黑客十年：2010 年代最著名的网络安全事件（下）

2010 年代即将结束， ZDNet 回顾了过去十年来发生的最重要的网络安全事件。

黑客十年：2010 年代最著名的网络安全事件（上）

2016 年

孟加拉央行 cyber-heist 网络抢劫案

2016 年 2 月，世人发现，黑客试图从孟加拉国一家银行窃取超过 10 亿美元的资金，但由于输入错误，最终只窃取了 8100 万美元。

起初，所有人都认为这是一个笨手笨脚的黑客所为，但后来有消息披露，称这起网络抢劫事件的幕后黑手是朝鲜的精英黑客。这只是他们当年尝试的众多类似黑客行动之一——他们在其他国家都成功得手了。

孟加拉央行黑客事件对整个银行业产生巨大影响。在这次黑客攻击行动之后，SWIFT 被进行了全面安全更新。其次，SWIFT 组织还禁止朝鲜使用其系统，这一决定，在未来几年产生了影响。

这两项决定，导致朝鲜黑客将目标锁定在加密货币交易所，据悉他们已从那里窃取了数亿美元，而这些钱被朝鲜政府用来建设核武器计划。

巴拿马文件

2016 年 4 月，由世界主要调查记者组成的联盟发表了大量报道，统称为《巴拿马文件》（Panama Papers），揭露了世界上最富有的人，包括商人、名人和政客在内，都在利用税收天堂逃避缴纳所得税的事实。

这起泄密事件被认为是同类事件中规模最大的一起，来自巴拿马的 Mossack Fonseca 律师事务所。尽管记者声称，他们是从匿名人士那里得到这些数据的，但许多人认为，这些数据来自一名黑客，他利用这家律师事务所过时的 WordPress 和 Drupal 网站漏洞，进入该事务所的内部网络，从而窃取这些数据。

美国民主党全国委员会（DNC）被黑事件

美国民主党全国委员的服务器被黑了，黑客一直不断地攻击。

在 2016 年春天，美国民主党全国委员会承认，一位名为 Guccifer 2.0 的黑客开始从该组织的服务器上发布电子邮件和文档，该组织遭受了安全入侵事件。

通过法庭证据，后来发现美国民主党全国委员会的服务器并不是被一名黑客入侵，而是被两家俄罗斯网络间谍组织入侵，分别是 Fancy Bear（APT28）和 Cozy Bear（APT29）。

黑客窃取的数据被用于精心策划的情报行动，目的是影响即将到来的美国总统大选。整件事情成功与否并不能说，尽管有人会称这次行动取得了成功。然而，这起黑客入侵事件在一整年来一直占据着新闻头条，直到今天仍然掀起波浪——也就是 2019 年 11 月下旬撰写本文之时，时间已经过去三年多。

雅虎黑客案遭曝光

对雅虎（Yahoo!）来说，2016 年是糟糕的一年。在四个月的时间里，雅虎宣布了不止一起、而是两起数据泄露事件，其中包括后来被证明是互联网史上规模最大的一起数据泄露事件。

这两起数据泄露事件以一种奇怪的方式相互关联。下面是一个时间轴，因为雅虎的事情往往会令人困惑：

• 2016 年 7 月，一名黑客开始在暗网上兜售雅虎用户数据。

• 在调查黑客声明的真伪时，雅虎在 2016 年 9 月发现并披露 2014 年发生的一起数据泄露事件，影响 5 亿用户。

• 雅虎将这一起事件归咎于“nation-state actor”黑客组织所为，而事实最终证明这是真的。2017 年，美国当局指控一群黑客应俄罗斯政府要求入侵雅虎的网络。

• 具有讽刺意味的是，在调查 2014 年的数据泄密事件时，雅虎还追踪到了在暗网上兜售的用户数据来源。

• 这可以追溯到 2013 年的一起数据泄露事件，雅虎称，该事件最初影响到 10 亿用户。到 2017 年，雅虎将这一数字更新为 30 亿，即所有受影响的用户总数，成为有史以来规模最大的数据泄露事件。

