Therecord.media于8月9日独家报道称,2024年早些时候,俄罗斯外国情报服务的网络间谍侵入了英国内政部系统,盗取了内部电子邮件和个人数据。虽然没有透露具体的攻击TTPs,黑客驻留时间,以及数据受损细节,但确定性为俄罗斯网络间谍的杰作。
此前,同一黑客组织突入了微软公司邮件系统,而微软恰恰为英国内政部提供企业系统。在微软邮件系统攻击案例中,黑客利用这一访问权限进一步破坏了微软的多个客户系统。微软在1月披露了被称为“午夜暴雪”的黑客组织的攻击,该组织被英国归因于俄罗斯的SVR情报机构。内政部在微软首次披露后近四个月报告了此事件,违反了英国数据保护法规定的72小时内报告违规的要求。
这次对英国政府数据的攻击发生在俄罗斯情报机构在支持莫斯科对乌克兰的战争目标方面特别活跃的背景下。专家表示,虽然这类事件在英国并不罕见,但必须认真对待,因为它们可能破坏公众对公共服务和官员的信任。此次事件也凸显了对私营部门组织向政府提供服务的问责制的紧迫问题,以及在面对潜在的单点故障时需要考虑更大的供应商多样性以分散风险。
据Recorded Future News获得的官方对事件的描述,英国内政部系统的漏洞以前没有被报道过。在此之前,俄罗斯黑客最初针对的是微软,微软为内政部提供企业系统,随后黑客利用这一访问权限也破坏了微软的几个客户。
微软在1月份首次披露,被称为午夜暴雪的黑客组织——英国归因于俄罗斯SVR情报机构——已经访问了公司高层领导的电子邮件账户,后来又证实黑客也访问了客户的电子邮件以及微软自己的“源代码库和内部系统”。
内政部在5月2日向英国数据保护监管机构报告了这一事件,这几乎是在微软最初披露后四个月。根据英国数据保护法,组织必须在意识到违规后的72小时内向监管机构报告个人数据违规。
根据信息自由法获得的这份报告的描述,该事件是“对[部门]企业系统的供应商的国家级攻击”,并将黑客攻击与微软1月份的公告联系起来。
信息专员办公室的一位发言人说:“我们可以确认,我们知道这一事件,已经评估了提供的信息,并得出结论不需要采取进一步行动。”
大多数微软的政府客户可能在微软意识到影响其高层员工的最初事件后很久才发现受到了违规的影响。
直到4月,美国网络安全和基础设施安全局(CISA)才警告说,联邦政府数据也受到了黑客攻击的影响。
当时,CISA表示,微软已承诺通过提供“所有被转移的联邦机构通信的元数据”,协助美国政府对事件进行调查,并警告说这些被盗通信“对机构构成了严重且不可接受的风险”。
英国政府数据的泄露发生在俄罗斯情报机构在支持莫斯科的战争目标方面特别活跃,包括针对那些支持基辅的国家。
“自2022年2月以来,克里姆林宫的游戏规则已经改变,它现在在网络领域行动,就好像已经与英国处于战争状态一样,”Orbis商业情报的主任、前英国情报官员、专注于俄罗斯的克里斯托弗·斯蒂尔说。
智库RUSI的网络研究主任詹姆斯·沙利文说:“这可能发生并不奇怪。我们知道俄罗斯会进行这样的活动,英国公众现在已经习惯了,而不是感到愤怒。”
“但我们必须认真对待这些事件。它们可以破坏对公共服务和公职人员的信任和信心。我们需要更多地了解影响,了解对国家的风险,了解对手可能追求的战略优势,并相应地做出反应。”
衡量情报收集行动的效果非常具有挑战性。斯蒂尔说,SVR的“动机可能是多种多样的——比如寻找关键个人信息,或者简单地破坏英国国家职能——但他们的策略一贯比过去更大胆,不那么谨慎。”
就在向英国数据保护监管机构提交数据泄露报告的第二天,英国和盟友发表了一份联合声明,谴责俄罗斯情报机构的恶意网络活动——尽管这特别关注了另一个俄罗斯机构GRU的活动,该机构被指责对德国社会民主党的攻击。
RUSI的沙利文告诉Recorded Future News:“官方归因是我们拥有的工具,但归因需要作为一个措施包来提供——它需要与其他干预措施如制裁结合,或者与针对对手的网络行动结合——才能产生影响。我非常想知道对这样的事件的实际反应会是什么,或者甚至英国政府是否认为需要反应。”
沙利文说,这一事件凸显了对向政府销售服务的私营部门组织的问责制的紧迫问题:“与Crowdstrike类似,这次影响微软的事件表明,我们对少数提供关键服务的供应商的使用使我们在出现违规或中断时面临单一故障点。我们可能需要考虑更大的供应商多样性来分散风险,给组织更多的弹性。”
发表后,微软的一位发言人说:“我们没有发现任何微软托管的客户面向系统作为对我们在1月份分享的针对微软的攻击的结果被破坏。正如我们当时分享的,威胁行为者访问了很小一部分微软企业电子邮件账户。我们向与受影响的微软企业电子邮件账户通信的客户发送了通知。”
发表后,一位政府发言人说:“没有证据表明操作内政部数据被泄露。我们非常重视数据安全,有健全的报告机制到位,并持续监控以确保数据受到保护。”