摩根士丹利遭遇数据泄露,敏感的客户的数据暴露,成为黑客利用Accellion FTA(一种广泛使用的第三方文件传输服务)的一系列漏洞的最新受害者。
摩根士丹利在一封由Bleeping Computer首次报道的信件中说,泄露数据包括姓名、地址、出生日期、社会保险号码和附属公司名称。一家名为Guidehouse的第三方服务机构为这家金融服务公司提供账户维护服务,该机构当时拥有这些数据。不明身份的黑客通过利用12月和1月曝光的一系列黑客活动获得了这些数据。
为什么花了这么长时间才找到漏洞?
摩根士丹利表示。
据Guidehouse称,导致此次事件的Accellion FTA漏洞已于2021年1月打上补丁,即在补丁可用的5天内。虽然数据是由未经授权的个人在那段时间获得的,但供应商直到2021年3月才发现这次攻击,直到2021年5月才发现对摩根士丹利的影响,原因是难以追溯确定Accellion FTA设备存在漏洞时,哪些文件是存储在该设备中。Guidehouse已经通知摩根士丹利,它没有发现任何证据表明摩根士丹利的数据已经被传播到威胁者之外。
指南针公司的代表没有立即回复一封电子邮件,询问为什么该公司花了这么长时间才发现漏洞,通知客户,并发现其他指南针公司的客户是否也受到影响。
Accellion客户使用文件传输设备作为发送大型数据文件的电子邮件的安全替代品。电子邮件收件人不会收到附件,而是收到FTA上托管的文件的链接,然后可以下载这些文件。尽管该产品已经有近20年的历史,而且Accellion一直在将客户过渡到一个较新的产品,但传统的FTA仍然被金融、政府和保险部门的数百家机构使用。
Cl1p Cl0p
根据Accellion委托安全公司Mandiant进行的研究,未知的黑客利用这些漏洞安装了一个网络外壳,给他们提供了一个基于文本的界面,在被攻击的网络上安装恶意软件和发布其他命令。Mandiant还说,许多被黑的组织后来收到了勒索要求,威胁说除非他们支付赎金,否则将在一个与Cl0p勒索软件集团有关的暗网网站上公布被盗数据。
最早发现黑客活动是在12月中旬,当时Mandiant发现黑客利用了Accellion FTA的SQL注入漏洞。该漏洞成为最初的入侵点。随着时间的推移,攻击者利用了更多的FTA漏洞来获得足够的控制权来安装网络外壳。
Mandiant研究人员写道。
在2020年12月中旬,Mandiant回应了多起事件,其中我们称之为DEWMODE的网络外壳被用来从Accellion FTA设备中渗出数据。Accellion FTA设备是一个专门设计的应用程序,旨在让企业安全地传输大型文件。渗透活动已经影响到广泛的部门和国家的实体。
在这些事件中,Mandiant观察到共同的基础设施使用和TTP,包括利用FTA设备来部署DEWMODE网络外壳。Mandiant确定,我们现在跟踪的UNC2546是一个共同的威胁行为者,负责这项活动。虽然利用漏洞安装DEWMODE的完整细节仍在分析中,但多个客户调查的证据显示UNC2546的活动有多个共同点。
研究人员怀疑通过这些漏洞被入侵的其他组织包括石油公司壳牌、安全公司Qualys、汽油零售商RaceTrac Petroleum、国际律师事务所Jones Day、华盛顿州审计员、美国银行Flagstar、美国大学斯坦福和加利福尼亚大学以及新西兰储备银行。
没有预先警告
对FTA漏洞的野蛮利用在12月下旬首次被发现。该公司最初表示,它已经通知了所有受影响的客户,并在得知这些零日漏洞后的72小时内修复了这些漏洞,使攻击得以进行。后来,Mandiant发现了另外两个零日漏洞。
一些客户过去曾抱怨说,Accellion在提供受攻击的漏洞通知方面很慢。
"新西兰储备银行的官员在5月说:"我们过度依赖Accellion--文件传输应用(FTA)的供应商--提醒我们他们系统中的任何漏洞。"在这种情况下,他们向我们发出的通知没有离开他们的系统,因此没有在漏洞发生之前到达储备银行。我们没有收到任何预先警告。"
摩根士丹利代表在一份声明中写道:"保护客户数据是最重要的,也是我们非常重视的事情。我们与Guidhouse保持密切联系,并正在采取措施减轻客户的潜在风险"。
