通常来说,网络犯罪分子很少会选择执法部门作为直接攻击目标。但是,根据网络安全公司Resecurity的最新调查,2022年第二季度初,全球针对执法机构的恶意活动显著增加。攻击者正热衷于入侵执法人员及其内部人员的电子邮件和其他帐户系统。
最常见的针对执法部门的网络攻击包括:攻击者从被黑客入侵的执法电子邮件帐户向受害者发送虚假传票和EDR(紧急数据请求)。通过这种方式,攻击者能够获取更多苹果、Facebook(Meta)、Snapchat和Discord等主流科技公司的目标用户的敏感信息,包含可能或正在用于勒索或网络间谍活动的细节信息。此类事件在LAPSUS$和Recursion Group等网络犯罪集团活动中尤为引人注目。
全球执法数据泄露进入高峰期
根据Resecurity对多个暗网市场的调查,在这些市场中,网络犯罪分子通过出售不同国家警察的凭证(电子邮件、VPN、SSO、凭证、密钥等)获利。此类账户的价格通常与其他被盗账户没有什么不同,价格在20美元至35美元之间,但在某些情况下,拥有更大访问权限的账户可能会以1000美元至10000美元的价格出售。
2021年,不法分子发布了据称来自土耳其一个未命名的执法系统的数据。值得注意的是,早在6年前,一名化名为ROR的黑客曾发布了大量属于土耳其国家警察数据库的数据,这些数据被认为包含大量敏感的私人信息。
不久前彭博社的一篇文章曾报道黑客假冒孟加拉国警方(但使用的是真实警方邮件账户)发送虚假EDR请求的电子邮件,充分说明了该攻击策略的巨大风险。
2022年7月5日,攻击者提供对印度执法门户和印度政府资源的访问权限。根据进一步分析,攻击者提供的凭据和相关数据很可能已被Mars Stealer、X-Files Stealer或Azorult等密码窃取程序泄露。
攻击者还发布了可能从执法系统获得的哈萨克斯坦道路交通和车辆数据库。这种访问允许“查询”与公民相关的汽车号码、车辆登记和其他PII信息。此类信息也可在不同地理区域的暗网中付费获得。“查询”费用从50美元到250美元不等。
根据专家的意见,目前网络安全业界最大的担忧之一是执法部门的IT基础设施存在明显的安全漏洞,这种基础设施给社会带来了重大风险,不仅在网络空间,而且在现实生活中也是如此。有组织犯罪、恐怖分子和极端主义团体可能会利用此类访问进行恶意活动。
例如,网络犯罪分子开始滥用执法数据库并在暗网中提供各种非法服务,给用户隐私造成重大风险。使用未经授权的访问或内部联系人,他们能够提取敏感信息并在地下将其货币化。2022年7月3日,调查者发现有不法分子以500欧元(每查询/每人)的价格出售“查找”服务。
随着本月越来越多的执法组织受到网络攻击的影响,这一趋势正在继续流行。就在最近,Conti勒索软件组织声称攻击了秘鲁的情报局并泄露了他们的数据,这在安全界开创了一个重要的先例。另一个著名的威胁组织DDOS Secrets,已经发布了来自瑙鲁警方的285,635封泄露的电子邮件。
针对执法部门的五大攻击场景
目前全球涉及攻击执法系统的最典型场景包括:
-
抗议活动(15%)
-
未经授权的访问(25%)
-
网络间谍(40%)
-
执法系统和应用程序滥用(8%)
-
数据盗窃(12%)
根据已发表的研究,此类恶意活动在拉丁美洲、东南亚国家和离岸司法管辖区尤为明显。去年,黑客组织在国际警察组织眼皮子底下攻击了中东的两个执法组织。
“老练的攻击者和APT组织正在积极瞄准全球执法机构。传统的网络犯罪分子也积极参与其中,因为国家支持的行为者可能正在积极与他们合作,以进行进一步的有计划的网络攻击和有针对性的网络入侵。由于涉及重大敏感性,对此类事件的调查是一个复杂的过程。”Resecurity指出。
