现实世界的例子:网络攻击案例研究
网络攻击看似抽象,但其后果却并非如此。本章将探讨一些重大事件,并对其进行剖析,重点介绍其所使用的技术、背后的动机及其对网络安全格局的持久影响。
案例研究1:Stuxnet(2010)
• 目标:伊朗核浓缩离心机。
• 参与者:普遍认为这是一次美以联合行动。
• 技术:
o 针对工业控制系统的零日漏洞。
o 通过 USB 驱动器传播。
o 高度复杂,针对控制离心机的特定西门子系统定制恶意软件。
• 影响:
o 通过巧妙操纵离心机速度造成物理伤害。
o 证明了网络攻击有可能从虚拟世界蔓延到现实世界并造成破坏。
o 转变对保护关键基础设施需求的思维。
案例研究2:NotPetya(2017)
• 目标:最初是乌克兰组织,但后来扩展到全球。
• 参与者:俄罗斯军方(Sandworm 组织)。
• 技术:
o 伪装成勒索软件,但主要目的是破坏,而不是勒索。
o 利用软件供应链漏洞和 EternalBlue 漏洞(与 NSA 相关)迅速传播。
• 影响:
o 造成全球数十亿美元的经济损失。
o 航运巨头马士基等陷入困境的公司。
o 强调供应链攻击的危险和网络战中的“附带损害”。
案例研究3:SolarWinds黑客攻击(2020年)
• 目标:通过 SolarWinds 的受损软件更新攻击美国政府机构和大型科技公司。
• 犯罪分子:疑似俄罗斯政府支持的犯罪分子(Cozy Bear 集团)。
• 技术:
o 供应链受损,污染了广泛使用的网络监控平台。
o 耐心和隐秘。攻击者几个月都无法被发现。
• 影响:
o 访问多个政府机构的敏感数据。o 破坏对商业软件的信任。
o 向国家行为者展示了持续长期间谍活动的巨大价值。
案例研究 4:Colonial Pipeline 勒索软件(2021 年)
• 目标:美国主要燃料管道。
• 参与者:犯罪集团Darkside,但被怀疑与俄罗斯有联系。
• 技术:
o 据信已通过受损的 VPN 凭证和遗留基础设施进入。
o 双重勒索:勒索软件攻击和泄露被盗数据的威胁。
• 影响:
o 美国东部燃料供应中断,引发恐慌性购买。
o 强调关键基础设施甚至对非国家行为者的脆弱性。
o 再次强调勒索软件对国家安全的威胁。
案例研究中的共同主题
• 复杂性:许多攻击都具有高度针对性,并使用复杂的方法。
• 持久性:受国家支持的行为者经常进行长期博弈,潜伏在系统内以进行间谍活动。
• 漏洞被利用:从零日漏洞到不良密码卫生,攻击通常针对已知的弱点,而不仅仅是先进的技术。
• 风险范围不断扩大:针对企业、政府和关键基础设施的攻击频率不断上升。