能源巨頭告訴你數據傳輸的正確方式 | 大東話安全_風聞

一、小白劇場

大東：小白你馬上就要工作了，你知道在公司重要文件傳輸用什麼軟件嗎？

小白：我不太知道啊！東哥，有沒有什麼推薦的軟件呢？

大東：市面上的文件傳輸軟件還真不少，這裏我就不贅述了，小白感興趣可以問問師長，就不要自己去搜索下載了哦！

機密數據泄漏（圖片來自網絡）

小白：為什麼，難道“小度”給出的推薦不安全嗎？

大東：當然，因為大部分的小眾軟件都沒有安全保障，並且一些被市場接受的大眾軟件卻更容易被攻擊者針對。

小白：為什麼這麼説呢，東哥？難道你又有什麼故事了嗎？

大東：小白你的“嗅覺”可是越來越靈敏了哦，沒錯，我正好有一個有關文件傳輸軟件泄密的案例，小白你想聽聽嗎？

小白：當然，東哥，你快講講吧，我再充充電！

二、話説事件

大東：要談文件傳輸軟件，就不得不提一家安全廠商Accellion。

小白：這個廠商是什麼來頭呢，東哥？

大東：他是一傢俬有云解決方案提供商。

小白：那他在文件傳輸方面出了什麼問題呢，東哥？

大東：問題就出在他的文件傳輸程序FTA。 

小白：怎麼説，東哥？

大東：攻擊者利用了FTA中的0day漏洞，訪問並竊取了大量用户數據！

小白：真的嗎，都有哪些公司遭殃了呢？

大東：比如2021年3月工業巨頭霍尼韋爾的員工使用FTA傳輸機密文件，導致其IT系統遭攻擊者的惡意軟件破壞，而同樣在3月份，能源巨頭殼牌公司也遭遇了黑客攻擊！

小白：哇，接連作案，攻擊者使用的不會是同一種攻擊手段吧，東哥？

大東：顯然是的，殼牌公司2021年3月表示，攻擊者利用了FTA的零日漏洞，已經訪問了一些個人數據以及屬於殼牌利益相關方和子公司的數據。

小白：那東哥，你覺得這幾次攻擊導致數據泄漏的原因有哪些呢？

大東：首先便是Accellion作為一家安全廠商，理應為其他公司提供保障，自身卻出現了安全問題。

小白：唉，自家後院起火，還怎麼幫別人出謀劃策啊！

大東：哈哈，沒錯！除了Accellion本身的問題以外，各大企業在處理私密數據時也並不是高度謹慎，沒有對安全廠商進行深入調研，錯付了信任。

小白：唉，這些企業怎麼也沒想到，任命這麼多年的信使，到頭來還是錯付了。那東哥，攻擊者是怎麼利用漏洞攻擊的呢？

大東：據相關安全人員調查分析，攻擊過程中，黑客通過服務器0day漏洞安裝了一個名為“DEWMODE”的web shell，再用於下載存儲在目標受害者FTA服務器上的相關文件。

小白：原來是這樣，那我們在FTA上下載存儲的文件，就悄悄地溜進攻擊者的口袋了嗎？

大東：顯然是這樣的。

小白：那攻擊者竊取到數據之後，都會用來幹什麼呢？

大東：據調查顯示，在泄密事件爆發後，陸續有受害者收到該黑客組織的勒索電子郵件，威脅要將竊取的數據發佈在名為“CL0P^_- LEAKS”的網站上。

小白：這是一個什麼網站呢？

大東：這其實是一個非法交易的暗網，很多通過非正當途徑竊取的用户數據都會在這裏被變賣。

小白：那泄漏的數據大概包括哪些類型呢，東哥？

大東：泄露的數據包括公司發票、採購訂單、税務文件和掃描報告等，都是至關重要的商業機密數據。

暗網變賣的數據（圖片來自網絡）

三、大話始末

小白：那攻擊者藉助FTA的0day漏洞竊取數據的事件後續有什麼進展嗎，東哥？ 

大東：2021年3月，火眼的安全專家指出，FTA攻擊事件的始作俑者是黑客組織 FIN11（也稱UNC2546）。

小白：原來又是個APT組織啊，東哥！

大東：嗯，不錯，看來你沒有忘記咱們的APT普及課，平時肯定認真複習了，值得鼓勵！

小白：過獎了，東哥！還是説説FIN11後續有什麼攻擊進展了吧！

大東：説來也是有趣，雖然FIN11正在泄露或是準備泄露受害者的數據，但並沒有真實地直接對受害者受感染的系統進行加密。

小白：FIN11不是以經濟利益為目標的嗎，怎麼沒有進行勒索呢？

大東：沒錯，作為一個向來以經濟利益為動機的攻擊組織，FIN11此次卻沒有真實地從中獲取勒索贖金，也讓相關專家們對這次攻擊行動動機存疑。

小白：那火眼專家們後續發表什麼言論了呢，東哥？ 

大東：技術人員目前仍在跟蹤兩個單獨的活動集羣。

小白：是那些集羣呢，東哥？

大東：首先追蹤的是UNC2546的第一個集羣，該集羣與利用Accellion的FTA軟件中的零日漏洞，進而從運行舊版的FTA產品的目標組織中竊取數據有關。

小白：第二個集羣呢？

大東：其次跟蹤的是UNC2582的第二個集羣，該集羣與隨後的勒索活動有關。

FIN11勒索信件模板（圖片來自網絡）

小白：看來這是一次漫長的追蹤過程啊！

大東：漫長並不可怕，火眼研究人員已經宣佈“我們已經確定了UNC2582，UNC2546 和以前的 FIN11 操作之間的重疊，並且將繼續評估這些活動集羣之間的關係，繼續 FireEye。”

小白：竟然熱血起來了呢，我相信火眼研究人員一定會成功的，攻擊者必定會被繩之以法！那東哥，Accellion對本次攻擊的源頭，0day漏洞怎麼處理了呢？

大東：該廠商為了應對本次攻擊浪潮，發佈了多個安全補丁，以解決黑客利用的漏洞。而且公司還將在2021年4月30日之前淘汰舊有的FTA服務器軟件。

四、小白內心説

小白：東哥，怎樣處理公司重要的文件才是正確的呢？

微信辦公（圖片來自網絡）

大東：傳輸的時候也要連接內網，不可公網傳輸。此外，一定要加強員工的安全意識。

小白：嗯嗯，收到了，東哥，保守公司秘密是每個員工的基本義務！

參考資料：

1. 能源巨頭 Shell 披露 Accelion FTA 黑客攻擊造成數據泄露

https://www.wangan.com/articles/3968

2. 【安全圈】能源巨頭殼牌公司遭受 Accelion 黑客攻擊http://www.360doc.com/content/21/0326/22/10240337_969165308.shtml

3. 微信辦公泄密！多名公務員被處理……暴露了什麼問題？

https://new.qq.com/omn/20210121/20210121A09V1Y00.html

4. 0day狙擊：網絡安全公司遭黑客組織FIN11攻擊

https://cloud.tencent.com/developer/article/1799066?from=information.detail.Accellion

**來源：**中國科學院信息工程研究所