关于红十字国际委员会遭遇网络攻击事件的当前状况

关于红十字国际委员会遭遇网络攻击事件的当前状况

报道 2022-02-16 瑞士

更新日期:2022年2月16日,欧洲中部时间上午9点。

存储全球51.5万余人个人数据的服务器在一次复杂的网络攻击中遭到了黑客攻击。目前,距离我们做出这一判定已有近一个月,我们可以就此次网络侵入事件分享部分分析结果。

作为对合作伙伴及受助民众负责的人道组织,我们认为有责任就此次黑客攻击事件分享能够公布的信息。

如果我认为自己的数据可能已在此次网络攻击中遭到获取,我应该采取何种措施?

如果您尚未收到我们的消息,但又感到担心,我们鼓励您联系当地红十字会或红新月会,或您所在国家的红十字国际委员会办事处。此处是联系方式清单。我们还为受到事件影响的民众编写了相关问答,就此提供更多信息。我们知道,您将生命中往往对您造成重大创伤事件的相关个人详细信息交付给了我们,这一责任重于泰山。我们希望告诉您:我们正在竭尽全力恢复我们在全球提供的服务。我们会努力保持您对我们的信任,从而得以继续为您提供服务。

哪些因素导致此次黑客攻击高度复杂,且具有针对性?

黑客利用了大量资源侵入我们的系统,并使用了大多数检测工具都不会发现的策略。以下信息体现了此次攻击的复杂性和针对性:

  • 黑客使用了专门针对进攻性安全设计的一套非常特殊的高级黑客工具。此类工具主要仅由实施高级长期威胁*的团体使用,无法公开获取,因而也是其他行为方无法获得的。
  • 黑客使用了复杂的代码混淆技术对其恶意程序加以隐藏和保护,这需要具备高超的技术水平,且仅有少量行为方掌握。
  • 我们判定此次攻击为针对性攻击,是因为黑客编写了一段代码,专门用于在红十字国际委员会的目标服务器上执行,而且我们在黑客使用的工具中,明确发现了目标服务器的唯一标识符(即MAC地址)。
  • 我们此前在目标服务器上安装的反恶意软件工具处于运行状态,也确实发现并拦截了黑客使用的一些文件,但大多数恶意文件都经过专门制作,用于绕开我们的反恶意软件工具。只有在我们按照计划开展安全增强项目,安装了高级终端检测响应代理之后,才发现了此次网络侵入。

我们何时发现了此次攻击?

红十字国际委员会雇佣了专业的网络安全公司,支持我们保护系统的工作。该公司在红十字国际委员会存有国际红十字与红新月运动全球重建家庭联系网络服务相关信息的服务器上发现了异常,我们之后进行了深入的数据分析,于1月18日判定黑客曾侵入相关系统,并获取了系统中的数据。

黑客侵入我们的系统已有多长时间?

在本次事件中,我们仅在侵入发生的70天内就发现了系统中的异常,并立即启动了深入分析。在此基础上,我们得以于1月18日判定服务器受到了影响。分析显示此次网络侵入事件发生于2021年11月9日。

要发现如此大规模的复杂数据泄露事件,往往需要一定的时间。例如,据我们了解,发现一起数据泄露事件,平均需要212天**。

黑客如何侵入了我们的系统?

黑客得以侵入我们的网络和系统,是利用了认证模块中一个未打补丁的关键漏洞 ***(CVE-2021-40539)。该漏洞致使恶意网络行为方能够植入网络外壳(恶意脚本),开展多种后渗透活动,如破坏管理员凭据、进行横向移动、并泄露注册表hive文件和活动目录文件。一旦进入网络内部,黑客就能够借助进攻性安全工具将其自身伪装成合法用户或管理员,从而即使在数据加密的情况下,也能够获取数据。

我们的防御系统出了什么问题?

对于任何大型企业和组织而言,修补漏洞的过程都是一项庞大的工作。我们每年为各个系统安装的补丁多达上万个。及时安装重要的补丁对我们的网络安全至关重要;但遗憾的是,此次攻击发生前,我们未能及时安装相应的补丁。

红十字国际委员会的网络防御系统是多层面的,包括终端监控、扫描软件及其他工具。在此次事件中,我们在攻击之后开展的分析表明,我们的漏洞管理进程和工具没有对其加以阻止,故而我们立即对这两个领域进行了调整。此外,我们在2021年2月发起了最新的加强网络安全项目,目前正在加速实施其中已经规划好的部分活动,从而应对不断演变的威胁。

我们认为是谁在幕后操纵此次攻击?

