2020–2025 年顶级网络安全泄露事件 | AI生成和翻译
过去 5 年(2020–2025)最大的 20 条 Cybersecurity 新闻
1. 🔓 SolarWinds Supply Chain Attack (Dec 2020)
2020 年 2 月开始,一名 threat actor(后来确认是俄罗斯 Foreign Intelligence Service)将 trojanized code 注入 SolarWinds 的 Orion 软件更新中。SolarWinds 在不知情的情况下向客户发布了 compromised 更新,为 threat actor 提供了 backdoor——一种授予感染计算机远程访问权限的程序。SolarWinds 估计其近 18,000 名客户收到了 compromised 软件更新。这被广泛认为是历史上最具破坏性的 cyber-espionage 活动之一,compromised 了美国政府机构和 Fortune 500 公司。
2. ⛽ Colonial Pipeline Ransomware (May 2021)
Colonial Pipeline 于 5 月 6 日被 DarkSide 的 ransomware attack 关闭。该管道从 Texas 延伸至 Northeast,输送东海岸约 45% 的燃料消耗。Reuters 报道,黑客窃取了超过 100 GB 的数据。公司支付了 500 万美元的 Bitcoin,其中 230 万美元被美国政府追回。该攻击引发了广泛的燃料短缺和国家紧急状态宣言。
3. 🪵 Log4Shell / Log4j Vulnerability (Dec 2021)
Log4j Java library 中的 zero-day vulnerability(称为 Log4Shell)允许黑客在运行 Log4j 2.0 或更高版本的机器上远程执行代码。问题出在 Log4j,这是一个 ubiquitous、开源的 Apache logging framework,开发者用它来记录应用程序内的活动。攻击者只需向目标系统发送 malicious code string 即可利用 Log4Shell。CVSS 分数为 10.0,且在企业软件中近乎普遍部署,它被认为是史上最严重的 vulnerability 之一。
4. 🏥 Microsoft Exchange Server Vulnerabilities (Mar 2021)
Microsoft 于 2021 年 3 月报告称,其 Exchange Server 的多个版本(包括联邦机构 on-premises 托管和使用的版本)遭受了 vulnerability 利用。根据 White House 声明,与中国 Ministry of State Security 相关的 malicious cyber actors 利用这些 Exchange vulnerabilities 进行了操作。这些 vulnerability 最初允许 threat actors 从未经授权的外部来源向 Microsoft Exchange Servers 建立 authenticated connections。
5. 🔑 Kaseya VSA Ransomware (Jul 2021)
7 月 2 日,美国 IT 管理软件提供商 Kaseya 遭受俄罗斯 hacking group REvil 的攻击。由于 Kaseya 将软件销售给 IT 部门和 MSPs,那些 MSPs 及其客户成为潜在的 secondary 和 tertiary 目标。其中受影响最严重的瑞典 Coop 超市不得不关闭 800 家门店,因为无法通过收银机接受支付。
6. 🔐 LastPass Data Breach (Aug–Dec 2022)
2023 年全球 ransomware 支付首次超过 10 亿美元——而铺平道路的是 2022 年的 LastPass breach。攻击者首先窃取 developer credentials 获得客户 password vaults 访问权限,然后数月后利用该访问权限 exfiltrate 了数百万用户的 encrypted vault data。这是历史上最严重的 password manager breach 之一。
7. 🧩 Okta Repeated Breaches (2022–2023)
Okta 经历了多次 breach:2022 年 12 月,其 GitHub repositories 被黑后 source code 被窃取;2022 年 3 月,hacker group LAPSUS$ 透露他们通过获得 “superuser/admin” 权限 breach 了 Okta 系统,并发布了 Okta backend administrative consoles 和部分客户数据的截图。然后在 2023 年底,揭示了新 breach 的完整范围——黑客访问了 134 个不同客户的 files,并下载了列出所有使用 Okta support 的客户姓名和电子邮件地址的报告。
8. 💊 Change Healthcare Ransomware (Feb 2024)
Change Healthcare 所有者 UnitedHealth Group 的 CEO Andrew Witty 于 2024 年 5 月估计,该攻击的 fallout 将影响大约三分之一的美国人。Alphv/BlackCat gang(于 2023 年 12 月被 FBI 破坏)在 2024 年恢复运营,并开始 aggressively targeting 医疗保健组织。它导致美国医疗计费和处方系统数月大规模 disruption。
9. ☁️ CrowdStrike Falcon Update Global IT Outage (Jul 2024)
CrowdStrike 的 faulty Falcon channel file update 在 2024 年夏季导致全球 IT outage,影响数百万 Windows 机器,并 disruption 了多家关键组织,包括航空公司。这不是 cyberattack,但成为历史上最大的 IT outage, grounded 全球航班,并影响医院、银行和 broadcaster。
10. 📱 Salt Typhoon — U.S. Telecom Hack (2024)
中国黑客在 2024 年 10 月访问了美国高级政治人物使用的电话。FBI 对此事件展开调查,引发选举安全担忧。进一步报道显示,Salt Typhoon 深入渗透了 AT&T、Verizon 和其他主要美国电信公司,intercepting 了政府官员的通话和短信。
11. 🏦 MOVEit Transfer Mass Exploitation (Jun 2023)
Cl0p ransomware gang 利用 MOVEit Transfer 软件的 zero-day vulnerability,导致全球数百家组织(包括政府机构、银行和航空公司)的数据被窃取。它成为 2023 年影响数千万个人的最大单一 cyberattack campaign。
12. 🎰 MGM Resorts / Caesars Casino Attacks (Sep 2023)
一场关闭拉斯维加斯顶级赌场的部分 cyberattack 迅速成为 2023 年最引人入胜的安全故事之一:这是已知首例美国和英国 native English-speaking hackers 与俄罗斯 ransomware gangs 联手。MGM 损失超过 1 亿美元;Caesars 悄然支付了 ransom。
13. 🌨️ Snowflake Cloud Breach (May 2024)
