北美国家财政系统遭勒索攻击:税务海关停摆,已危及国家稳定?
北美洲国家哥斯达黎加遭到Conti勒索软件攻击,多个部委大量系统受影响瘫痪,大量敏感数据被盗;
哥国财政部受影响最严重,纳税人信息被盗引发大众恐慌,税务海关等系统瘫痪多天,导致该国出口业务损失惨重,至少损失2亿美元;
哥国总统称攻击者试图破坏国家稳定,并暗指与俄罗斯有关。不过也有安全专家认为,这只是一起普通的金钱勒索,仅仅因为该国系统漏洞太多。
近一周来,一次勒索软件攻击致使北美洲国家(位于美洲中部)哥斯达黎加共和国政府(以下简称“哥国”)的计算机系统陷入瘫痪。哥国政府拒绝支付赎金,面对恶意黑客开始公布被盗数据的情况,正努力为潜在后果做好准备。位于俄罗斯的勒索软件团伙Conti已经宣布对此次攻击负责,但哥斯达黎加政府尚未发表相关细节的公告。
财政部受影响最严重,系统瘫痪、纳税人信息被盗
哥国财政部在周一(4月18日)首先报告了网络攻击事件。从税费征收到海关出口,财政部下辖的许多系统都受到攻击影响。随后,恶意黑客又针对社保部的人力资源系统和劳工部等其他目标发起攻击。这次攻击导致财政部覆盖国内大部分公职人员的支付系统关停数小时,该系统同时也负责处理政府的养老金支付服务。由于支付服务无法正常进行,财政部不得不批准延期纳税政策。Conti团伙没有公布具体赎金数额。社交媒体上有传闻称,黑客团伙开出了1000万美元的价码,但Conti团伙网站上并没有相应佐证。哥国总统Carlos Alvardao表示,“哥斯达黎加绝不会向网络犯罪分子支付任何赎金。”哥国财政部长Elian Villegas周三(4月20日)表示,黑客在入侵财政部海关平台后访问了 “敏感”的纳税人历史信息,但没有具体说明被泄露的数据量。哥国企业担心,提交给政府的机密信息被黑客团伙获取,进而被公开或滥用。普通公民则担心,自己的个人财务信息可能被用于入侵其银行账户。
税务海关等平台停摆4天多,出口业务损失惨重
据路透社4月22日报道,包括税务和海关在内的一些平台连续第四天暂停运营,导致进出口出现瓶颈。哥斯达黎加出口商会在周三报告称,损失了2亿美元。该商会执行董事Christian Rucavado表示,针对海关机构的网络攻击,已经影响到该国的进出口物流。滞留在冷库中的货品正慢慢腐烂,这是一场与时间的赛跑,而且暂时无法确定具体经济损失。贸易业务仍在继续,但运行速度远不及平常。Rucavado解释道,“现在很多流程只能手动完成,不少边境部门出现了工作延误。我们已经要求政府采取相关补救措施,比如延长上班时间,保证进出口工作及时完成。”他还提到,哥斯达黎加正常情况下的日均出口商品价值达3800万美元。
攻击者有俄罗斯背景,实施了双重勒索
威胁情报厂商Recorded Future的分析师Allan Liska表示,Conti团伙正在实施双重勒索:加密政府文件以破坏各部门的正常运作;如果收不到赎金,就将被盗文件公布在暗网的团队勒索网站。Liska说,如果这些系统拥有良好备份,可以解决第一点;但如果被盗数据敏感度较高,将很可能引发大麻烦。Liska透露,Conti团伙经常将其勒索软件基础设施,出租给愿意付钱的任何“附属团伙”,所以此次攻击的真正幕后黑手可能来自世界任何地方。一年前,Conti勒索软件攻击曾迫使爱尔兰卫生部门关闭IT系统,大量预约、治疗与手术也被迫取消。今年2月底,Conti团伙在俄乌冲突中声称支持俄罗斯。此举激怒了同情乌克兰的地下黑客,一位自称长期监控Conti团伙动向的安全研究员,因此公布了大量Conti内部聊天记录、代码等敏感数据。
总统称攻击者试图破坏国家稳定,安全专家认为只是金钱勒索
作为美洲中部地区政局最稳定、野生动物丰富、拥有美丽热带海滩的国家,哥斯达黎加为什么会被黑客团伙盯上?对此Liska认为,可能只是因为该国系统中的漏洞太多。“黑客团伙会搜寻特定漏洞。最可能的推测是哥政府系统中存在大量漏洞,有勒索软件黑客发现了这些漏洞并决定出手攻击。”Emsisoft公司勒索软件分析师Brett Callow表示,他看到了哥斯达黎加财政部泄露的一份文件,“其中的数据看起来的确真实可信。”周五(4月22日),Conti团伙在暗网博客上宣称,已经公布了50%的被盗数据,其中包含来自哥财政部及其他机构数据库的总计850 GB数据。该团伙说,“这些都是网络钓鱼的好素材,希望哥斯达黎加的黑客同行们能利用起来好好赚一笔。”哥国总统Alvarado曾认为此次攻击与经济利益无关,但以上信息明显跟这一判断存在冲突。Alvarado说,“在我看来,这次攻击并不是要图财,而是在威胁哥国政府换届期间的局势稳定。”他指的是自己即将卸任,新一任总统将于5月8日宣誓就职的过渡阶段。“他们绝不会得逞。”Alvarado还暗示,这次攻击很可能源自哥斯达黎加曾公开反对俄罗斯入侵乌克兰。他强调,“数字世界中的种种,跟全球地缘政治局势有着千丝万缕的联系。”
参考来源:securityweek.com、路透社