一、小白剧场

大东：小白你马上就要工作了，你知道在公司重要文件传输用什么软件吗？

小白：我不太知道啊！东哥，有没有什么推荐的软件呢？

大东：市面上的文件传输软件还真不少，这里我就不赘述了，小白感兴趣可以问问师长，就不要自己去搜索下载了哦！

机密数据泄漏（图片来自网络）

小白：为什么，难道“小度”给出的推荐不安全吗？

大东：当然，因为大部分的小众软件都没有安全保障，并且一些被市场接受的大众软件却更容易被攻击者针对。

小白：为什么这么说呢，东哥？难道你又有什么故事了吗？

大东：小白你的“嗅觉”可是越来越灵敏了哦，没错，我正好有一个有关文件传输软件泄密的案例，小白你想听听吗？

小白：当然，东哥，你快讲讲吧，我再充充电！

二、话说事件

大东：要谈文件传输软件，就不得不提一家安全厂商Accellion。

小白：这个厂商是什么来头呢，东哥？

大东：他是一家私有云解决方案提供商。

小白：那他在文件传输方面出了什么问题呢，东哥？

大东：问题就出在他的文件传输程序FTA。

小白：怎么说，东哥？

大东：攻击者利用了FTA中的0day漏洞，访问并窃取了大量用户数据！

小白：真的吗，都有哪些公司遭殃了呢？

大东：比如2021年3月工业巨头霍尼韦尔的员工使用FTA传输机密文件，导致其IT系统遭攻击者的恶意软件破坏，而同样在3月份，能源巨头壳牌公司也遭遇了黑客攻击！

小白：哇，接连作案，攻击者使用的不会是同一种攻击手段吧，东哥？

大东：显然是的，壳牌公司2021年3月表示，攻击者利用了FTA的零日漏洞，已经访问了一些个人数据以及属于壳牌利益相关方和子公司的数据。

小白：那东哥，你觉得这几次攻击导致数据泄漏的原因有哪些呢？

大东：首先便是Accellion作为一家安全厂商，理应为其他公司提供保障，自身却出现了安全问题。

小白：唉，自家后院起火，还怎么帮别人出谋划策啊！

大东：哈哈，没错！除了Accellion本身的问题以外，各大企业在处理私密数据时也并不是高度谨慎，没有对安全厂商进行深入调研，错付了信任。

小白：唉，这些企业怎么也没想到，任命这么多年的信使，到头来还是错付了。那东哥，攻击者是怎么利用漏洞攻击的呢？

大东：据相关安全人员调查分析，攻击过程中，黑客通过服务器0day漏洞安装了一个名为“DEWMODE”的web shell，再用于下载存储在目标受害者FTA服务器上的相关文件。

小白：原来是这样，那我们在FTA上下载存储的文件，就悄悄地溜进攻击者的口袋了吗？

大东：显然是这样的。

小白：那攻击者窃取到数据之后，都会用来干什么呢？

大东：据调查显示，在泄密事件爆发后，陆续有受害者收到该黑客组织的勒索电子邮件，威胁要将窃取的数据发布在名为“CL0P^_- LEAKS”的网站上。

小白：这是一个什么网站呢？

大东：这其实是一个非法交易的暗网，很多通过非正当途径窃取的用户数据都会在这里被变卖。

小白：那泄漏的数据大概包括哪些类型呢，东哥？

大东：泄露的数据包括公司发票、采购订单、税务文件和扫描报告等，都是至关重要的商业机密数据。

暗网变卖的数据（图片来自网络）

三、大话始末

小白：那攻击者借助FTA的0day漏洞窃取数据的事件后续有什么进展吗，东哥？

大东：2021年3月，火眼的安全专家指出，FTA攻击事件的始作俑者是黑客组织 FIN11（也称UNC2546）。

小白：原来又是个APT组织啊，东哥！

大东：嗯，不错，看来你没有忘记咱们的APT普及课，平时肯定认真复习了，值得鼓励！

小白：过奖了，东哥！还是说说FIN11后续有什么攻击进展了吧！

大东：说来也是有趣，虽然FIN11正在泄露或是准备泄露受害者的数据，但并没有真实地直接对受害者受感染的系统进行加密。

小白：FIN11不是以经济利益为目标的吗，怎么没有进行勒索呢？

大东：没错，作为一个向来以经济利益为动机的攻击组织，FIN11此次却没有真实地从中获取勒索赎金，也让相关专家们对这次攻击行动动机存疑。

小白：那火眼专家们后续发表什么言论了呢，东哥？

大东：技术人员目前仍在跟踪两个单独的活动集群。

小白：是那些集群呢，东哥？

大东：首先追踪的是UNC2546的第一个集群，该集群与利用Accellion的FTA软件中的零日漏洞，进而从运行旧版的FTA产品的目标组织中窃取数据有关。

小白：第二个集群呢？

大东：其次跟踪的是UNC2582的第二个集群，该集群与随后的勒索活动有关。

FIN11勒索信件模板（图片来自网络）

小白：看来这是一次漫长的追踪过程啊！

大东：漫长并不可怕，火眼研究人员已经宣布“我们已经确定了UNC2582，UNC2546 和以前的 FIN11 操作之间的重叠，并且将继续评估这些活动集群之间的关系，继续 FireEye。”

小白：竟然热血起来了呢，我相信火眼研究人员一定会成功的，攻击者必定会被绳之以法！那东哥，Accellion对本次攻击的源头，0day漏洞怎么处理了呢？

大东：该厂商为了应对本次攻击浪潮，发布了多个安全补丁，以解决黑客利用的漏洞。而且公司还将在2021年4月30日之前淘汰旧有的FTA服务器软件。

四、小白内心说

小白：东哥，怎样处理公司重要的文件才是正确的呢？

微信办公（图片来自网络）

大东：传输的时候也要连接内网，不可公网传输。此外，一定要加强员工的安全意识。

小白：嗯嗯，收到了，东哥，保守公司秘密是每个员工的基本义务！

来源: 中科院之声