联合国“Umoja”系统凭据遭泄露 北约也遇相同问题

联合国周四表示,其网络在今年早些时候被入侵者侵入,导致后续网络入侵事件。网络犯罪分析师表示,当看到有人出售联合国系统的访问凭证时,他们警告了该机构。

联合国在一份声明中表示,“不明袭击者在2021年4月入侵联合国的部分基础设施。”

“联合国经常成为网络攻击的目标,包括持续的行动,”一份声明称。“我们还可以证实,已经发现了与早些时候的黑客攻击有关的进一步攻击,并正在作出回应。”

专业分析机构Hold Security专门分析地下网络犯罪活动,该公司的首席技术官Holden表示,此次信息泄露事件凸显了全球网络安全方面的弱点。当前,网络犯罪分子的攻击目标不在局限于美国或欧盟,他们的目标是全球政府组织。

同时称,获得联合国访问凭证的同一团体之一也在3月份试图出售属于北大西洋公约组织或北约的网络安全门户的凭证。

出售访问凭证

Holden称,虽然联合国表示入侵发生在4月份,但它似乎至少可以追溯到2月份。就在2月,一名威胁分子私下提出要向联合国Umoja出售准入证书企业资源计划(ERP)软件。

Umoja用于与财务、人力资源和行政管理相关的各种业务流程。该项目的网页显示,在近450个地点,约有46000人在使用它。

Holden说,他的公司在2月份通过一个合作伙伴通知了联合国。访问证书的销售是私人提供的,当时在一个经常交易和出售此类证书的暗网论坛上没有广告。

联合国1.jpg 这是2月份用于宣传联合国“Umoja”系统访问凭证的屏幕截图。

然后在4月份,另一家经纪商为Umoja提供了另一套访问凭证。据悉,该组织向nefilm勒索软件团伙提供访问证书,这是最赚钱、最多产的文件加密恶意软件之一。Holden说,据消息是这个中间人把联合国的证书交给了Nefilim。

联合国使用Citrix作为通往Umoja项目的访问层。新西兰的国家计算机应急响应小组去年警告说,Nefilim的目标是使用未修补或安全性较差的Citrix远程访问技术的组织。

联合国2.jpg

一位与Nefilim勒索软件集团关系密切的凭证经纪人提供了此屏幕截图,作为其在4 月份获得了Umoja访问权限的证据。

Holden的公司再次通过合作伙伴通知了联合国。直到7月,访问经纪人仍在试图出售这些凭证。

彭博社报道称,另一家网络安全咨询公司Resecurity of Los Angeles也看到了Umoja凭证遭到出售,并警告联合国。

联合国在其声明中表示,当Resecurity与它联系时,意识到问题的严重性,“并且已经计划并正在实施旨在减轻违规影响的纠正措施。”

Umoja 启动MFA

目前还不清楚两个不同的组是如何捕获Umoja的登录凭据的。Holden说,一种可能的方法是网络钓鱼攻击,即用户被骗透露他们的登录凭据。在凭据被盗时,“Umoja”项目似乎没有启用双重验证。在这种方案中,用户通常需要输入六位数的时间敏感代码。

自入侵事件发生以来,联合国已为Umoja更换了一套不同的认证系统。该机构将Umoja从一个名为联合身份(United Identity)的系统,也被称为企业身份管理服务(Enterprise Identity Management Service),转换为微软的Azure。根据一篇未注明日期的博客文章,联合国写道,迁移到Azure将允许Office365启用单点登录。

“Azure支持多因素身份验证 (MFA),这降低了网络安全漏洞的风险。”

北约也曾有相关问题

今年3月,Holden表示与Nefilim关系密切的访问经纪人还出售了隶属于北约网络安全中心的计算机系统的访问凭证。这些证书再次被认为是转交给了Nefilim。

联合国3.jpg

Holden称,这些访问凭证通过私人渠道以300美元的价格出售。据称,该凭证可以解锁进入北约网络安全服务线门户网站的权限。

网络犯罪团伙目前已渗透至各行各业,尤其随着互联网及大数据应用,越来越多重要而敏感数据集中在政府部门,这也意味着一旦其网络受到攻击或破坏,一方面泄露的数据很可能被利用引发其他影响,另一方面将会影响相关部门的工作效率。

网络安全问题已成为国际上的重点问题,尤其随着网络犯罪分子愈发难以应付,在传统安全防护基础上,更将加强软件自身安全作为其重要补充工作。维护安全漏洞所需成本通常会高于开发时修正成本,因此在软件开发期间不断使用安全可控的静态代码检测工具检测并修复代码缺陷及安全漏洞等问题,可以有效提高软件自身安全性,为网络安全筑牢根基。

参读链接:

www.inforisktoday.com/united-nati…

评论