数据转储之年

但是，雅虎这两起入侵事件只是 2016 年曝光的为数不多的几起入侵事件的一部分，很自然地，2016 年因此被命名为“数据转储之年”（the year of the data dumps）。

那些曾经和现在遭受过黑客入侵的公司成为人们关注的焦点，这些公司包括：Twitter、LinkedIn、Dropbox、MySpace、Tumblr、Fling.com、VK.com、OK.ru、Rambler.ru、AdultFriendFinder、Badoo、QIP 等等。

超过 22 亿的用户记录遭曝光，其中大部分被放在黑客论坛和暗网市场上兜售。大多数数据泄露事件是通过数据交易商如 Peace_of_Mind、Tessa88 和 LeakedSource 曝光的。

影子经纪人（The Shadow Brokers）

2016 年 8 月至 2017 年 4 月，一群自称“影子经纪人”（The Shadow Brokers）的黑客们先是戏弄、拍卖，然后泄露美国国家安全局（US National Security Agency，NSA）代号 Equation Group 开发的黑客工具。

这些工具都是顶级的黑客工具，它们产生了重大影响。在影子经纪人最后一次泄露的一个月后，其中一个工具（利用了 Microsoft SMB 协议，称为 EternalBlue（永恒之蓝）） 被用来制作蠕虫勒索病毒 WannaCry，引发全球互联网灾难。

时至今日，仍然没有人知晓影子经纪人究竟是谁。

物联网的噩梦：Mirai 僵尸网络

2016 年 9 月初的一篇博文向全世界介绍了 Mirai，这是一种针对路由器和智能物联网设备的 Linux 恶意软件。

接下来的 90 天里，Mirai 成为世界上最著名的恶意软件之一，此前它曾被用来发动一些最大规模的 DDoS 攻击。

Mirai 的源代码在网上发布，是当今传播最广泛的恶意软件家族之一，它的代码是大多数 IoT、DDoS 僵尸网络的基础。

Mirai 凭一己之力让每个人明白，物联网 IoT 的英文 Internet of Things 中的 S，代表安全（Security）。

2017 年

三起勒索病毒爆发

我们不能不提到 2017 年的三次勒索病毒爆发：WannaCry（5 月中旬）、NotPetya（6 月下旬）和 Bad Rabbit（10 月下旬）。

这三个勒索病毒都是由政府支持的黑客开发的，但开发原因各不相同。

WannaCry 是由朝鲜黑客开发的，目的是感染公司并勒索赎金。虽然 NotPetya 和 Bad Rabbit 是网络武器，但作为俄乌冲突的一部分，部署这些武器是为了破坏乌克兰的企业。这些勒索病毒的开发者都没有要引起全球性爆发的意图。问题在于，他们依赖的是影子经纪人之前泄漏出来的 EternalBlue 漏洞，这是当时他们并不完全理解的漏洞，而且每种勒索病毒的传播远远超出了开发者最初的意图。

具有讽刺意味的是，尽管 NotPetya 和 Bad Rabbit 是由俄罗斯政府主导开发的，但这两个勒索病毒最终给俄罗斯企业造成的损害比其他任何国家的企业都要大，这很可能就是为什么自 2017 年以来我们就没有再看到另一场失控的勒索软件爆发的原因。

美国中央情报局 Vault7 泄密文件

Vault7 是维基解密最后一次成功的泄密文档。这是一批描述美国中央情报局网络（Central Intelligence Agency，CIA）武器的文件。

这次提到的网络武器并没有包含任何源代码，然而，这次泄密事件让我们得以一窥美国中央情报局的技术能力，其中一些能力包括黑客破解 iPhone 的工具，所有主流桌面操作系统、主流浏览器、甚至智能电视。

当时，维基解密表示，它从一个告密者那里收到了 Vault7 的数据宝藏，这名告密者后来被确认为 Joshua Adam Schulte。

MongoDB 数据库勒索事件

多年来，系统管理员一直让数据库暴露在网上而不设置密码，但在 2017 年，黑客终于对这样的管理员和公司开始征收智商税。

它的非正式名称是 MongoDB Apocalypse，始于 2016 年 12 月下旬，但在第二年 1 月开始激增，黑客访问数据库，删除其中的内容，并留下勒索信息，要求支付加密货币。