云数据平台 Snowflake 在 2024 年 5 月遭受重大 breach。它影响了超过 100 家客户组织,包括 AT&T、Ticketmaster 和 Santander Bank。与 Scattered Spider group 相关的黑客通过利用 compromised employee credentials 获得 unauthorized access。
14. 📞 AT&T Data Breach (2024)
AT&T 于 2024 年 7 月透露,2022 年 5 月至 10 月以及 2023 年 1 月 2 日“几乎所有”客户的数据在 4 月被 exfiltrated 到第三方平台。Threat actors 访问了电话通话和短信记录,但未访问其内容或任何 personally identifiable information。AT&T 支付了 5.7 Bitcoin(约 374,000 美元)给 threat actor 以删除被窃数据。
15. 💰 Record $75M Ransom Payment — Dark Angels (2024)
Zscaler 的 ThreatLabz 团队透露,他们识别出一个 unnamed victim 向 Dark Angels ransomware group 支付的 7500 万美元 ransom payment——高于任何公开已知的 ransomware payment。9 月,Bloomberg 报道 Dark Angels 从制药巨头 Cencora(一家公开交易的 Fortune 500 公司)攻击中获得该 record-setting payment。
16. 🔐 LockBit Ransomware Takedown (Feb 2024)
臭名昭著的 ransomware group LockBit 于 2024 年 2 月遭受执法机构 takedown。U.K. National Crime Agency 的 Cyber Division、FBI 和国际伙伴切断了他们的网站,该网站曾被用作大型 ransomware-as-a-service storefront。尽管被声称为“完全 compromised”,该 group 不久后在另一个 Dark Web 地址恢复运营。
17. 🏛️ Microsoft Midnight Blizzard Breach (Jan 2024)
2024 年 1 月,Microsoft 披露其从 2023 年 11 月开始成为 nation-state-backed attack 的受害者。俄罗斯 threat actor group Midnight Blizzard 通过 compromised email accounts 访问了一些 Microsoft corporate emails 和 documents。Midnight Blizzard 通过对 legacy test tenant account(无 multi-factor authentication)的成功 password spray attack 获得访问权限。
18. 🧬 23andMe Data Breach (Oct 2023)
消费遗传公司 23andMe 于 2023 年 10 月遭受 credential-stuffing attacks,暴露了多达 2000 万 profiles 的数据。被窃信息包括 genetic ancestry data,特别 targeting Ashkenazi Jewish 用户。该事件突显了 password reuse 和弱 authentication controls 的风险。
19. 🏦 U.S. Treasury / Chinese Hackers Breach (Dec 2024)
中国黑客 breach 了 U.S. Treasury Department 的第三方 vendor,以访问超过 3000 个 unclassified files。该 breach 归因于 state-sponsored group Silk Typhoon,targeting Treasury 的 sanctions office (OFAC),被视为重大 national security incident。
20. 🔧 XZ Utils Backdoor — CVE-2024-3094 (Mar 2024)
2024 年 2 月,一个使用“Jia Tan”名称的账户在 XZ utility 的 Linux build 中(liblzma library 的 5.6.0 和 5.6.1 版本)引入了 malicious backdoor。该 backdoor 赋予拥有特定 Ed448 private key 的攻击者通过 OpenSSH 在受影响 Linux 系统上远程代码执行。该问题被分配 CVE-2024-3094,并获得 CVSS 10.0 分(最高分)。
XZ Utils / Andres Freund 故事算吗?✅ 绝对算 YES
这可以说是十年中最 dramatic 的安全发现之一。原因如下:
发现过程: Andres Freund 在 Debian Sid 上 benchmarking PostgreSQL 时,注意到 SSH logins 耗时 500ms 而非正常的 100ms。他调查后发现 Valgrind errors 指向 liblzma,并追踪到 XZ Utils release tarballs 中的 malicious code。他于 2024 年 3 月 28 日报告给 Openwall Project security mailing list。
近灾范围: 这个 backdoor 几乎成为史上最 significant 的 intrusion enablers 之一——其规模将远超 SolarWinds backdoor。攻击者几乎能立即访问任何运行 infected distro 的 Linux 机器,包括 Fedora、Ubuntu 和 Debian。
长期布局: 后续调查发现,插入 backdoor 的 campaign 是大约三年努力(2021 年 11 月至 2024 年 2 月)的顶峰,由用户“Jia Tan”通过获得项目信任职位。
方法: Jia Tan 将 malicious code 隐藏在 modified build-to-host.m4 和 tarball 中的 obfuscated binary test files 中,确保 Git repository 的标准 code review 无法检测。
幸运转折: 如果 Andres Freund 没有注意到那半秒延迟,你可能正在阅读人类历史上最严重的 cybersecurity breach。大多数工程师会耸耸肩——Freund 没有。
XZ Utils 故事独特,因为它既是 near-miss catastrophe,又是开源 vigilance 如何捕捉最 sophisticated state-level supply chain attacks 的展示。
References:
- CSIS Significant Cyber Incidents
- TechTarget: 10 Biggest Cybersecurity Stories of 2024
- XZ Utils Backdoor – Wikipedia
- Akamai: XZ Utils Backdoor – Everything You Need to Know
- SoftwareSeni: XZ Utils Backdoor and Multi-Year Social Engineering Campaign
- Internet Nearly Collapsed From XZ Backdoor – andrewbaker.ninja
- GAO: SolarWinds Cyberattack
- Fortinet: Recent Cyber Attacks
- TechRepublic: Cybersecurity News Roundup 2024