红十字国际委员会表示,“国家资助的”黑客利用未修补的漏洞,很可能是国家资助的黑客所为。在周三发布的最新消息中,红十字国际委员会确认最初的入侵可以追溯到2021年11月9日,即1月18日袭击事件被披露的两个月前,并补充说其分析表明入侵是对其系统的“高度复杂”的有针对性的攻击-不像红十字国际委员会最初所说的那样,是对第三方承包商系统的攻击。红十字国际委员会表示,它知道这次攻击是有针对性的,“因为攻击者创建的代码只能在相关的红十字国际委员会服务器上执行。”根据更新,攻击者使用的恶意软件是为红十字国际委员会基础设施内的特定服务器设计的。黑客利用Zoho开发的单点登录工具中一个已知但未修复的严重漏洞,获得了对红十字国际委员会网络的访问权限,该工具提供基于网络的办公服务。该漏洞是美国网络安全和基础设施安全局(CISA)9月份发布的一份咨询报告的主题,其CVSS严重性评分为9.8分(满分10分)。通过利用此漏洞,未知的国家支持的黑客随后发起了攻击,例如红十字国际委员会表示,它会泄露管理员凭据、在网络中移动以及渗透注册表和域文件。红十字国际委员会表示:“一旦进入我们的网络,黑客就能够部署攻击性安全工具,使他们能够伪装成合法用户或管理员。”该机构补充说,它没有确凿的证据表明在袭击中被盗的数据已被公开或交易,也没有勒索赎金的要求,但表示正在联系那些敏感信息可能已被访问的人。红十字国际委员会表示其反恶意软件工具在攻击发生时在目标服务器上处于活动状态,并阻止了攻击者使用的一些恶意文件,但部署的大多数文件都是“特制的”以规避其反恶意软件保护。红十字国际委员会指出,这些工具经常被高级持续威胁(APT)团体或国家资助的攻击者使用,但该机构表示,它尚未正式将攻击归因于任何特定团体。由于网络攻击,红十字国际委员会表示,它不得不使用电子表格来开展其重要工作,其中包括帮助因冲突或灾难而离散的家人团聚。红十字国际委员会总干事罗伯特·马尔迪尼在一份声明中表示:“我们希望这次针对弱势群体数据的攻击能够成为变革的催化剂。”我们现在将增加与国家和非国家行为者的接触,明确呼吁将红十字与红新月运动人道主义使命的保护扩展到我们的数据资产和基础设施。“我们认为,关键是要在言行上达成坚定的共识,即绝不能攻击人道主义数据。”
