告訴你數(shù)據(jù)傳輸?shù)恼_方式

一、小白劇場(chǎng)

大東：小白你馬上就要工作了，你知道在公司重要文件傳輸用什么軟件嗎？

小白：我不太知道??！東哥，有沒有什么推薦的軟件呢？

大東：市面上的文件傳輸軟件還真不少，這里我就不贅述了，小白感興趣可以問問師長(zhǎng)，就不要自己去搜索下載了哦！

機(jī)密數(shù)據(jù)泄漏（圖片來(lái)自網(wǎng)絡(luò)）

小白：為什么，難道“小度”給出的推薦不安全嗎？

大東：當(dāng)然，因?yàn)榇蟛糠值男”娷浖紱]有安全保障，并且一些被市場(chǎng)接受的大眾軟件卻更容易被攻擊者針對(duì)。

小白：為什么這么說呢，東哥？難道你又有什么故事了嗎？

大東：小白你的“嗅覺”可是越來(lái)越靈敏了哦，沒錯(cuò)，我正好有一個(gè)有關(guān)文件傳輸軟件泄密的案例，小白你想聽聽嗎？

小白：當(dāng)然，東哥，你快講講吧，我再充充電！

二、話說事件

大東：要談文件傳輸軟件，就不得不提一家安全廠商Accellion。

小白：這個(gè)廠商是什么來(lái)頭呢，東哥？

大東：他是一家私有云解決方案提供商。

小白：那他在文件傳輸方面出了什么問題呢，東哥？

大東：?jiǎn)栴}就出在他的文件傳輸程序FTA。

小白：怎么說，東哥？

大東：攻擊者利用了FTA中的0day漏洞，訪問并竊取了大量用戶數(shù)據(jù)！

小白：真的嗎，都有哪些公司遭殃了呢？

大東：比如2021年3月工業(yè)巨頭霍尼韋爾的員工使用FTA傳輸機(jī)密文件，導(dǎo)致其IT系統(tǒng)遭攻擊者的惡意軟件破壞，而同樣在3月份，能源巨頭殼牌公司也遭遇了黑客攻擊！

小白：哇，接連作案，攻擊者使用的不會(huì)是同一種攻擊手段吧，東哥？

大東：顯然是的，殼牌公司2021年3月表示，攻擊者利用了FTA的零日漏洞，已經(jīng)訪問了一些個(gè)人數(shù)據(jù)以及屬于殼牌利益相關(guān)方和子公司的數(shù)據(jù)。

小白：那東哥，你覺得這幾次攻擊導(dǎo)致數(shù)據(jù)泄漏的原因有哪些呢？

大東：首先便是Accellion作為一家安全廠商，理應(yīng)為其他公司提供保障，自身卻出現(xiàn)了安全問題。

小白：唉，自家后院起火，還怎么幫別人出謀劃策??！

大東：哈哈，沒錯(cuò)！除了Accellion本身的問題以外，各大企業(yè)在處理私密數(shù)據(jù)時(shí)也并不是高度謹(jǐn)慎，沒有對(duì)安全廠商進(jìn)行深入調(diào)研，錯(cuò)付了信任。

小白：唉，這些企業(yè)怎么也沒想到，任命這么多年的信使，到頭來(lái)還是錯(cuò)付了。那東哥，攻擊者是怎么利用漏洞攻擊的呢？

大東：據(jù)相關(guān)安全人員調(diào)查分析，攻擊過程中，黑客通過服務(wù)器0day漏洞安裝了一個(gè)名為“DEWMODE”的web shell，再用于下載存儲(chǔ)在目標(biāo)受害者FTA服務(wù)器上的相關(guān)文件。

小白：原來(lái)是這樣，那我們?cè)贔TA上下載存儲(chǔ)的文件，就悄悄地溜進(jìn)攻擊者的口袋了嗎？

大東：顯然是這樣的。

小白：那攻擊者竊取到數(shù)據(jù)之后，都會(huì)用來(lái)干什么呢？

大東：據(jù)調(diào)查顯示，在泄密事件爆發(fā)后，陸續(xù)有受害者收到該黑客組織的勒索電子郵件，威脅要將竊取的數(shù)據(jù)發(fā)布在名為“CL0P^_- LEAKS”的網(wǎng)站上。

