瑞士

今年春天，与大多数瑞士安全服务机构合作的瑞士IT服务提供商Xplain公司遭到了黑客攻击。接下来发展成一种典型的勒索软件攻击模式：内部系统瘫痪、数据被盗、索要赎金，然后，由于Xplain公司拒绝付款，黑客在暗网上发布了泄露的信息。6月初，黑客只发布了六个压缩文件，其中包含数千份文档，主要为来自Fedpol和几个州警察局执行的众多IT项目的数据：合同、技术规范等，总计近3GB；然后到了6月中旬，似乎所有被盗的信息都被放到了网上，即907GB，这是一个巨大的数据量。现在，来自瑞士联邦的超敏感信息现在可以在暗网上找到，那些意图伤害瑞士的居心不良的人很容易获得这些信息。 值得注意的是，Xplain公司是瑞士许多警察部队和安全联盟的IT服务提供商，特别是与联邦警察局、Fedpol和海关管理局合作。Xplain公司遭到黑客攻击导致大量超敏感数据在暗网上发布，影响了瑞士的国家安全。 据称勒索软件团伙”Play“是此次Xplain数据泄露事件的幕后黑手，”Play“是一个相当新的与俄罗斯相关联勒索软件团伙，在2022年发动了多次引人注目的攻击。该团伙因在加密受害者数据后添加扩展名“.play”而得名，其勒索信中通常包含“PLAY”一词。 “暂时”无法下载 上周日，瑞士国家网络安全中心（NCSC）告诉Keystone-ATS机构，这些数据已从暗网上消失。也就是它们已从当初发布的页面上删除，NCSC无法解释这种突然失踪的原因。NCSC时指出，“勒索软件团伙”Play“黑客组织于6月14日在暗网上发布了这些数据，此后暂时无法下载。我们不知道原因。” 这是一个重要的澄清：根据NCSC的说法，这些被盗的数据总量高达907GB，只是“暂时”消失了。联邦服务部门没有提供有关此事件的任何进一步细节。提供数据下载的地址很可能不再有效，这也可能是由于联邦方面采取的技术行动造成的。但随后，黑客可能从另一个地址重新发布了被盗的信息，与当局开始了一场猫捉老鼠的游戏，而他们几乎不可能获胜。 曾经很容易下载 网络安全专家证实，泄露的联邦数据确实可以在暗网上获得。请记住，访问它并不是很复杂：您所需要的只是一个特殊的浏览器，最著名的是Tor浏览器，然后可以直接访问所需的地址或查阅目录。这需要一点经验和时间。黑客和对被盗数据感兴趣的人也会浏览暗网交流论坛，在那里交换下载信息的地址。 从Xplain公司窃取的联邦数据大约十天前被黑客放到了网上。我们能想象这些数据从那时起已经被下载了很多次吗？普华永道负责网络安全服务的合伙人Yan Borboën表示：“是的，很可能这些数据已经被下载过很多次了，直到今天仍然如此。我们从之前的案例中知道这是可能的。”暗网上被盗数据存在真正的市场，就Xplain公司而言，这些数据显然会引起了许多人的兴趣——黑客、外国安全服务机构、网络安全公司……因此，许多存储副本已经在线和离线存在，下载到计算机、优盘或光盘、移动硬盘上。 数据一旦流出就很难监控 回到周日NCSC给出的信息，我们可以肯定地说数据不在暗网上吗？可以永久扫描吗？“我们的‘威胁情报’领域的专家团队确实可以监控暗网，”Yan Borboën继续说道。然而，考虑到暗网本身的功能，不可能确保这些搜索能够详尽地检测所有数据。事实上，数据有可能在访问受到严格限制的秘密暗网论坛上共享。 结论是：一旦数据被盗，其所有者就不再对其有任何控制权。 瑞士联邦正在危机处理 瑞士联邦危机工作人员已成立，负责处理影响Xplain公司的网络攻击，联邦委员会希望在联邦数据被盗后采取行动。危机工作人员负责协调正在进行的工作，以管理针对Xplain的勒索软件攻击。 联邦公共事务部已启动诉讼程序。联邦数据保护专员还对联邦警察局和联邦海关办公室展开调查，有迹象表明可能存在严重违反数据保护规定的情况。 政府还决定验证并在必要时修改与联邦政府IT服务提供商的当前合同。如果遇到网络攻击，联邦必须能够迅速做出反应。联邦服务提供商必须确保遵守针对网络攻击的保护标准。

