导语:在本周三有媒体参加的官方会议上,澳大利亚负责国家安全情报收集工作的信号局(Australian Signals Directorate,简称ASD)事件应急主管Mitchell Clarke透露,他们去年曾处理过一起棘手的应急事件。

在本周三有媒体参加的官方会议上,澳大利亚负责国家安全情报收集工作的信号局(Australian Signals Directorate,简称ASD)事件应急主管Mitchell Clarke透露,他们去年曾处理过一起棘手的应急事件。

绝密军火库被盗

2016年11月,有合作伙伴向ASD发来警告,攻击者已经进入当地一家50人规模航天工程公司的内部网络,正在打包(美国)国防部相关绝密数据。

ASD-military-data-breach-2.jpg

ASD整理的攻击者信息

海量绝密数据被窃取,包括F-35战斗机、P-8波塞冬海上巡逻机、C-130运输机、联合直接攻击弹药(JDAM)智能炸弹包以及数艘澳大利亚海军舰艇等等。

F35_b-kQDI-U1101524443372nH-1024x576@LaStampa.it.jpg

F-35是美国最新一代战机,澳大利亚订购了几十架

Mitchell Clarke称,攻击者在几个月内窃取了大约30GB的敏感数据,它们均在美国国际武器贸易控制条例(ITAR)的进出口限制范围之内。而且数据详实程度令人震惊,以澳大利亚最新海军舰艇为例,Clarke说攻击者拿到的设计图文件,精度极高,放大后可以看清船长座椅。

安全防护一塌糊涂

本周二澳大利亚网络安全中心发布的2017年度威胁报告首次披露了此事,周三的澳大利亚信息安全协会全国大会上,Clarke分享了更多细节。

ASD将此次攻击行动命名为“APT ALF”,暗示攻击持续时间长,和澳大利亚著名长寿肥皂剧Home and Away类似。

至少在2016年7月中旬时候,攻击者实际上已经进入那家小型国防承包商企业的网络。两周后,数据开始陆续被窃取。从8月到ASD被通知的11月,攻击者完全占据了网络,在长达三个多月的”贤者时间“几乎为所欲为。

ASD事后调查该企业的网络安全防范,发现和常见民营小公司的网络环境很类似。由于员工流动率高,它没有常规修补方案、没有DMZ防护、服务器竟然使用本地管理员账号而非域控账号、许多主机上开着Web服务…最奇葩的是开着的Web服务还用着admin/admin、guest/guest等默认弱账号密码。

所以,被黑也很活该对吧。攻击者最开始发现某主机的旧版本Web服务存在“任意文件上传漏洞”,使用国内知名黑客工具“中国菜刀”成功拿下Webshell,然后展开扫描环境、横向移动、数据Dump等一系列攻击操作。

神秘的受害者和通报者

到目前为止,我们只能从Clarke只言片语里猜测受害者和通报者的身份。

据悉,受害者是澳大利亚航空航天工程的四级承包商,和主承包商、当地机构、美国国防部门、波音和洛克希德马丁等制造商对接,并且通过美国军火贸易的ITAR安全认证。

ASD连同澳大利亚CERT机构找到这家公司时,曾被拒之门外。Clarke说他们知晓事情后前往受害者办公室,但受害者很警惕,不相信他们的身份,ASD和CERT的权限也不足以去审查这家公司。

通过一些手段,ASD最终获得了受害者的信任,得以采取措施分析和溯源事件状况和攻击者信息。

通报者则更神秘,这家不愿透露名字的澳大利亚合作伙伴在7月份已经知晓有人黑进了受害者企业网络,但当时无法告知。在花费大量时间处理合规、法律流程后,终于在11月向ASD通报成功。

“对澳大利亚来说,这显然不是最好的结果,但至少我们被告知了,总比一无所知强。”Clarke道。

应急之后呢?

经历这一教训后,Clarke认为,澳大利亚应该学会更精细化的控制安全风险,学习如何选择安全机制。他强调遵循最佳安全实践保护网络的重要性,比如ASD一直推行的“减缓网络安全事件危害基本八条”(Protect Essential Eight Explained)。

对中国来说,除了攻击者使用“中国菜刀”的身份揣测外,我们还应关注国内同类企业的安全状况。澳大利亚受害者不会是孤例,相信也会有许多目光对准中国这方面企业,他们的安全措施如何?是否有能力抵御呢?

源链接

Hacking more

...