小白：這是一個(gè)什么網(wǎng)站呢？

大東：這其實(shí)是一個(gè)非法交易的暗網(wǎng)，很多通過非正當(dāng)途徑竊取的用戶數(shù)據(jù)都會(huì)在這里被變賣。

小白：那泄漏的數(shù)據(jù)大概包括哪些類型呢，東哥？

大東：泄露的數(shù)據(jù)包括公司發(fā)票、采購(gòu)訂單、稅務(wù)文件和掃描報(bào)告等，都是至關(guān)重要的商業(yè)機(jī)密數(shù)據(jù)。

暗網(wǎng)變賣的數(shù)據(jù)（圖片來(lái)自網(wǎng)絡(luò)）

三、大話始末

小白：那攻擊者借助FTA的0day漏洞竊取數(shù)據(jù)的事件后續(xù)有什么進(jìn)展嗎，東哥？

大東：2021年3月，火眼的安全專家指出，F(xiàn)TA攻擊事件的始作俑者是黑客組織 FIN11（也稱UNC2546）。

小白：原來(lái)又是個(gè)APT組織啊，東哥！

大東：嗯，不錯(cuò)，看來(lái)你沒有忘記咱們的APT普及課，平時(shí)肯定認(rèn)真復(fù)習(xí)了，值得鼓勵(lì)！

小白：過獎(jiǎng)了，東哥！還是說說FIN11后續(xù)有什么攻擊進(jìn)展了吧！

大東：說來(lái)也是有趣，雖然FIN11正在泄露或是準(zhǔn)備泄露受害者的數(shù)據(jù)，但并沒有真實(shí)地直接對(duì)受害者受感染的系統(tǒng)進(jìn)行加密。

小白：FIN11不是以經(jīng)濟(jì)利益為目標(biāo)的嗎，怎么沒有進(jìn)行勒索呢？

大東：沒錯(cuò)，作為一個(gè)向來(lái)以經(jīng)濟(jì)利益為動(dòng)機(jī)的攻擊組織，F(xiàn)IN11此次卻沒有真實(shí)地從中獲取勒索贖金，也讓相關(guān)專家們對(duì)這次攻擊行動(dòng)動(dòng)機(jī)存疑。

小白：那火眼專家們后續(xù)發(fā)表什么言論了呢，東哥？

大東：技術(shù)人員目前仍在跟蹤兩個(gè)單獨(dú)的活動(dòng)集群。

小白：是那些集群呢，東哥？

大東：首先追蹤的是UNC2546的第一個(gè)集群，該集群與利用Accellion的FTA軟件中的零日漏洞，進(jìn)而從運(yùn)行舊版的FTA產(chǎn)品的目標(biāo)組織中竊取數(shù)據(jù)有關(guān)。

小白：第二個(gè)集群呢？

大東：其次跟蹤的是UNC2582的第二個(gè)集群，該集群與隨后的勒索活動(dòng)有關(guān)。

FIN11勒索信件模板（圖片來(lái)自網(wǎng)絡(luò)）

小白：看來(lái)這是一次漫長(zhǎng)的追蹤過程??！

大東：漫長(zhǎng)并不可怕，火眼研究人員已經(jīng)宣布“我們已經(jīng)確定了UNC2582，UNC2546 和以前的 FIN11 操作之間的重疊，并且將繼續(xù)評(píng)估這些活動(dòng)集群之間的關(guān)系，繼續(xù) FireEye?！?/p>

小白：竟然熱血起來(lái)了呢，我相信火眼研究人員一定會(huì)成功的，攻擊者必定會(huì)被繩之以法！那東哥，Accellion對(duì)本次攻擊的源頭，0day漏洞怎么處理了呢？

大東：該廠商為了應(yīng)對(duì)本次攻擊浪潮，發(fā)布了多個(gè)安全補(bǔ)丁，以解決黑客利用的漏洞。而且公司還將在2021年4月30日之前淘汰舊有的FTA服務(wù)器軟件。

四、小白內(nèi)心說

小白：東哥，怎樣處理公司重要的文件才是正確的呢？

微信辦公（圖片來(lái)自網(wǎng)絡(luò)）

大東：傳輸?shù)臅r(shí)候也要連接內(nèi)網(wǎng)，不可公網(wǎng)傳輸。此外，一定要加強(qiáng)員工的安全意識(shí)。

小白：嗯嗯，收到了，東哥，保守公司秘密是每個(gè)員工的基本義務(wù)！