5月中旬，一个被盗的数据库出现在暗网上，内容是《瑞士评论》（Swiss Review）订阅者信息的外部下载链接。这是一份联邦政府杂志，可以让国外的瑞士公民了解本国的最新动态。 这个数据库很全面，它包含超过42.5万个地址，其中40%是邮政地址，60%是电子邮件地址。任何在瑞士注册为海外公民的人都会自动通过电子邮件或邮寄方式收到《瑞士评论》。据外交部称，80万海外瑞士人中只有33万没有选择接受《瑞士评论》——其中包括讲意大利语的瑞士人。 瑞士外交部在处理这些地址时遵守所有数据保护规则，因为这些数据不是自愿提交的，它来自瑞士驻外领事馆。 任何在瑞士注销身份登记的人都有义务向相关瑞士代表处申报其在国外的居住地。这创造了《瑞士评论》的订户基础。 任何人都不能访问 瑞士政府认为这些数据非常敏感，甚至连《瑞士评论》的出版商SwissCommunity都无法获得这些数据。 但是，现在正是这些数据库可以在暗网中找到——或者至少是其中的一部分，具体情况尚不清楚。暗网是互联网中普通计算机用户无法访问的部分。 “联邦外交部不知道实际上有多少数据被窃取。”外交部写道。 联邦数据保护和信息专员阿德里安·洛比格（Adrian Lobsiger）表示：“非自愿收集的数据以这种方式公开，这一事实令人非常遗憾。”他正在呼吁让受影响的人得到通知。 已经提交了一份刑事投诉，网络安全专家正在进行调查。 网络攻击的副产品 但是，这怎么可能发生呢？简单地说，海外瑞士人的425000个地址是对两家瑞士出版社（NZZ出版集团和CH Media）进行勒索攻击的副产品。这两家出版社的数字基础设施是相互联网的。 对这次攻击负责的犯罪组织自称“Play”。这是一个活跃于国际舞台的黑客组织，据说与俄罗斯有联系。2023年5月3日，“Play”在暗网上公布了从瑞士出版集团CH Media窃取的大量数据。 公布窃取的数据是勒索扑克游戏的一部分，这在黑客所谓的勒索软件攻击中很常见。他们的做法冷酷而奸诈。 首先，犯罪分子侵入公司的IT系统。然后他们经常加密受害者的数据。与此同时，他们威胁要公布敏感数据。如果被勒索的公司拒绝支付赎金，数据记录就会发布在暗网上。 受攻击的公司表示，他们尚未支付赎金。 NZZ和CH Media数字生态系统遭受的攻击发生在3月底。据编辑部主任马克·莱托（Marc Lettau）称，《瑞士评论》编辑部也因编辑系统中断而受到了此次攻击的影响。《瑞士评论》也通过其IT基础设施与受到攻击的环境相连。 2023年5月3日，即“Play”公布被盗数据的当天，CH Media通知其IT客户。合作伙伴公司了解到客户数据也受到了影响。此消息也被发送至《瑞士评论》。 到5月中旬，很明显，这些数据包括《瑞士评论》订阅者的详细地址信息。每年六次，当该杂志印刷时，瑞士外交部会将这些数据发送给负责发送《瑞士评论》的印刷公司。 工作流程中的数据保护？ 此工作流程中是否有数据保护措施？外交部的回应是：“发送是通过加密的政府文件传输进行的。该流量没有受到影响，没有被黑客攻击，也不是数据被盗的对象。根据政府的数据保护规定，这些数据必须以加密的形式存储在印刷公司。” 目前尚不清楚相关数据库最终是否经过加密。CH Media写道：“我们不对个别客户关系发表评论。” 针对瑞士公司的勒索攻击 外交部上周才发表声明，即在泄密事件发生六周后。其中的核心要点是：除了地址之外，印刷公司不掌握任何个人数据。 显然，外交部几周来一直在努力做出正确的评估和正确的沟通。但专家们确信：“错误不在于政府，”《Inside-IT》杂志主编雷托·沃格特（Reto Vogt）表示。他说，政府以其对数据保护的敏感态度而闻名。“这一特殊案例可能只是运气不好。” 电子投票面临风险？ 