美国一家核武器承包商证实,他们遭受了勒索软件攻击,导致数据被盗。Sol Oriens是美国能源部 (DOE) 的分包商,与国家核安全局 ( NNSA ) 合作开发核武器,他们声称上个月遭到网络攻击,专家称该攻击来自勒索软件团队被称为REvil,又名Sodinokibi。
位于新墨西哥州阿尔伯克基的核武器分包商 Sol Oriens 的总部(来源:谷歌地图)
这家新墨西哥州阿尔伯克基公司的网站至少从6月4日起就无法访问,但Sol Oriens的官员向福克斯新闻和CNBC证实,该公司上个月某个时候意识到了违规行为。
Sol Oriens通过媒体发布声明
能源部国家核安全管理局分包商Sol Oriens周五表示,袭击发生在 5 月份。6月4日,REvil-又名Sodinokibi – 勒索团体将这家位于新墨西哥州阿尔伯克基的公司添加到它在其基于暗网网站上发布的受害者名单中。
“REvil为 Sol Oriens 发布的帖子甚至没有费心将公司单独列出,而是将其与另外两名据称的受害者归为一组,这表明该团伙认为这是一个相对较小的打击”,目前泄露的数据包含两个项目:美国能源部洛斯阿拉莫斯国家实验室承包商的工作清单和工资报告的一部分:“2020 年 9 月的公司工资单,列出了少数员工的姓名、社会保障号码和季度工资。还有一个公司合同分类帐,以及概述工人培训计划的备忘录的一部分。(备忘录顶部有能源部和 NNSA 国防计划的标志。)”
外媒暗网截图
“Sol Oriens没有采取所有必要的行动来保护其员工的个人数据和合作伙伴公司的软件开发,”Revil 在其泄密网站上发布的一份声明中说,该声明带有明显讽刺意味:“没有采取一切必要措施来保护其员工的个人数据和合作伙伴公司的软件开发。”
“我们在此保留将所有相关文件和数据转发给我们选择的军事机构的权利,包括员工的所有个人数据。”
Sol Oriens公司的声明,我们在周五由CNBC(美国消费者新闻与商业频道)的高级记者埃蒙·贾维斯(Eamon Javers)发布的推文中捕获:
“2021 年 5 月,Sol Orien 意识到影响我们网络环境的网络安全事件。调查仍在进行中,但我们最近确定未经授权的个人从我们的系统中获取了某些文件。这些文件目前正在审查中,我们正在与第三方技术取证公司合作,以确定可能涉及的潜在数据的范围。我们目前没有迹象表明此事件涉及客户机密或与安全相关的关键信息。一旦调查结束,我们将致力于通知涉及信息的个人和实体……”
Sol Oriens说,至少到目前为止,被盗的材料似乎不涉及任何涉及国家安全的问题。“我们目前没有迹象表明此事件涉及客户机密或与安全相关的关键信息,”它说。“一旦调查结束,我们将致力于通知涉及信息的个人和实体。”
Sol Oriens公司拒绝透露是否向攻击者支付了赎金。
正如埃蒙·贾维斯(Eamon Javers)指出的那样,“我们并不了解这家小公司所做的一切”,但他发布了一个样本招聘帖,表明它处理核武器问题:“高级核武器系统主题。拥有20多年 W80-4 等核武器经验的专家。” 该W80是一种对空气发射的巡航导弹携带核弹头。
Sol Oriens将自己描述为一家技术研发公司。例如,最近在 GlassDoor 上发布的一份招聘信息称,它正在寻找一名项目分析师,可以协助 NNSA 实施“复杂的核武器维持计划”。
Sol Oriens确实为能源部国家核安全管理局处理核武器和能源方面的工作
根据存档版本及其LinkedIn 个人资料,Sol Oriens是一家“小型、资深的咨询公司,专注于管理具有强大军事和空间应用潜力的先进技术和概念”,与“国防部和能源部”合作组织、航空航天承包商和技术公司 (sic) 执行复杂的程序。……我们专注于确保有成熟的技术来维持强大的国防。”
总体来看,美国媒体在渲染Sol Oriens公司的小规模,并且强调被盗数据也是小微,似乎在降低影响。
但此前就有类似的案例
美国核导弹承包商遭黑,数据已泄露
还有我们报道过:
全球最危险最富有黑客勒索组织REVIL,声称可以使用弹道导弹发射系统
