英國航空(British Airways)、英國廣播公司(BBC)、英國通訊管理局(Ofcom)和英國連鎖藥妝店 Boots,今年 6 月同遭大規模黑客勒索。大品牌之所以同時遭殃,皆因黑客入侵的是第三方服務供應商。英國克蘭菲爾德大學(Cranfield University)數碼安全研究學者預告,以入侵有信譽的供應商為槓桿,漁翁撒網式勒索無數個人和企業客戶,很可能是未來的黑客攻擊模式。
這宗英國黑客勒索事件,首先透過文件傳輸軟件 MOVEit 展開攻勢,涉及俗稱「零日攻擊」(Zero-Day Exploit)的黑客技術,通過軟件代碼中的設計弱點,注入惡意軟件發動難以檢測的攻擊。然而,MOVEit 開發商不是目標本身,黑客以此入侵英國主要薪資服務供應商 Zellis,繼而取得英國航空、英國廣播公司、英國通訊管理局等大型品牌及機構數據。
Zellis 承認有客戶受影響後,即時中斷使用 MOVEit 的伺服器。與俄羅斯有聯繫的黑客集團 cl0p 承認責任,隨後更發出最後通牒,要求所有受影響機構交贖金,否則把全部資料在暗網公開。
始於俄羅斯的供應鏈攻擊模式
英國數碼安全研究學者 Danny Steed 與 Robert Black 預告,這種攻擊策略有別於以前,特別是有別於以勒索軟件攻擊個別機構或個人電腦,黑客似乎學會了從供應鏈入手,透過外部供應商發動大規模襲擊。
一個值得參考的先例,是 2020 年底美國軟件開發商 SolarWinds 被入侵事件,黑客透過 SolarWinds 熱門網絡管理系統 Orion 的軟件更新後門,向美國多個政府及私營部門客戶暗地裡發動攻擊。受波及機構有美國國防部、美國太空總署、華納媒體和電訊服務商 AT&T 等,有指俄羅斯聯邦對外情報局(SVR)是幕後策劃機構。
先有國家資助的黑客攻擊,驗證入侵供應鏈的方法可行,其他犯罪集團也就加以仿傚,MOVEit 個案就是依循同樣的供應鏈攻擊邏輯,或標誌著網絡犯罪正在進化。然而,新模式絕非毫無缺陷,黑客以最後通牒高調散播恐慌,嘗試迫使所有受害者交付贖金,結果交贖金比率往往偏低,為每次攻擊的回報大打折扣。相比起來,以勒索軟件低調勒索個別機構,附加清楚的交贖金渠道,成功率反而較高。
Steed 和 Black 的觀察指出,犯罪集團還在為供應鏈攻擊進行實驗,或改變過去 5 年黑客對勒索軟件的依賴,但如何透過攻擊換取最大收益,仍然是未解決的問題。預料在短期內,供應鏈攻擊頻率仍然會增加,意味著被勒索對象也可能愈見不尋常,各行各業都需要加強網絡安全。
「噤默夫人」罪案調查工作坊
誠徵模擬罪案調查員!
1998 到 2005 年之間,墨西哥城發生了很多宗針對老年婦女的謀殺案。多名老婦在家中遭勒斃,當地警方卻沒有辦法破案,成為史上的罕見連環案。警方不但錯失多個逮捕良機,更一直向著錯的方向前進,如果是你,你會跟墨西哥警方一樣,重複犯錯嗎?
歌歌@犯罪鳥歌及法醫人類學家 Winsome,誠邀你來一同擔當「噤默夫人」案件的模擬調查員。
內容包括:
🔎 重整每位死者的遇害經過
🔎 剖析犯罪現場資訊
🔎 認識犯罪心理學對於此案件的重要性
🔎 模擬法證、法醫分析及推論
詳情:
日期:10 月 7 日(星期六)
時間:下午 3 時至 6 時
地點:牛頭角區(成功報名會再告知地點)
費用:$380/人
報名:https://bit.ly/3Zg52Ma