然而，这次攻击有可能引发有关瑞士电子投票系统的安全争论，该系统于2023年重新推出。新系统的首次试用伴随着瑞士发生的几起网络攻击，引起了人们的关注。 除了勒索出版商之外，“Play”还对瑞士IT公司Xplain发起了一次惊人的攻击。该公司为瑞士司法和警察当局提供软件。 这次勒索软件攻击也导致了敏感数据的发布。受影响的包括军队、联邦海关和边境安全局以及联邦警察。调查仍在进行中，损坏程度尚无法确定。 六月初，另一个黑客团体使瑞士重要网站瘫痪。这次袭击是由亲俄组织NoName发起的，是对乌克兰总统泽连斯基在瑞士议会的视频演示的回应。 许多州的网站以及联邦政府和瑞士证券交易所的网站都受到了攻击。这些攻击的原理是不同的。它们被称为DDoS攻击，包括精心策划的大规模调用流量访问网站，使其不堪重负，导致网站暂时瘫痪。 无论勒索软件攻击和DDoS攻击都与电子投票技术没有直接关系。然而，如果此类攻击频繁发生，就会产生后果。IT企业家格吕特（Franz Grüter）表示：“即使这一事件与电子投票系统没有直接联系，随着每一次额外的网络事件的发生，人们对国家IT系统安全性的信心也会下降。” “可疑的安全思维” 对于格吕特来说，这些事件“让人们对政府的安全思维产生了怀疑”。格吕特是议会的人民党议员，对电子投票持怀疑态度。他认为这次事件很严重，并指出，在选举年，可购买的包含所有海外瑞士人地址的数据集特别有价值。“有人可以利用它来进行非常有针对性的选举广告。” 瑞士外交部写道，它“不知道这些数据目前是否在暗网上被提供”。

尽管瑞士纳沙泰尔国务委员会曾向议会保证，解释说它在电脑安全方面取得了进展，但这个事件却是一记耳光：勒索软件组织LockBit针对瑞士纳沙泰尔州两家医疗机构进行了网络攻击，并提出勒索赎金，否则在暗网公布其窃取的数据。 在暗网泄露医疗数据 在发出最后通牒后，周二，勒索软件组织LockBit在纳沙泰尔州采取了行动：在暗网上泄露了数千名纳沙泰尔患者的数据。然而，他们在周三被撤回。 黑客曾威胁这些公司，如果不支付赎金，将在3月29日星期二公布被黑客拖取的数据。根据Le Temps的说法，黑客兑现了他们的威胁，43,651份医疗文件最终进入了暗网（互联网的一个隐藏部分），包含地址、电话号码或职业。 泄露的文件中有医疗档案，有关于患者的病症或医疗检查的各种数据，在那里可以找到病历和治疗方法，例如：某位患者是艾滋病毒阳性，另一位患者正在服药，第三位患者患有抑郁症。其中一些档案可以追溯到1998年。 下午删除数据 然而，周三下午，这些数据在暗网上已经无法访问，它们在发布后不久被删除。有如下可能性：黑客攻击的受害者最终决定付款，或者黑客意识到文件的价值并决定尝试提高勒索赎金。网络安全专家也提出了暗网技术问题的假设。 在黑客的暗网页面上，更新了一个倒计时，即星期四下午1:30左右会有新动作，应是LockBit组织设置了新的24小时最后通牒。 警方调查 纳沙泰尔警方已经对这起案件开展了调查。“调查正在进行中，警方不希望提供有关这两家医疗机构的更多信息。”警方发言人Georges-André Lozouet周三告诉Keystone-ATS，证实了Le Temps的信息，这两个受害医疗机构的办公室位于纳沙泰尔山区。 一场“灾难” 纳沙泰尔医学会（SNM）主席多米尼克-邦兹利（Dominique Bünzli）在12时30分表示，发生的事情是“一场灾难”。他还没有详细信息，但他说，如果确实确认这些数据已被盗，他们将必须以完全透明的方式通知他们的患者。 本月早些时候，在同事告知他医学会是网络攻击的受害者后，SNM主席发出了一封警告信，呼吁成员立即采取行动。 网络安全加固 Dominique Bünzli解释说，目前正在开展工作，以加强医疗实践中的信息技术安全。瑞士医学协会（FMH）也发布了几项针对网络安全加固做法的建议。