但从REvil的声明看,REvil此次是否得到了关于美国核武器的更敏感、更秘密的信息还有待观察。美国国家核安全局负责维护和保护国家的核武器储备,并致力于军事核应用以及其他高度敏感的任务。因此,REvil得到任何数据的事实都令人深感担忧,何况他们还声称可以使用弹道导弹发射系统,所以这次袭击的动机很重要。
Sophos的首席研究员布兰特Andrew Brandt周五一封电子邮件中说,网络被入侵的部分攻击应该是由REvil软件开发商的附属公司或代理商处理。因此,“攻击者的技能和动机可能因事件而异”。这些附属公司不一定会做一些像窃取核机密那样激烈的事情。布兰特说,这通常远比这更随机。“在许多情况下,我们怀疑攻击者只是在寻找机会目标,但由于附属机构的多样性,而且他们针对特定行业或组织的技能和能力水平可能不同,因此该组织完全有可能成为专门针对的目标,我们只是不知道。”他说。
全球托管安全服务公司 Trustwave 的CISO毕晓普David Bishop 认为,对于此类攻击,我们需要注意“更严重的影响”。他在周五的一封电子邮件中透露:“我们看到高级对手在他们攻击的对象、他们如何勒索目标组织以及他们如何将赃物货币化方面变得更加大胆。”“大多数这些有组织的团体都是出于经济动机,但如果这些类型的攻击者将他们的动机从金钱转移到恶意,我们应该期待严重的现实世界结果。”毕晓普继续说道。“就JBS和Colonial Pipeline的网络攻击对现实世界的影响而言,我们只看到了冰山一角。公共部门和私营部门需要密切协调,就我们在打击这些威胁的法律或进攻性行动方面所能取得的成就进行密切协调——否则,这些对手将继续随意发动攻击。”
Tempered Networks 营销和联盟高级总监加里·金霍恩 (Gary Kinghorn) 表示,如果仅限于个人数据和联系人,这次特定泄露中数据的敏感性听起来还不是灾难性的,但可能还没有办法知道它是否超出了这个范围。Kinghorn 补充说,这次攻击的目标显然有利于地缘政治对手,组织需要意识到这些攻击背后的复杂性和资源,无论动机如何。“组织,特别是那些持有 DoE 级信息和机密的组织,必须意识到昨天的安全工具已经不够用,而且太容易出错,”Kinghorn 说。“国家安全局已经强烈建议政府机构转向零信任,甚至确保对所有动态数据进行加密。这些高级步骤可以有效地使网络无法破解。然而,目前,组织仍在权衡成本和投资回报率,直到他们像这样暴露出来做出改变。”
另一个据称被入侵受害者:Invenergy
相比之下,对于总部位于芝加哥的发电和运营公司Invenergy这样的上市公司,REvil声称窃取了4 TB的数据。
Invenergy 是一家总部位于美国的跨国发电开发和运营公司。该公司在美洲、欧洲和亚洲开发、建造、拥有和运营发电和储能项目。其产品组合包括风能、太阳能和天然气发电和储能设施。它是美国六大风力发电厂所有者之一,也是北美最大的私营可再生能源发电公司。
REvil在Invenergy列表声称窃取了大量数据:“我们拥有所有部门的所有信息。项目、合同、保密协议、退税、ssn、护照等,我们拥有它们,”列表中写道,为了增加付款压力,REvil还声称从CEO的电脑中窃取了令人尴尬的信息。
REvil在Invenergy勒索信息标题写道“奥巴马的朋友是个肮脏的变态 ”
Invenergy公司没有立即回应置评请求。
关键基础设施的中断,导致美国强调勒索软件现在是一个国家安全问题,与恐怖主义性质等同。白宫已承诺认真对待它,并表示政府最近在华盛顿成立的勒索软件和数字勒索特别工作组将创建一个集中的方法,并以与调查恐怖主义相同的严肃性对待此类攻击。拜登政府还敦促企业更认真地对待勒索软件,不要将其视为数据泄漏威胁,而是将其视为可能对企业造成影响的生存威胁。
美国这样的举措就足够了吗?恐怕在逮捕真正破坏勒索软件攻击并肇事者之前,这样的网络攻击将继续发生。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/5930.html
