第三节 国外网络安全事件概要

一、针对关键信息基础设施的攻击

（一）爱沙尼亚遭受大规模网络攻击事件

爱沙尼亚是人口仅140万的小国，但被认作网络化最彻底、网络办公发展最迅猛的欧洲国家。人们投票、交税、转账几乎全部使用网络完成，连停车费一般都用手机短信息交纳。不难想象，爱沙尼亚对互联网的依赖程度之大。而爱沙尼亚也是历史上第一个政府和关键基础设施经历大规模网络攻击的国家。该事件发生在2007年4月到5月的3个星期里，在这期间爱沙尼亚遭受了旷日持久的网络攻击，大量的来自全世界的僵尸网络瘫痪了该国的互联网。其中大多数都是通过汹涌而来的在线请求淹没服务器的，让服务器无法接收新的通信，从而拒绝服务。攻击的主要目标是爱沙尼亚总统、政府部门和一些新闻组织的网站，一些银行也遭受了攻击。在这个高度网络化的国家，人们的生活安全受到了严重威胁。由于银行服务器崩溃，大量计算机遭恶意软件侵入，所有民众日常消费或其他在线金融行为都无法正常进行。爱沙尼亚政府为了终结这次网络攻击，不得不采取了切断互联网这样的极端做法。这标志着一种新的、难以追踪、影响国际安全、没有固定模式的威胁的开始。

（二）伊朗核电站遭袭事件

2010年9月，伊朗政府宣布，纳坦兹铀浓缩基地至少有3万台计算机受病毒感染，1/5的离心机瘫痪，病毒攻击目标直指核设施。由于被病毒感染，监控人员看到的是正常画面，而实际上离心机在失控情况下不断加速而最终损毁。造成这样严重后果的病毒被称为“震网”，其包含空前复杂的恶意代码，是一种典型的计算机病毒，能自我复制，并将副本通过网络传输，任何一台个人计算机只要和染毒计算机相连，就能自动将病毒传播给其他与之相连的计算机，最后造成大量网络流量的连锁效应，导致整个网络系统瘫痪。“震网”主要通过U盘和局域网进行传播，是第一个利用Windows“零日漏洞”，专门针对工业控制系统发动攻击的恶意软件，能够攻击石油运输管道、发电厂、大型通信设施、机场等多种工业和民用基础设施，被称为“网络导弹”。这预示着网络战已发展到以破坏硬件为目的的新阶段。

（三）乌克兰电网遭黑客攻击事件

2015年12月23日，乌克兰首都基辅部分地区和乌克兰西部的140万名居民突然发现家中停电。这次停电不是因为电力短缺，而是遭到了黑客攻击。黑客利用欺骗手段让电力公司员工下载了一款恶意软件“Black Energy”。当天，黑客攻击了约60座变电站。黑客首先操作恶意软件将电力公司的主控计算机与变电站断连，随后又在系统中植入病毒，让计算机全体瘫痪。与此同时，黑客还对电力公司的电话通信进行了干扰，导致受到停电影响的居民无法和电力公司进行联系。这是有史以来首次导致停电的网络攻击，此次针对工控系统的攻击引起世界范围的高度关注。

二、网络监听及间谍行动

（一）“棱镜门”曝光

2013年6月5日，美国前中情局职员爱德华・斯诺顿披露给媒体两份绝密资料，一份资料称：美国国家安全局有一项代号为“棱镜”的秘密项目，要求电信巨头威瑞森公司必须每天上交数百万名用户的通话记录。另一份资料更加惊人，显示美国国家安全局和联邦调查局通过进入微软、谷歌、苹果等九大网络巨头的服务器，监控美国公民的电子邮件、聊天记录等秘密资料。在此后的时间里，一连串的新闻报道更加印证了许多隐私倡导者担心很久的一个问题，即全球的网络、电子通信，正处在以美国政府为主导的监控之下。随着事件的进一步发酵，各项证据证明美国的监控目标还包括世界多国领导人及多个政府部门和银行。这项大规模监听行动的曝光引发了一系列后续反应，包括欧盟在内的多个国际组织和受监听国家表示将重新审视与美国的数据共享协议；美国国内民权组织也提出了针对侵犯公民言论自由权和隐私权方面的政府违宪诉讼。

（二）网络间谍程序——红色十月

2015年，某安全研究机构证实了称为“红色十月”的计算机病毒的存在，这一病毒专门攻击全球各国政府机构和外交使团、从事网络间谍活动，目前已有50多个国家的网络遭到它的攻击。“红色十月”是近年来曝光的最复杂网络间谍平台，它有超过1000个独立模块，可以根据被感染计算机和目标用户定制模块配置。它首先收集被感染机器的一般信息，包括浏览历史和储存的密码等，然后攻击者评估其价值决定下一步安装哪些模块，它有专门的模块可以窃取证书获取账号密码；提取Outlook和Thunderbird等邮件客户端存储的信息和数据；窃取连接的USB设备数据；记录按键；扫描本地网络主机，感染其他计算机；从连接的智能手机中下载有价值的信息，如联系人信息等。

（三）网站数据和个人信息泄露事件

1．土耳其重大数据泄露事件

2016年4月3日，土耳其爆发重大数据泄露事件，近5000万名土耳其公民的个人信息牵涉其中，包括姓名、身份证号、父母名字、住址等一连串敏感信息被黑客打包放在芬兰某IP地址下，人们可通过P2P任意下载他们感兴趣的数据。同时，为了证明这些被盗取数据的真实性，黑客特地公布了土耳其现任总统埃尔多安的个人信息以作示范。

2．黑客组织“Peace”攻击多家公司造成数据泄露事件

2016年5月，位于美国纽约的轻博客网站Tumblr被证实卷入一起数据泄露事件，涉及的邮箱账号和密码达65469298个。事实上，该泄露事件早在2013年就开始持续发酵，但直到2016年Tumblr才发现了漏洞所在。据对Tumblr发起网络攻击的黑客组织“Peace”称，Tumblr在用户数据中使用的是SHA-1算法，其安全性能并不高，也正因为如此才成为Peace攻击的目标。

2016年5月19日，美国职业社交网站LinkedIn宣布，名叫“Peace”的黑客组织在黑市上以5个比特币（约合2200美元）的售价公开销售1.67亿个领英用户登录信息。据了解，这些数据来自2012年LinkedIn发生的一次大范围的数据泄露事件，其中包含1.17亿条数据，既包括电子邮件，也包括密码。事后，LinkedIn已经给用户发送了电子邮件要求更改密码。

2016年6月初，同样是代号为“Peace”的黑客称已经拿到了全球第二大社交网站MySpace的3.6亿个用户账号及4.27亿个密码，并且在暗网上以6个比特币（合2800美元）的价格公开出售。至于如何窃取到如此庞大的数据，MySpace与黑客方面均未透露。

3．雅虎账户数据泄露事件

雅虎遭受了近年来最大的数据泄露事件。2016年9月，雅虎宣布发现2014年年底的一次数据泄露影响到超过5亿个用户账户。该事件导致部分用户账户信息泄露，包括姓名、电子邮件地址、电话号码、出生日期、散列密码、一些加密或未加密的安全问题和答案。雅虎表示，他们认为该事件背后是国家级的攻击。就在几个月之后，雅虎宣布遭遇第二次更大规模的攻击，影响到10亿个用户账户。这次事件揭示了即使是世界上最大的公司也无法避免巨大的数据泄露，而这种巨量数据泄露事件会影响数百万名消费者。现代国家、政府和企业需要全面的、全方位的数据保护政策和方式。