波音遭遇勒索攻击的数据损失分析

点击上方"蓝字"

关注我们吧！

按语：2023年12月30日，安天发布长篇分析报告，包括事件的技术分析、过程还原、损失评估等内容，总结威胁发展趋势和防御侧的共性缺陷，对防范RaaS+定向勒索攻击提出了针对性建议。原报告2万5千字，部分读者反馈文献过长不便于阅读，建议我们选择重点章节单独重发。今日我们将报告关键章节第4章第4、5节，即攻击致效与数据损失分析部分与4.7节部分内容进行整合，以独立篇目重新发送，对相关内容感兴趣的读者可点击阅读原报告。

波音遭遇勒索攻击事件分析复盘

攻击致效后的情况分析

2023年10月27日18时19分，攻击者将波音公司相关信息发布在LockBit勒索软件的Tor网站上并以此胁迫波音公司，如果不在2023年11月2日前与LockBit组织取得联系，将会公开窃取到的敏感数据。此后，波音公司一度从受害者名单中消失，疑似波音与LockBit进入了谈判过程。

图1‑1 LockBit攻击组织第一次发布的有关波音公司的勒索提示

2023年11月2日，波音公司声明其客户服务网站services.boeing.com，因技术原因暂停服务，但不影响飞行安全。

图1‑2 波音公司网站暂停服务声明

2023年11月7日，LockBit组织再次将波音公司列入受害者名单中，并声称波音公司无视其发出的警告，并威胁要公开约4GiB的数据。

图1‑3 LockBit攻击组织威胁公开部分数据

2023年11月10日，LockBit组织公开发布从波音公司窃取到约21.6 GiB数据，这些文件包括IT管理软件的配置备份以及监控和审核工具的日志，其中包含Citrix设备的相关文件。从数据清单来看，多数为IT场景、安全产品和设备的相关数据与日志。

图1‑4 LockBit攻击组织公开发布窃取的所有波音公司数据

损失分析

为了更准确分析数据泄露所带来的风险，安天工程师对相关信息进行了进一步梳理。根据媒体报道，所泄露的文件共计64个，数据约43GiB。攻击者初始发布的数据包含21.6GiB压缩包文件及解压后的全部文件，而最初压缩包内的文件列表未提供，导致大部分网络安全新闻报道时将压缩包和包内文件进行了重复计算，即约43GiB的数据。LockBit于2023年12月19日在受害者信息及数据发布平台上发布了压缩包中的解压文件列表。经对比分析为重复数据。因此，本报告认定的数据以压缩包大小约21.6GiB为准，我们基于文件大小、文件类型、使用的部门及可能带来的风险展开分析，本分析是基于攻击者公布的文件列表中的信息完成的，存在一定猜测成分。

1. 文件大小分析

（1）大于500MiB 的文件：11个，共计41.1 GiB，最大文件是21.6 GiB（该文件为所有文件的压缩包，即媒体误公布数据为43GiB的原因），最小文件1.2 GiB。其中，IT管理系统备份数据4.1 GiB，2018年数据存储库备份数据2.8 GiB，存储库安全组件数据1.3 GiB，分布式虚拟机软件数据2.5G，IT解决方案数据1.2 GiB，语音数据4.5 GiB，所有数据的压缩包文件21.6 GiB，其它数据3.1 GiB，Citrix云计算虚拟化软件系统数据770.5MiB、应用程序管理软件505.1MiB，应用程序控制数据588.1MiB。

（2）小于500MiB的文件：53个，最大文件是960.5KiB，最小文件是5.6KiB。其中设计商业审计、视频监控、数字无线通讯、Citrix云计算虚拟化软件、数据库管理、系统审计工具、ERP管理、波音网站目录树、仿真软件、路径导航软件、实时通信软件、邮箱数据、HP打印审计软件、IT管理系统软件、智能仓储管理系统、文档管理系统等疑似配置文件数据。

2. 文件相关内容分析

涉及的软件类型有30种，包括商业审计、视频监控、应用程序管理软件、数字无线通讯设备、波音公司邮箱、波音公司开发的软件、Citrix云计算、虚拟化软件、数据库管理软件、数据中心管理软件、网络安全软件、OpenStack私有云部署软件、HP打印审计软件、IT管理系统软件、数据备份软件、分布式虚拟机软件、企业IT解决方案软件、云语音识别软件、虚拟化软件、系统审计工具、系统日志记录工具、智能仓储管理系统、虚拟化系统、ERP管理软件、文档管理系统、波音网站数据、仿真软件、疑似授权文件、路径导航系统软件、实时通信软件及其它不确定类型。

3. 涉及部门分析

通过文件属性分析，对应的内部使用者，疑似涉及的部门有：12个，包括财务部门、安全运营部门、调度部门、客服部门、IT运营部门、飞机维护检修部门、信息安全部门、仓储物流部门、项目管理部门、研发部门、通信部门及其它不确定部门。

4. 风险分析

仅就LockBit已公布的数据来看，主要是相关配置、运营、IT、安全相关的数据，似不包含关于相关技术、工艺、生产、商务等相关的文档、数据。我们猜测存在两种可能：

1、攻击者突破了波音在线服务体系的管理运营网络，但并未进入到实际科研、生产、财务等位置。

2、攻击者仅公布了其中的相对低的价值数据，而对高价值数据寻找买家，待价而沽，或继续作为和波音未来谈判的筹码。安天CERT相对倾向原因为第一种。我们研判后的观点是：虽然定向勒索攻击具备APT作业的突防能力和杀伤链特点，但由于其以获取经济利益为目的，有更快获得收益的欲望，因此和以获取战略利益为目的的APT组织相比，其通常会更快尝试实现对突防价值的转化，而非以长期潜伏的耐心意志，来实现持续递进突破方面。因此攻击组织在实现了一定价值的资产控制后，就可能迅速展开破坏勒索、公开数据等活动。与此同时，虽然这些数据以信息化系统和软件运行日志和备份数据为主。但依然可能带来四方面风险，一是进一步的用户数据泄露风险，主要包括网站、邮箱、仓储、物流、客服等数据。二是应用软件清单暴露风险，主要包括审计、视频监控、通讯、打印、ERP、文档管理、导航、调度、仓储物流等软件。三是安全运营风险，主要包括应用程序管理、Citrix云计算、虚拟化、数据库管理、数据中心管理、安全软件、私有云、网管软件、数据备份等失控风险。四是研发数据风险，主要包括仿真设计和项目研发等数据。经过上述分析，我们认为实际风险可能大于波音自身所公布的风险提示，依然需要分析多方面是否有更大潜在的严重风险后果，并特别需要研判是否会对飞行安全带来风险。

往期回顾