第一波攻击的目标是暴露的 MongoDB 服务器，但后来黑客又扩展到其他数据库技术，如 MySQL、Cassandra、Hadoop、Elasticsearch、PostgreSQL 等。

到年底时，这类网络攻击逐渐消失，但它们也让公众注意到了数据库配置不当的问题，这些数据库在没有保护的情况下一直处于在线状态。

到了当年年底，出现了一类新的安全研究人员，称为“breach hunters”，他们寻找开放的数据库，然后联系公司，让他们知道自己已经在网上暴露敏感信息。

在随后的几年中，大多数安全漏洞和数据泄露都是由“breach hunters”发现的，而不是黑客在入侵后将公司的数据泄露到网上的。

Equifax 被黑事件

2017 年 Equifax 遭到黑客攻击，超过 1.455 亿美国、英国和加拿大公民的个人信息被黑客从该公司系统中窃取，至今仍然是个谜。

译注：Equifax 是美国一家消费者信用报告机构，与 Experian 和 TransUnion 被认为是美国三大征信机构。Equifax 创立于 1899 年，是美国三大征信机构中最年长的，它收集并保存了全球超过 8 亿消费者和超过 8800 万家企业的信息。

尽管我们进行了事后调查，我们知道这次入侵行为是由于该公司未能修补一个关键服务器漏洞所致，但我们仍然不知道谁是此次入侵的幕后黑手，也不知道他们的动机是什么——是网络间谍活动，还是单纯的网络犯罪。

但不管怎么说，能够黑掉美国三大消费者信用报告机构之一，都能够让你跻身十年黑客榜单。

Cryptojacking 挖矿劫持

Cryptojacking 攻击的兴起可以直接与黑产代码商 Coinhive 联系在一起，Coinhive 是一种 Web 服务，它使得通过 JavaScript 挖掘加密货币成为可能，可以作为一个文件添加到任何网站。

作为传统广告的替代品，黑客组织采纳了这一想法，并大肆将其付诸实践，在任何可以运行 JavaScript 的地方放置 Cryptpjacking 脚本，从被黑客入侵的网站到视频游戏模块，从路由器控制面板到浏览器扩展，都有这个脚本的影子。从 2017 年 9 月 到 2019 年 3 月 Coinhive 肆虐期间，Cryptojacking（也称为 drive-by 挖矿）对于互联网用户来说是一场灾难，它拖慢了浏览器的速度，并使 CPU 使用率飙升，即使这项技术并不是特别有利可图。

2018 年

剑桥分析公司与 Facebook 失宠

尽管在 2018 年之前，并没有人会特别喜欢 Facebook，但大多数不喜欢 Facebook 的理由，都是抱怨 Facebook 的时间轴算法，即把朋友的帖子埋在一堆无用的垃圾信息之下。然后，2018 年初发生了剑桥分析公司（Cambridge Analytica）事件，全世界都有了讨厌这家社交网络及其数据收集做法的理由。

这起丑闻只是接下来几个月来发生的众多丑闻之一，它揭露了数据分析公司是如何滥用 Facebook 轻而易举地获取用户数据来创建个人资料，然后将这些资料兜售给政党，以此影响公众舆论并操纵选举。

Facebook 本来作为一个用户为了与朋友保持联系而访问的地方，但在许多人看来，它已经变成了一个充斥着伪装成网络爆红的政治宣传和公然伪装成新闻文章的虚假信息的地方。

如果你想对整个丑闻有一个深刻的认识，可以观看纪录片《隐私大盗》（The Great Hack）。这部很棒的纪录片非常值得一看。

Meltdown、Spectre 与 CPU 旁路攻击

有关 Meltdown 和 Spectre 漏洞的详细信息于 2018 年 1 月 2 日首次公开，它们暴露了大多数 CPU 硬件中存在的一个问题，这个问题可能会让黑客窃取当前正在 CPU 内部处理的数据。

