行業(yè)動態(tài)

黑客偽造“政府傳票”竊取科技巨頭敏感數(shù)據(jù),蘋果、臉書等均受影響

來源:聚銘網(wǎng)絡    發(fā)布時間:2022-04-02    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


  • 安全博客KrebsOnSecurity披露了一種偽裝政府執(zhí)法部門向互聯(lián)網(wǎng)公司套取用戶數(shù)據(jù)的攻擊手法,攻擊者竊取執(zhí)法部門郵箱等官方賬號,向互聯(lián)網(wǎng)平臺發(fā)送“緊急數(shù)據(jù)申請”,從而套取用戶敏感數(shù)據(jù);

  • 最近興起的LAPSUS$數(shù)據(jù)勒索團伙正是利用這一手法為基礎,成功入侵了微軟、Okta、英偉達等知名企業(yè)內(nèi)網(wǎng)竊取數(shù)據(jù),蘋果、Meta等巨頭曾應黑客要求提供用戶數(shù)據(jù);

  • 互聯(lián)網(wǎng)巨頭們向黑客提供的數(shù)據(jù)包括用戶的基本信息,如消費者的家庭住址、電話號碼、IP地址等。

美國聯(lián)邦、州或地方執(zhí)法部門要想獲得與某位公民有關的社交賬號、電話號碼等私人信息,必須首先申請法庭執(zhí)行令或傳票。但在某些特殊情形下——比如面臨重大傷害或死亡時,執(zhí)法或調(diào)查部門會動用所謂的“緊急數(shù)據(jù)申請”(EDR)權限,在未經(jīng)官方審批、也不需要提供任何法庭批準文書的情況下獲取所需數(shù)據(jù)與信息。

正如前美國司法部檢察官馬克?拉什(Mark Rasch)所說,“我們建立有一種緊急程序,網(wǎng)絡服務提供商可以據(jù)此允許警察對數(shù)據(jù)進行緊急訪問?!钡瑫r也指出了“緊急數(shù)據(jù)申請”的致命漏洞——“‘緊急數(shù)據(jù)申請’沒有一套有效的實用機制,供互聯(lián)網(wǎng)服務商或科技公司驗證法院搜查令或傳票的合法性。只要申請看上去像真的,他們就會配合。”

很顯然,一些網(wǎng)絡犯罪分子已意識到科技公司收到“緊急數(shù)據(jù)申請”后,并沒有快速便捷方法確認其合法性。所以他們找到了一種非常有效的方法,可以用來在未取得法庭授權的情況下從網(wǎng)絡服務商、電話公司以及社交媒體公司處“收割”敏感用戶數(shù)據(jù),即通過非法侵入的警察部門郵件系統(tǒng)向科技公司發(fā)送虛假的“緊急數(shù)據(jù)申請”,要求對用戶數(shù)據(jù)進行未獲得法庭授權的訪問。同時附上一份證明書,證明如果科技公司不能立即提供所申請的數(shù)據(jù)信息,無辜的普通人就很可能遭受巨大痛苦甚至死亡。

幾乎所有擁有海量線上用戶的大型科技公司都設有專門部門負責審查和處理此類申請。事實上,只要提交了正式文件而且發(fā)出的網(wǎng)絡地址與現(xiàn)實中的警察部門相符,這些申請基本上都會得到批準。

在這樣的背景下,凡收到“緊急數(shù)據(jù)申請”的公司都會發(fā)現(xiàn)自己只能在兩種不光彩的結(jié)果中二選一:一是忽略“緊急數(shù)據(jù)申請”,但可能會因此造成傷亡事件;二是配合申請?zhí)峁┫鄳獢?shù)據(jù),但可能會有把客戶信息泄露給壞人的風險。

虛假“傳票”攻擊越來越難以防范

年輕犯罪團伙冒充執(zhí)法部門,以發(fā)送虛假法庭傳票的方式隨心所欲地獲取目標特許數(shù)據(jù),這種現(xiàn)象目前越來越常見。

數(shù)據(jù)勒索集團LAPSUS$的所作所為就是一個典型的例子。調(diào)查發(fā)現(xiàn),該團伙已用這種方式對微軟、Okta、英偉達和沃達豐等全球知名企業(yè)進行過勒索。

LAPSUS$團伙利用虛假“緊急數(shù)據(jù)申請”謀財?shù)臅r間可追溯至其前身,一名14歲英國少年(網(wǎng)絡名為“White”或“Everlynn”)建立的“Recursion Team”。Recursion Team曾于2021年4月5日在網(wǎng)絡犯罪論壇上發(fā)出“廣告貼”,稱可以獲得任何執(zhí)法部門的數(shù)據(jù)并借此向蘋果、谷歌、Snapchat等大型科技公司發(fā)出虛假搜查令或傳票等服務,“每次100至250美元?!?