我们无法确定是谁在幕后操纵此次攻击,不知晓攻击的原因,也不会对此进行臆测。我们没有与黑客进行任何联络,也没有收到任何勒索信息。针对任何行为方,无论是会促进还是阻碍我们人道工作的行为方,我们都采取一贯的沟通方式:我们愿意与可能对此次行动负责的相关方直接进行保密沟通,向他们强调尊重人道行动的必要性。我们还要再次向黑客发出呼吁:切勿分享、销售、泄露或以其他方式使用相关数据。

就此次事件而言,我们正在与哪些机构进行合作?

我们已经与关键的技术合作伙伴及高度专业的公司合作,帮助我们应对这一问题。从危机发生伊始,红十字国际委员会日内瓦总部就与瑞士国家网络安全中心(NCSC)保持密切对话。各国红十字会与红新月会均与本国的主管当局进行联络。

哪些信息遭到获取?

此次网络侵入行为涉及全球超过51.5万人的姓名、所在地及联系方式等个人信息。受影响群体包括失踪人员及其家属、被拘留者及其他因武装冲突、自然灾害或迁移而接受国际红十字与红新月运动服务的人员。我们认为进一步公布这些人员的身份、所在地或来源地等详细信息,并不符合他们的最佳利益。

数据集是否遭到复制和导出?

我们必须假定数据已遭复制和导出。我们知道的是黑客曾侵入系统,因而也有能力进行复制和导出。据我们所知,相关信息尚未遭到公布或交易。我们的初步分析显示在此次网络侵入事件中,并无数据遭到删除,对此我们有信心。这一点是至关重要的,因为这才使得我们能够建立临时系统,重新恢复帮助亲人团聚的工作。

数据是否已经泄露给他人,包括在暗网上传播?

目前,我们尚未掌握任何确定性证据,证明此次网络侵入事件中的相关信息已遭到公布或正在进行交易。我们的网络安全工作组已经调查了所有据报数据可在暗网获取的指控。

我们有多大的把握可以确定当前系统内部已不存在潜在风险?

我们在确定服务器遭到黑客攻击后就立即将受影响的服务器关停。我们相信此次事件没有影响到红十字国际委员会的其他服务器,因为我们将系统相互隔离,而且还在持续监控整体网络环境中是否存在任何使用高级工具开展恶意活动的迹象。

我们正在采取哪些措施?

我们正在与各国红十字会和红新月会以及一线的红十字国际委员会代表处协调,向数据信息已经遭到泄露的个人和家庭告知相关情况。这一过程较为复杂,需要一定的时间。面临最大风险的群体是我们首要考虑的对象。有些人员是通过电话、热线、公告、信件告知的;在有些情况下则需要工作组前往偏远社区当面告知。我们正在竭尽全力联系移民等可能难以抵及的群体。我们还制定了权变措施,使全球红十字会和红新月会的工作组能够在我们重建中央寻人局新的数字空间的同时,继续为受此次网络侵入事件影响的民众提供基本寻人服务。

在中央寻人局线上系统恢复前将会进行哪些调整?

我们会在安全增强功能方面进行调整,新增双重认证进程,并采用高级威胁检测解决方案。要恢复线上服务,所有应用程序和系统都必须在此之前顺利通过外部机构开展的渗透测试。

我们为什么不再提供更多关于此次黑客攻击或系统方面的技术信息?

我们非常重视网络安全问题,多年来对此进行了大量投入。面临网络安全威胁不断演变的大环境,我们必须继续进行投入。为确保相关应用的安全,且在遵循行业最佳实践的情况下,我们将不会透露技术架构或安全方面的细节。

*高级长期威胁(APT)指的是在未经许可的情况下侵入计算机网络,并在较长时间内未被发现的隐匿的威胁实施者(通常为某个民族国家或国家支持的团体)。近来,高级长期威胁还可能指代为特定目标而实施大规模针对性侵入行为的非国家支持团体(见:https://en.wikipedia.org/wiki/Advanced_persistent_threat)。

**摘自IBM公司《2021年数据泄露代价报告》:"2021年,发现一起数据泄露事件平均需要212天,对其进行遏制平均需要75天,完成这一循环共计需要287天。"

***参见https://nvd.nist.gov/vuln/detail/cve-2021-40539