美国电信黑客、500 万美元加密货币劫案和 INC 罢工

2024年12月20日
Amy Krigman

大家好，欢迎收看 GlobalSign 的最新 NewsScam。

虽然正值假期，但网络安全领域却丝毫没有放缓的迹象。让我们深入了解所有新闻！

本月最令人担忧的新闻之一是，中国支持的 “盐台风 ”在美国发现了严重的黑客攻击，至少有八家美国电信运营商受到攻击，其中包括 AT&T、T-Mobile 和 Verizon。

12 月 16 日的一则报道证实，在密码管理器提供商 LastPass 于 2022 年发生漏洞事件后，至少有 40 个钱包地址被盗走了至少 500 万美元。

12 月初，欧洲、中东和非洲地区顶级电信供应商英国电信的会议部门遭到 Black Basta 勒索软件组织的入侵，导致其部分服务器被关闭，以防万一。

12 月 10 日，微软 365发生了一起 “大范围 ”事件，不到一个月后，Facebook、Instagram、Threads 和 WhatsApp 也相继发生全球访问中断事件。

利物浦的三家医院因共享服务设施遭到攻击而受到影响，该攻击由 4 月份攻击莱斯特市议会的同一组织实施。

最后，罗马尼亚一家电力供应商遭到黑客攻击，爱尔兰当局逮捕了一名与去年发生的网络攻击有关的妇女。随着关键基础设施遭受的攻击越来越多，美国政府发布了一份亟需的指南，指导如何提高网络安全，以及如何更好地准备资金申请。

在结束 2024 年的新闻报道后，我们期待在 2025 年的月刊《新闻骗局》中报道更多突破性的故事。

中国支持的犯罪团伙多年来一直在监视顶级电信运营商

为期两年的美国黑客攻击显然是由中国支持的 “盐台风 ”所为，影响了至少八家美国电信运营商，包括 AT&T、T-Mobile 和 Verizon。美国负责网络事务的副国家安全顾问安妮-纽伯格说，“盐台风 ”还袭击了其他数十个国家，在搜索目标的通话和短信时获取了大量元数据。

T Mobile 的美国首席技术官杰夫-西蒙（Jeff Simon）告诉《The Register》：“网络间谍在不同组织的网络之间跳跃，并试图入侵 T-Mobile 美国公司的方式是独一无二的，”他补充说，“这是我 15 年多的网络安全职业生涯中从未见过的”。据 Risky.Biz 报道，美国联邦调查局（FBI）表示，不幸的是，这种活动并未停止，随后 “仍在努力将 Salt Typhoon 从被入侵的网络中驱逐出去”。

美国网络安全和基础设施安全局（CISA）目前正在对这起大规模黑客攻击事件展开调查，该机构与其他许多美国和全球政府机构一起，向电信部门发布了有关防御措施的指导意见，以加强负责监管通信基础设施的工程师和系统管理员的可视性。

恰逢圣诞节，一名威胁行为者窃取了超过 500 万美元的加密货币

一起新的加密货币抢劫案与密码管理器提供商 LastPass于 2022 年夏天发生的数据泄露事件有关。据调查人员 ZachXBT 称，在 12 月 16 日至 12 月 17 日期间，攻击者从 40 多个受害者个人地址盗取了 560 万美元的加密货币，其他估计高达 1200 万美元。ZachXBT 还声称，被盗资金已经被兑换成不同的货币，并转移到各种即时交易所。

2022 年，攻击者窃取了大量数据，如源代码、API 标记和客户密钥，导致两起独立的加密货币黑客事件，被盗金额超过 620 万美元。这起新事件意味着这是一起漏洞引发的第三次抢劫。 In a LastPass首席技术官兼首席运营官克里斯托弗-霍夫（Christofer Hoff）在给Tom's Guide的一份声明中对这些加密货币盗窃事件发表了进一步的看法： “自从最初有人声称某些加密货币失窃事件与 2022 年 LastPass 安全事件之间存在联系以来，一年已经过去了。在此期间，LastPass对这些说法进行了调查，迄今为止尚未发现任何确凿证据将这些加密货币盗窃与LastPass直接联系起来。LastPass还表示，他们邀请任何可能掌握进一步证据的安全研究人员与他们的威胁情报团队联系securitydisclosure@lastpass.com。

不那么快乐：微软和 Meta 均在 12 月遭遇故障

微软和所有 Meta 公司都发生了一些大规模但相当短暂的故障，微软的 365 用户的故障始于12 月 10 日星期二。这起被称为 “大范围 ”的事件发生不到一个月，此前该公司也发生过类似事件，Office 网络应用程序和 Microsoft 365 管理中心也受到了影响。