此前,該團伙還在另外一個廣告貼中宣稱擁有從阿根廷政府所轄機構內(nèi)發(fā)送電子郵件的能力。

“有政府電子郵件系統(tǒng)出售,可用來向蘋果、優(yōu)步、Instagram等公司發(fā)送(虛假)傳票郵件,”廣告還提醒潛在“客戶”,“此舉非法,如果不使用VPN可能會遭到追查。”

安全博客KrebsOnSecurity近日對專門非法曝光他人信息的Doxbin網(wǎng)站老板、網(wǎng)名KT的知名黑客進行了連線采訪。后者認為,“緊急數(shù)據(jù)申請”已越來越成為黑客們追蹤、侵入、騷擾以及公開羞辱他人的常用手段。他指出,虛假的“緊急數(shù)據(jù)申請”通常會附帶有“某人生命正處于危險中”之類的緊急情況證明,不由得收到申請的科技公司不相信。

“暴力威脅再加上此類證明是很容易讓人信服的,”他說。

KT舉例稱,黑客今年年初曾瞄準了一名年僅18歲的青年人,希望從社交網(wǎng)站Discord處獲得他的個人信息。Discord網(wǎng)站于是收到了一份“緊急數(shù)據(jù)申請”,要求提供與目標用戶電話號碼相關聯(lián)的用戶賬號及其瀏覽記錄。網(wǎng)站毫不猶豫地予以配合。

“Discord只用了30分鐘至60分鐘就對‘緊急數(shù)據(jù)申請’做出回應并提供了相關數(shù)據(jù),”KT說。

Discord網(wǎng)站在接受采訪時辯解稱,當時那份“緊急數(shù)據(jù)申請”確實來自執(zhí)法部門網(wǎng)站,但他們后來才得知該網(wǎng)站已被黑客入侵?!拔覀兇_信網(wǎng)站收到的申請來自執(zhí)法部門使用的域名系統(tǒng),因此根據(jù)規(guī)定予以配合,” Discord網(wǎng)站在局面聲明中說?!鞍凑找?guī)定,我們必須驗證此類申請的出處是否真實有效。我們這樣做了,而且確認發(fā)出申請的執(zhí)法部門賬號是合規(guī)的。只是后來才知道該賬號已被惡意攻擊者利用。隨后我們對此事件發(fā)起調(diào)查并向執(zhí)法部門做了通報。”

KT認為,虛假的“緊急數(shù)據(jù)申請”越來越難以防范,重要的原因之一是這些申請并非一定非得從真正的執(zhí)法機構內(nèi)部發(fā)出。專門從事虛假“緊急數(shù)據(jù)申請”發(fā)送服務的黑客一般會先侵入警察部門的網(wǎng)站,劫持其郵件系統(tǒng)并在服務器上留下可以永久進入的“后門”,然后在被劫持的系統(tǒng)內(nèi)創(chuàng)建新賬號供自己使用?!斑@樣他們就可以在任意地方登陸警用郵件系統(tǒng),向目標公司發(fā)出虛假‘緊急數(shù)據(jù)申請’了。”另外,黑客還可以利用獲取的警用電子郵件系統(tǒng)密碼進行虛假“緊急數(shù)據(jù)申請”發(fā)送。KT說,黑客們首先會識別并進入執(zhí)法部門人員使用的電子郵件地址,然后輸入已經(jīng)竊取的密碼以蒙混過關。

他還說,盡管目前政府部門或機構都很重視網(wǎng)絡安全問題,但漏洞依然存在。“現(xiàn)在已幾乎不可能在政府網(wǎng)站內(nèi)留下‘后門’,但有人確實仍然具備這種能力,”他說?!罢块T現(xiàn)在大多使用微軟的Outlook系統(tǒng)。該系統(tǒng)通常內(nèi)嵌了多因素身份驗證,很難突破。但并非所有部門都使用Outlook,也并非所有Outlook系統(tǒng)都內(nèi)嵌了多因素身份驗證。”

防范虛假“傳票”攻擊的努力仍在進行中

加利福尼亞大學伯克利分校網(wǎng)絡安全專家尼古拉斯·韋弗(Nicholas Weaver)認為,清除虛假“緊急數(shù)據(jù)申請”的難題之一,是沒有一個最基本的網(wǎng)上身份驗證系統(tǒng)。

“我所知道的解決之道,是讓聯(lián)邦調(diào)查局成為各州、各地方執(zhí)法部門的唯一身份標識提供者,”韋弗說。“但這并不一定能解決問題。因為聯(lián)邦調(diào)查局也無法對某些緊急申請是否來自被入侵的警用系統(tǒng)進行實時調(diào)查?!?

