网络资产安全事件回顾

下面站在网络空间资产视角下，对 2023 年网络披露的重大安全事件进行简要分析。

 1. 高风险资产安全事件

1.1 工控安全公司 Dragos 遭勒索软件攻击

2023 年 5 月，在遭遇疑似勒索软件攻击后，工控安全公司 Dragos 发布安全公告，披露 在 5 月 8 日发生“网络安全事件”，声称一个已知的勒索软件犯罪组织试图破坏 Dragos 的 安全防御系统并渗透到内网加密设备。对于此次勒索软件攻击，Dragos 明确表示不会助长网 络犯罪，将不会支付赎金。

Dragos 表示其公司网络和安全平台在攻击中并未遭到破坏，攻击者的横向移动、提权、 加密、驻留等攻击手段大多被 Dragos 的多层安全控制和基于角色的访问控制挫败了，但攻 击者成功入侵了该公司的 SharePoint 云服务和合同管理系统。其网络安全部门在获悉勒索消 息五分钟后立刻禁用了被盗用的员工帐户，撤销了所有活动会话，并阻止网络犯罪分子的基 础设施访问公司资源。 随着工业互联网的不断发展，出现了大量用于支撑工控服务的供应商。当这些供应商遭 到攻击时，相关联的工控资产都将受到影响。

1.2 武汉市地震监测中心工控资产遭境外网络攻击

2023 年 7 月 26 日，武汉市应急管理局所属武汉市地震监测中心部分地震速报数据前端 台站采集点网络设备遭受境外组织的网络攻击。经相关人员调查取证发现，该后门程序能够 远程操控设备，窃取设备上采集的地震烈度数据。 当天下午，外交部发言人毛宁在例行记者会上表示，根据中方相关机构发布的通报，有 外国政府背景的黑客组织对武汉市地震监测中心实施了网络攻击，严重威胁中国国家安全。 地震数据不仅被用于科研和民生领域，更重要的是其在军事领域的应用。攻击方可以利 用不同类型的地震数据进行国家军事力量的推算。因此，对工控资产的保护尤为重要。一旦 工控设备遭受攻击，将对我国的国家安全构成严重威胁。

2.大模型资产安全事件

2.1 三星代码数据遭 ChatGPT 泄露

2023 年 3 月 11 日，三星开放了半导体设备解决方案（DS）部门使用 ChatGPT 的权限。 但在开放不到 20 天便曝出三起严重的数据安全事故，导致其内部商业机密数据外泄。其中， 外泄数据涉及三星半导体设备测量资料、产品数据及内部会议内容等。 对于 ChatGPT 资产而言，任何人都可以使用 ChatGPT 来获取信息。因为 ChatGPT 会将 用户输入数据作为自身数据进行训练，所以当其他用户使用 ChatGPT 时，就可以获取到该用 户上传的隐私信息。

在此次事件中，三星内部员工就是在使用 ChatGPT 完成工作任务时，忽略了其潜在的 安全风险，上传了敏感信息，从而引发了严重的数据安全事故。为了避免该类情况的再次发 生，我们对大模型资产进行了测绘和详细的风险分析，旨在帮助企业更好地识别和管理高风 险资产。

2.2 超 10 万个 ChatGPT 账户被盗

2023 年 6 月 21 日，据暗网市场数据披露，过去一年，超过 101,000 个 ChatGPT 用户账 户已被信息窃取类恶意软件盗取，被盗的 ChatGPT 日志数量持续增加。其中近 80% 的日志 来自 Raccoon 窃取器，其次是 Vidar（13%）和 Redline（7%）。

ChatGPT 账户，以及电子邮件账户、信用卡数据、加密货币钱包信息等非传统性数据成 为黑客的攻击对象。由于 ChatGPT 允许用户存储对话，通过访问泄露账户就有可能获取用户 或企业的专有信息、内部商业策略、个人通信、软件代码等敏感数据。因此，对该类高风险 资产的识别尤为重要。

3.信创资产安全事件

Kylin OS 权限提升漏洞

2023 年 2 月，据公开情报，Kylin OS 存在权限提升漏洞信息。漏洞主要位于 kylinactivation 软件包，该软件包是 Kylin OS 用于授权验证和激活的组件。由于软件包没有严格 限制导入文件操作的合法性，因此将系统配置文件所在的目录导入到非法配置文件中，导致 普通用户本地权限提升。 采用信创技术的系统，除了要关注底层框架或组件会导致的供应链漏洞之外，也应该在 开发迭代的过程中，尽可能保证自身创新组件的安全。通过测绘信创资产，有助于发现其隐 藏的风险点。

4.数据资产安全事件

4.1 美国国防部互联网暴露服务器造成 3TB 敏感数据泄露 

2023 年 2 月，美国国防部一台存储了 3TB 内部军事电子邮件的服务器在线暴露长达两 周。该服务器托管在微软的 Azure 政府云上，供美国国防部客户使用，与其他商业客户物理 隔离，可用于共享敏感的政府数据。其中许多数据与美国特种作战司令部（USSOCOM）有关， USSOCOM 是美国负责执行特殊军事行动的军事单位。 数据泄露的主要原因是被暴露的服务器由于配置错误没有密码，任何人都可通过互联网 访问。 有安全人员结合知名网络空间测绘网站 Shodan 的搜索结果，发现该邮箱服务器 2 月 8 日首次被检测为数据泄露，推测可能造成邮箱数据暴露在公共互联网上的原因是人为错误导 致的配置错误。

4.2 微软 AI 团队在公共 GitHub 存储库中暴露了 38T 敏感数据

2023 年，云安全公司 Wiz 披露，微软人工智能研究部门在向公共 GitHub 存储库贡献开 源人工智能学习模型时意外泄露了 38 TB 的敏感数据。Wiz 的安全研究人员发现，一名微软员工无意中共享了因配置错误而泄露敏感信息的 Azure Blob 存储桶 URL。微软认为这是由于使用过于宽松的共享访问签名（SAS）令牌，该 令牌能对共享文件进行完全的控制，进而能以不可监控和撤销的方式进行数据共享。Wiz 的 研究人员警告称，由于缺乏监控和治理，SAS 令牌存在安全风险，应尽可能限制其使用，由 于微软没有提供在 Azure 中集中管理的方式，这些令牌非常难以跟踪。 Wiz 发现，泄露的信息包括属于微软员工的个人信息备份、微软服务密码以及来自 359 名微软员工共计 3 万多条内部 Microsoft Teams 消息的存档。