受影响的用户报告称看到了 "我们正在经历服务中断。您所有打开的文件均已保存。可能需要一段时间才能解决中断问题"。该公司建议拥有所需许可证的用户使用桌面应用程序访问其 Microsoft 365 应用程序和文档，作为一种变通办法。第二天，Facebook、Instagram、Threads 和 WhatsApp 都在美国东部时间下午 12:40 左右经历了一次全球性中断。例如，用户在尝试访问 Facebook 时看到一条消息："对不起，出了点问题。我们正在尽快修复。服务中断的程度因用户所在位置而异。

四月份攻击莱斯特市议会的网络犯罪团伙应为上个月对三家英国医院的攻击负责

11 月底，利物浦的一次网络攻击影响了三家不同的医院，原因是该集团使用了一项共享服务。黑客最初攻击了 Alder Hey 儿童 NHS 基金会信托基金会，还攻击了利物浦心脏和胸科医院以及皇家利物浦大学。12 月 4 日确认的这起事件似乎是勒索软件团伙，INC。该组织也是4 月份莱斯特市议会遭到黑客攻击的幕后黑手。根据 Alder Hey 儿童 NHS 基金会信托基金会网站上的一篇文章，“犯罪分子通过 Alder Hey 和利物浦心胸医院共享的数字网关服务非法获取了数据”。因此，INC 能够从皇家利物浦大学医院获得少量数据。

Black Basta闪电战BT

在其他电信行业新闻中，Black Basta 勒索软件组织于 12 月初攻击了英国电信。虽然其会议部门确实发生了数据泄露事件，但公司发言人告诉BleepingComputer，此次安全事件并未对英国电信集团的运营或英国电信会议服务造成影响，因此目前尚不清楚是否有任何系统被加密，也不清楚是否只有数据被盗。Black Basta 声称它窃取了 500GB 的数据，包括财务和组织数据。该网络犯罪团伙是一个 “赎金软件即服务”（Ransomware-as-a-Service）行动，以前的受害者包括多伦多公共图书馆、美国牙科协会、德国国防承包商莱茵金属公司和政府承包商 ABB。今年 10 月， BleepingComputer又发表了一篇关于 Black Basta 的文章，称该组织 “将社交工程攻击转移到了 Microsoft Teams 上，冒充企业服务台联系员工，协助他们应对正在进行的垃圾邮件攻击”。据了解，该组织是从 Conti 网络犯罪辛迪加分裂出来的，该辛迪加已于两年前关闭，并分裂成多个组织，据信 Black Basta 就是其中之一。

关键基础设施遭受日益危险的网络攻击，美国政府发布指导手册

随着网络犯罪分子越来越有恃无恐地攻击电力公司和水处理计划等关键基础设施，美国政府刚刚发布了一份新指南，以帮助运营商在网络安全资助项目中建立网络复原力。这本名为《加强关键基础设施联邦拨款项目中的网络安全手册》的指南共 75 页，提供了能更好地优先考虑网络安全工具的模板、模型和建议。赠款申请人可在制定网络风险评估和计划等时使用该资源。

本月，美国没有发生一起涉及关键基础设施的案件，但海外有一些活动。在罗马尼亚，新出现的 Lynx 勒索软件团伙入侵了该国最大的电力供应商之一， Electrica 集团。但幸运的是，公司的 SCADA 和其他关键系统被隔离开来，没有受到攻击的影响。

在爱尔兰，一名妇女在去年爱尔兰电气公司发生数据泄露事件后被捕。爱尔兰警方称，这名年轻女子于 12 月初被拘留，似乎是爱尔兰电力公司的一名员工。该公司在一份新闻稿中称，她 “可能不恰当地访问了 110 万个住宅客户账户中的一小部分”（约 8000 个客户账户）。爱尔兰电力公司已敦促将嫌疑人逮捕归案，因为该漏洞可能导致个人和财务数据被滥用。

史多利（Stoli）美国子公司在遭受严重袭击后宣布破产

伏特加品牌 Stoli 的美国子公司于 11 月 29 日向德克萨斯州一家法院申请破产，显然是在 8 月份遭受网络攻击之后。《记录》称，Stoli Group USA 的首席执行官克里斯-考德威尔（Chris Caldwell）将导致其财务困难的原因归结为一系列因素，其中影响最大的是严重破坏公司 IT 基础设施的攻击。在破产申请中，考德威尔表示："由于Stoli集团的企业资源规划（ERP）系统瘫痪，Stoli集团的大部分内部流程（包括会计功能）被迫进入手动输入模式，这次攻击给Stoli集团内的所有公司（包括Stoli USA和KO）造成了严重的运营问题。显然，公司仍在从这一事件中恢复；首席执行官预计系统将在 “不早于 2025 年第一季度 ”恢复。

管理和自动化

证书

合规性

技术联盟

证书管理和自动化

文件签名

自定义CA/私有PKI

网站和服务器安全（SSL/TLS）

访问控制和身份验证

签名证书

eIDAS

PSD2

时间戳

FDA CFR 21 数字证书

Adobe Acrobat

DocuSign

美国电信黑客、500 万美元加密货币劫案和 INC 罢工 - 十二月新闻骗局