前情回顾·网络安全合规执法
安全内参5月13日消息,英国隐私监管机构日前宣布,对一家大型供水企业处以近百万英镑罚款。调查发现,这家公用服务公司长期未修复企业网络中的安全漏洞,导致一次勒索软件入侵事件泄露了超过63.3万名客户、员工和承包商的个人信息。
英国信息专员办公室(ICO)周一表示,在调查一起2022年的网络攻击事件后,决定对南斯塔福德郡水务水公司及其母公司南斯塔福德郡集团处以963900英镑(约合人民币885.4万元)罚款。此次攻击导致姓名、出生日期、联系方式、支付信息、在线账户凭证,以及部分健康相关信息遭到泄露。
罚款通知指出,此次数据泄露事件可追溯至2020年9月的一次网络钓鱼攻击。当时,恶意软件被植入公司的企业网络。
ICO负责监管事务的临时执行主任Ian Hulme表示:“客户无法选择由哪家水务公司为其提供服务。他们必须共享个人信息,并完全信任服务提供商。这家公用事业公司未能采取业界早已确立、广泛认可且行之有效的控制措施来保护其计算机网络。等到系统出现性能问题或收到勒索信息后,才发现已经遭到入侵,这是不可接受的。”
攻击者曾内网潜伏达20个月
此次入侵在长达20个月内一直未被发现。直到2022年7月,系统性能问题触发内部调查后,事件才浮出水面。随后,取证人员发现,攻击者曾试图在整个网络环境中部署勒索软件。ICO表示,尽管南斯塔福德郡水务公司属于英国关键基础设施行业,但其并未建立成熟的网络安全控制体系。
此次罚款出台之际,西方网络安全机构正担忧关键基础设施系统同时面临勒索软件组织和国家级黑客的威胁。监管机构表示,在部分被盗数据随后被发布到网上之前,攻击者已获取并窃取了633887名现任及前任客户、员工和承包商的个人信息。
根据ICO的罚款通知,调查人员发现,这家公用事业公司的安全体系存在多项缺陷,包括监控覆盖不足、特权访问管理薄弱、使用不受支持的遗留系统,以及漏洞管理措施不到位。
通知指出,在最初的网络钓鱼攻击得手后,攻击者长期维持对网络的未授权访问,在多个系统之间横向移动,并在2022年试图部署勒索软件之前收集了大量凭证信息。
监管机构表示,即便在事件发生一年后,南斯塔福德郡水务公司网络中纳入集中式安全监控的部分仍然占比极低。调查人员还发现,公司无法提供证据证明,其在与此次入侵相关的关键时期内,持续对整个网络进行漏洞扫描。
该机构内部系统老旧严重漏洞长期不修
ICO表示,多个系统在补丁发布多年后仍然存在已知漏洞。其中,两台域控制器仍然受到ZeroLogon漏洞影响。ZeroLogon是一个于2020年披露的严重权限提升漏洞。
ICO还发现,部分系统运行在已停止支持的软件平台上,包括Windows Server 2003,而该系统早已无法从微软获得安全更新。
ICO的通知并未显示攻击者直接入侵运营技术系统或水处理系统。南斯塔福德郡水务公司此前表示,此次事件影响的是企业IT系统,并未干扰供水水质或运营服务。
公开报道将此次事件中的勒索及数据泄露阶段与Cl0p勒索软件组织联系在一起。不过,ICO的通知并未直接点名该组织,也未确认Cl0p是否实施了最初的网络钓鱼攻击、是否从其他攻击者手中获取访问权限,或是在攻击后期才介入。
ICO表示,南斯塔福德郡水务公司此后已实施多项额外安全改进措施,包括加强监控能力、强化访问控制,以及推进更全面的漏洞修复工作。
参考资料:https://www.govinfosecurity.com/hackers-hid-inside-major-uk-water-utility-for-nearly-2-years-a-31656
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