尽管这两个漏洞并不是最容易利用的漏洞，也没有任何攻击报告，但 Meltdown 和 Spectre 揭露了这样一个事实：许多 CPU 制造商为了追求速度和性能，在数据安全方面走了捷径。

即使有些人仍然将这两个漏洞描述为“噱头”，但它们从根本上改变了今天 CPU 的设计和制造方式。

Magecart 攻击成为主流

尽管 Magecart 攻击 （也称为 web skimming，或 e-skimming）自 2016 年以来一直在发生，但直到 2018 年，这种攻击才发展到不容忽视的地步——英国航空（British Airways）、新蛋网（Newegg）、Inbenta 等公司都报告了这一备受关注的黑客攻击行动。

这些攻击行动背后的计划很简单，但为什么它们花了这么多年才变得流行起来，至今仍是一个谜。它们的想法是，黑客入侵一家在线商店，并留下记录支付卡信息的恶意代码，然后将这些信息发送回攻击者的服务器。

最初的 Magecart 攻击已经出现了几个变种，但自 2018 年初以来，Megecart 攻击无疑是当今最大的网络威胁之一，并一直让网购者抓狂，因为许多人无法判断一家网上商店是否可以安全使用。

万豪集团（Marriott）被黑事件

虽然规模不及雅虎的 30 亿数字，但万豪集团（Marriott）的数据泄露事件也因其庞大的规模受到世人关注。

2018 年 11 月披露的数据泄露事件，据称影响了超过 5 亿客人。几个月后，万豪集团完成调查，将这一数字降至 3.83 亿。

和大多数案例一样，事后调查分析，这家公司被入侵的原因是使用了普通的策略和工具，而这些本来可以很容易发现和预防。

2019 年

"Big game hunting" 勒索软件

虽然勒索软件一直是 2010 年以来的一个重要问题，但在 2019 年，出现了一种特别令人讨厌的勒索形式，非常活跃，被称为“Big game hunting”。

“Big game hunting”指的是这样的勒索软件团伙，他们只针对大型目标，比如企业网络，而不是像家庭用户这样的小目标。此举使得黑客可以向受害公司索要更多的金钱。

“Big game hunting”一词是 CrowdStrike 在 2018 年创造的，用来描述几个勒索软件团伙的策略，目前从事使用这种策略的团伙数量已经超过 10 个。

“Big game hunting”勒索软件攻击事件在 2019 年愈演愈烈，其中大多数攻击的是托管服务提供商、美国的学校、美国的地方政府，以及最近搬到欧洲的更大的公司。

黑客 Gnosticplayers

在 2019 年，一举成名的黑客名叫 Gnosticplayers。

从 2016 年开始，Gnosticplayers 采用了 Peace_of_Mind 和 Tessa88 的作案手法，入侵一些公司，并开始在暗网市场兜售他们的数据。

被 Gnosticplayers 窃取数据并随后在网上兜售的公司，包括 Canva、Gfycat、500px、Evite 等。这名黑客总共声称对 45 起黑客攻击和入侵事件负责，这些事件影响超过 10 亿用户。

第一资本（Capital One）被黑事件

2019 年 7 月披露的美国一家金融控股公司第一资本金融公司（Capital One）黑客事件影响了超过 1 亿的美国人和 600 万加拿大人。

据悉，这次泄漏数据并没有被公开分享，因此，大多数数据被盗的用户很可能是安全的。但是，由于事情发生的方式，这次的数据泄露很引人注目。

一项调查显示，此次黑客攻击行动背后的嫌疑人是 AWS 的一名前员工，他被控非法访问第一资本的 AWS 服务器以获取数据，还有其他 30 家公司的数据。

调查仍在进行中，但如果事实证明这是真的，这将会为组织带来新的威胁类别，也就是说，新的威胁是供应链、供应商工作的恶意内部人员。

原文链接：

A decade of hacking: The most notable cyber-security events of the 2010s