正在竭尽全力联系移民等可能难以抵及的群体。大多数接到我们通知的民众都希望我们能继续工作,找到他们的亲属。我们深知家人失踪会对亲属带来深重的情感创伤。我们将继续竭尽全力帮助他们找到他们有权知晓的答案。
哪些因素导致此次黑客攻击高度复杂,且具有针对性?
黑客利用了大量资源侵入我们的系统,并使用了大多数检测工具都不会发现的策略。以下信息体现了此次攻击的复杂性和针对性:
- 黑客使用了专门针对进攻性安全设计的一套非常特殊的高级黑客工具。此类工具主要仅由实施高级长期威胁*的团体使用,无法公开获取,因而也是其他行为方无法获得的。
- 黑客使用了复杂的代码混淆技术对其恶意程序加以隐藏和保护,这需要具备高超的技术水平,且仅有少量行为方掌握。
- 我们判定此次攻击为针对性攻击,是因为黑客编写了一段代码,专门用于在红十字国际委员会的目标服务器上执行,而且我们在黑客使用的工具中,明确发现了目标服务器的唯一标识符(即MAC地址)。
- 我们此前在目标服务器上安装的反恶意软件工具处于运行状态,也确实发现并拦截了黑客使用的一些文件,但大多数恶意文件都经过专门制作,用于绕开我们的反恶意软件工具。只有在我们按照计划开展安全增强项目,安装了高级终端检测响应代理之后,才发现了此次网络侵入。
我们何时发现了此次攻击?
红十字国际委员会雇佣了专业的网络安全公司,支持我们保护系统的工作。该公司在红十字国际委员会存有国际红十字与红新月运动全球重建家庭联系网络服务相关信息的服务器上发现了异常,我们之后进行了深入的数据分析,于1月18日判定黑客曾侵入相关系统,并获取了系统中的数据。
黑客侵入我们的系统已有多长时间?
在本次事件中,我们仅在侵入发生的70天内就发现了系统中的异常,并立即启动了深入分析。在此基础上,我们得以于1月18日判定服务器受到了影响。分析显示此次网络侵入事件发生于2021年11月9日。
要发现如此大规模的复杂数据泄露事件,往往需要一定的时间。例如,据我们了解,发现一起数据泄露事件,平均需要212天**。
黑客如何侵入了我们的系统?
黑客得以侵入我们的网络和系统,是利用了认证模块中一个未打补丁的关键漏洞 ***(CVE-2021-40539)。该漏洞致使恶意网络行为方能够植入网络外壳(恶意脚本),开展多种后渗透活动,如破坏管理员凭据、进行横向移动、并泄露注册表hive文件和活动目录文件。一旦进入网络内部,黑客就能够借助进攻性安全工具将其自身伪装成合法用户或管理员,从而即使在数据加密的情况下,也能够获取数据。
我们的防御系统出了什么问题?
对于任何大型企业和组织而言,修补漏洞的过程都是一项庞大的工作。我们每年为各个系统安装的补丁多达上万个。及时安装重要的补丁对我们的网络安全至关重要;但遗憾的是,此次攻击发生前,我们未能及时安装相应的补丁。
红十字国际委员会的网络防御系统是多层面的,包括终端监控、扫描软件及其他工具。在此次事件中,我们在攻击之后开展的分析表明,我们的漏洞管理进程和工具没有对其加以阻止,故而我们立即对这两个领域进行了调整。此外,我们在2021年2月发起了最新的加强网络安全项目,目前正在加速实施其中已经规划好的部分活动,从而应对不断演变的威胁。
我们认为是谁在幕后操纵此次攻击?
我们无法确定是谁在幕后操纵此次攻击,不知晓攻击的原因,也不会对此进行臆测。我们没有与黑客进行任何联络,也没有收到任何勒索信息。针对任何行为方,无论是会促进还是阻碍我们人道工作的行为方,我们都采取一贯的沟通方式:我们愿意与可能对此次行动负责的相关方直接进行保密沟通,向他们强调尊重人道行动的必要性。我们还要再次向黑客发出呼吁:切勿分享、销售、泄露或以其他方式使用相关数据。
哪些信息遭到获取?
此次网络侵入行为涉及全球超过51.5万人的姓名、所在地及联系方式等个人信息。受影响群体包括失踪人员及其家属、被拘留者及其他因武装冲突、自然灾害或迁移而接受国际红十字与红新月运动服务的人员。我们认为进一步公布这些人员的身份、所在地或来源地等详细信息,并不符合他们的最佳利益。
数据集是否遭到复制和导出?
我们必须假定数据已遭复制和导出。我们知道的是黑客曾侵入系统,因而也有能力进行复制和导出。据我们所知,相关信息尚未遭到公布或交易。我们的初步分析显示在此次网络侵入事件中,并无数据遭到删除,对此我们有信心。这一点是至关重要的,因为这才使得我们能够恢复系统运行,继续开展帮助亲人团聚的工作。
我们有多大的把握可以确定当前系统内部已不存在潜在风险?
我们在确定服务器遭到黑客攻击后就立即将受影响的服务器关停。我们相信此次事件没有影响到红十字国际委员会的其他服务器,因为我们将系统相互隔离,而且还在使用先进工具持续监控整体网络环境中是否存在任何使用高级工具开展恶意活动的迹象。
我们为什么不再提供更多关于此次黑客攻击或系统方面的技术信息?
我们非常重视网络安全问题,多年来对此进行了大量投入。面临网络安全威胁不断演变的大环境,我们必须继续进行投入。为确保相关应用的安全,且在遵循行业最佳实践的情况下,我们将不会透露技术架构或安全方面的细节。
你们还在采取哪些其他措施,防止此类事件再次发生?
此次数据侵入事件突显出针对人道组织的网络行动呈现日益增长的趋势。数据侵入行为可能会对这些组织所服务的群体,以及本就极为脆弱的群体造成严重后果。红十字国际委员会正在与运动合作伙伴携手,呼吁各国及其他参与方有必要像在线下一样,在线上为人道组织提供保护。
*高级长期威胁(APT)指的是在未经许可的情况下侵入计算机网络,并在较长时间内未被发现的隐匿的威胁实施者(通常为某个民族国家或国家支持的团体)。近来,高级长期威胁还可能指代为特定目标而实施大规模针对性侵入行为的非国家支持团体(见:https://en.wikipedia.org/wiki/Advanced_persistent_threat)。
**摘自IBM公司《2021年数据泄露代价报告》:"2021年,发现一起数据泄露事件平均需要212天,对其进行遏制平均需要75天,完成这一循环共计需要287天。"