如果聽到韋弗的建議,聯(lián)邦調(diào)查局可能也會苦笑著搖頭——事實上,他們連自己的網(wǎng)站地址安全都保證不了。KrebsOnSecurity 曝出的一則新聞顯示,黑客曾于2021年11月利用聯(lián)邦調(diào)查局 “執(zhí)法企業(yè)門戶”(LEEP)平臺上存在的漏洞,向數(shù)千個州和地方執(zhí)法機構發(fā)送了題為《緊急:系統(tǒng)中存在威脅行動者》(Urgent: Threat actor in systems)的虛假郵件。這些郵件的發(fā)送地址無一例外都顯示為真正的fbi.gov。

當KrebsOnSecurity網(wǎng)站問及聯(lián)邦調(diào)查局是否察覺到自己的辦公系統(tǒng)被黑客用來發(fā)送無授權“緊急數(shù)據(jù)申請”時,后者顧左右而言他,只聲稱本局已注意到有黑客利用其他部門的辦公系統(tǒng)向公共部門或私營公司發(fā)送虛假“緊急數(shù)據(jù)申請”。“我們以非常嚴肅的態(tài)度處置了此類報告,并不遺余力地對報告事項進行了追蹤調(diào)查,”聯(lián)邦調(diào)查局在局面聲明中說。

前美國司法部檢察官馬克?拉什表示,網(wǎng)絡服務提供商除了需要一套嚴謹?shù)睾戏ㄉ暾垖彶闄C制,還需要知曉美國所有警官的名字才能有更大機率發(fā)現(xiàn)本公司收到的無授權“緊急數(shù)據(jù)申請”。

“現(xiàn)在的問題是,他們手里沒有一份可信名單標明所有有權發(fā)出‘緊急數(shù)據(jù)申請’的人員姓名,”拉什說。“而且即使有這樣一份名單,所列人員也是會經(jīng)常變動的,總是會留下一些漏洞被黑客利用。整個系統(tǒng)的安全水平不會因這份名單的存在而比警官的個人郵箱安全多少?!?

韋弗認為,阻止虛假“緊急數(shù)據(jù)申請”泛濫的可能手段之一,是讓網(wǎng)絡犯罪分子意識到發(fā)送虛假“緊急數(shù)據(jù)申請”是一件會付出高昂代價的事情。“發(fā)送虛假‘緊急數(shù)據(jù)申請’并不需要高明的技術,只要你有這種意愿就行。但如果讓發(fā)送者覺得被抓住以后會帶來很危險的后果,他們的意愿也許就會消失?!?

美國國會也在為消除虛假“緊急數(shù)據(jù)申請”而努力。2021年7月,美國參議院針對網(wǎng)絡詐騙分子和犯罪分子捏造的虛假法庭命令越來越多這一現(xiàn)象通過新法案,準許向州和地方法庭撥款,助其采用滿足國家標準和技術協(xié)會標準的數(shù)字簽名技術。

“假造的法庭命令一般會通過復制、粘貼法官簽名才能發(fā)揮作用,”一位參議員就新法案發(fā)表聲明時說。他指出,《法庭命令數(shù)字真實性法案》(Digital Authenticity for Court Orders Act)要求聯(lián)邦、州和地方法庭在簽署與監(jiān)視授權、域名扣押和線上內(nèi)容移除等內(nèi)容相關的法庭命令時啟用數(shù)字簽名技術,以強化其防偽能力。

參考來源:https://krebsonsecurity.com/2022/03/hackers-gaining-power-of-subpoena-via-fake-emergency-data-requests/、https://www.bloomberg.com/news/articles/2022-03-30/apple-meta-gave-user-data-to-hackers-who-forged-legal-requests


 
 

上一篇:2022年3月31日聚銘安全速遞

下一篇:勒索軟件攻擊給軟件巨頭Atento造成4210萬美元損失