Group-IB确认30个国家的40000名政府网站用户凭证泄露

Group-IB是一家专门从事网络攻击防御的国际性公司，近期曝出全球30个国家政府网站的4万多用户凭证存在泄露情况。

大多数受害者分布在意大利（52%）、沙特阿拉伯（22%）和葡萄牙（5%）。这些泄露的用户数据可能已在暗网上出售，或者用于针对性的窃取财产攻击和非法的敏感信息收集。CERT-GIB(Group-IB集团的计算机紧急反应小组)在确认这一信息后，立即向受影响国家的CERT发出威胁警告，以便能够减轻后续安全风险。

Group-IB威胁情报小组已经发现30个国家的政府网站用户帐户被网络犯罪分子所窃取。包括波兰(gov.pl)、罗马尼亚(gov.ro)、瑞士(admin.ch)、意大利国防部(difesa.it)、以色列国防军(idf.il)、保加利亚政府(government.bg)、格鲁吉亚财政部(mof.ge)、挪威移民局(udi.no)、非洲外交部、罗马尼亚和意大利等国家税务局以及其他许多政府机构网站都受到数据泄露的影响。

在法国(gouv.fr)、匈牙利(gov.hu)和克罗地亚(gov.hr)的官方政府门户网站上拥有账户的政府雇员、军人和平民成为这次数据泄露的受害者。在过去一年半的时间里，Group-IB威胁情报系统共侦测到全球30个国家的最大政府网站的受影响的用户帐户超过4万个，其中意大利（52%）、沙特阿拉伯（22%）和葡萄牙（5%）受影响最大。

据Group-IB集团专家称，黑客使用了特殊的间谍软件——表单抓取器、键盘记录器，如Pony Formgrabber、AZORult和Qbot（Qakbot）。攻击者发送钓鱼邮件到个人和公司的电子邮件帐户，这类钓鱼邮件的附件通常该感染源自伪装成合法文件或档案的电子邮件附件所包含的恶意软件。一旦点击打开，它就会运行了一个木马，窃取个人信息。例如，Pony Formgrabber会从受害者计算机上的配置文件、数据库、和超过70个程序的数据存储中检索登录凭证，然后向C2服务器发送盗取得用户信息。而另一个木马窃贼-AZORult，除了能从各大浏览器窃取密码之外，还能够窃取电子钱包得数据。Qbot蠕虫通过使用键盘记录器收集登录凭据，窃取cookie文件和证书，活跃的网络session，并将用户导向到虚假网站。

被盗用户得帐户数据通常按某些主题（银行的客户数据、政府门户网站的用户帐户、组合列表——电子邮件和密码）进行排序，并在暗网论坛上出售。值得注意的是，政府网站的用户帐户在暗网论坛上不太常见。网络黑暗和一些国家赞助的专门从事破坏和间谍活动APT组织是这些信息的购买人之一。黑客了一旦得到府网站用户的凭证，不仅可以从这些网站获取机密信息，还可以渗透到政府内部网络中。即使一个政府雇员的账户被泄露，也会导致商业或国家机密被盗。

Group-IB集团计算机紧急响应小组（CERT-GIB）的负责人Alexandr Kalinin评论道：“政府雇员数据泄露的规模和简单性表明，由于他们的粗心大意以及缺乏缺乏可靠的网络防御，大量用户成为黑客的受害者。网络罪犯用来攻击用户帐户的恶意软件不断进化。为了更好地防止此类攻击，不仅需要使用最新的反APT解决方案，而且还需要仔细了解攻击的背景（何时、何地、以及如何泄露出数据）。”

定期更新的Group-IB威胁情报系统将持续收集获得关于数据泄漏、被入侵帐户、恶意软件、受攻击的IP以及全世界现有漏洞的详细信息。这些独特的信息可以预先为将发生的网络攻击做好防御准备。另一个重要的安全因素是国际合作。为了防止进一步的安全事故，GIB-CERT专家与30多个国家的官方CERT联系，并向当地事故应对小组通报了数据泄露的情况。

Alexandr Kalinin强调说：“官方CERT之间的威胁情报交换对全球范围内打击网络犯罪至关重要，因为这样可以互相提供快速的事件响应，并收集更多关于黑客的策略转变和使用工具的信息，以及被入侵的痕迹，紧急的威胁情报。网络犯罪没有国界，影响着全球的个人和团体。而国家间安全信息的交换是全球网络稳定的重中之重”。

关于Group-IB

Group-IB集团是一家全球领先的解决方案提供商，旨在检测和预防网络攻击、网络欺诈和提供IP保护。

原文链接：https://securityaffairs.co/wordpress/78840/cyber-crime/group-ib-identifies-leaked-credentials.html