黑客浏览器

⼗年回顾：2010年以来那些重⼤的⽹络安全事件盘点

⼆⼗⼀世纪的第⼆个⼗年即将过去，在过去⼗年⾥有哪些重要⽹络安全事件发⽣，⼩编带⼤家⼀起来回顾⼀下。

我们见证了过去⼗年，⼤量的数据泄露、⿊客攻击、民族国家之间的间谍⾏动、⼏乎不间断的⾦钱利益⽹络犯罪以及让

系统崩溃的恶意软件，这些安全事件不绝于⽿。下⽂按时间顺序列举了2010年以来的重⼤⽹络安全事件。以史为镜可以

知兴替，我们不必沉溺于过去重⼤的数据泄露事件或者⿊客⾏动，⽽是更应该专注他们的技术，从这些技术中去预见未

来⽹络安全趋势，让专家对⽹络安全领域范式转变有所了解。

2010年

震⽹

“震⽹”是⼀种由美国和以⾊列联合研发的计算机蠕⾍病毒，⽬的在于破坏伊朗的核武器计划。

该蠕⾍病毒专门⽤于销毁伊朗在其核燃料浓缩过程中使⽤的SCADA设备。此次攻击成功破坏了伊朗多地的SCADA设

备。尽管在2010年以前国家之间会采取其他⼿段进⾏相互的⽹络攻击，但“震⽹”是第⼀个震惊世界的⽹络安全事件，从

单⼀的信息数据窃取到实际的物理设施的破坏，这标志着进⼊了⽹络战的新阶段。

极光⾏动——Google遭⿊客⼊侵

鲜为⼈知的是，即使是⽹络巨头的Google也曾遭遇后端基础设施的⽹络攻击。这是后来被称为“极光⾏动”的⽹络安全事

件，遭受攻击的除了Google外，还有20多家公司，其中包括AdobeSystems、JuniperNetworks、Rackspace、雅虎、

赛门铁克、诺斯洛普·格鲁门和陶⽒化⼯等。“极光⾏动”攻击实际发⽣在2000年代，但是在2010年初才被发现。

“新闻稿”⿊客

在2010年⾄2015年之间，⼀组织五名东欧男⼦⼊侵了⼏家新闻通讯社并窃取了即将发布的新闻稿。该组织利⽤他们获

得的内幕信息来预测股市的变化，并进⾏了净赚超过1亿美元的交易。美国司法部（DOJ）和美国证券交易委员会

（SEC）得知后于2016年开始严厉打击该组织成员。

2011年

LulzSec和“LulzSec的50天”

LulzSec组织对如今⿊客活动的影响不容忽视。该组织喜欢⼊侵知名公司，然后在互联⽹上炫耀⾃⼰的成就。他们开展

“LulzSec的50天”活动以及进⾏其他攻击⾏为，如今也有⼀群模仿LulzSec吸引眼球的的⿊客团体，例如蜥蜴队，新世界

⿊客，TeaMp0isoN，CWA等。但是，LulzSec仍然是其他⼈中的佼佼者，这主要是因为它们攻击的对象较为知名，⽐

如Fox，HBGary，PBS，CIA和Sony等。

DigiNotar⿊客事件改变了浏览器的发展

DigiNotar⿊客事件是2011年以来鲜为⼈知的事件，最终改善了浏览器、证书颁发机构（CA）和互联⽹的⼯作⽅式。

2011年，⼈们发现伊朗⿊客⼊侵了荷兰CA供应商DigiNotar，并使⽤其设备来发⾏SSL伪造证书，包括Google和Gmail

在内的流⾏⽹站。然后，伊朗⿊客利⽤证书拦截了加密的HTTPS流量，并监视了30多万名伊朗⼈。

⼀项调查揭露了这家荷兰公司的令⼈震惊的安全事件和商业⾏为，它发⾏的证书被众多浏览器开发商和操作系统开发商

宣布为“不受信任”。这次⿊客攻击使Google，浏览器制造商和其他科技巨头更为警惕，随后对颁发SSL/TLS证书的整

个过程进⾏了全⾯改⾰。DigiNotar⿊客事件之后制定的许多程序沿⽤⾄今。

索尼PlayStation⿊客和⼤规模断⽹

在2011年春季，索尼宣布⿊客窃取了7700万PlayStation⽹络⽤户的详细信息，其中包括个⼈⾝份信息和财务详细信

息。如今，这个数字似乎微不⾜道，但是在当时这是世界上最⼤的⿊客事件之⼀。

息。如今，这个数字似乎微不⾜道，但是在当时这是世界上最⼤的⿊客事件之⼀。

对于索尼来说，这次事件是灾难性事件。为了⼯程师能够修复安全漏洞，该公司不得不关闭PlayStation⽹络，时长达23

天。迄今为⽌，这仍然是PSN历史上最长的⼀次修复期。该公司由于断⽹⽽亏损。但安全事件接踵⽽来，⼀些⽤户开始

注意到信⽤卡欺诈之后，提起了集体诉讼。然后，该公司为⽤户提供⼤量免费的PlayStation3游戏重新吸引客户，但这

让他们损失更多。

索尼PSN2011⿊客事件引⼈注⽬，是因为它表明，如果⼀家公司没有适当的安全投资，⿊客可能造成的损失远远是你

所⽆法想象的。另外⼀个原因在于，从它之后开始出现⼀种趋势，即公司开始新增服务条款，迫使⽤户在安全事件后放

弃其提起诉讼的权利。索尼并不是第⼀个使⽤这样的条款的⼈，但是从那之后开始流⾏起来，许多其他公司也添加了类

似的条款。

2012年

Shamoon及其破坏⼒

Shamoon（也称为DistTrack）源⾃伊朗，是⼀种恶意软件，可以认为是两年前震⽹攻击的直接结果。伊朗掌握了破坏

性恶意软件的第⼀⼿资料后，创建了⾃⼰的“⽹络武器”，该⽹络武器于2012年⾸次部署。

该恶意软件主要⽤于清除数据，Shamoon摧毁了沙特阿拉伯国家⽯油公司沙特阿美⽹络上的35,000多个⼯作站，使该

公司瘫痪了数周之久。当时有报道称，沙特阿美尽可能地购买了世界上⼤部分硬盘，⽤来替换被感染的PC机群。尽管

供应商努⼒满⾜市场需求，但这依然导致了硬盘驱动的价格上涨。

随后⼏年发现了该恶意软件的变体，主要部署在活跃的或与⽯油和天然⽓⾏业相关的公司中。

Flame-有史以来最复杂的恶意软件

卡巴斯基（Kaspersky）发现了Flame恶意软件，与EquationGroup（美国国家安全局的代号）有关。Flame被认为是

有史以来最先进、最复杂的恶意软件。

当卡巴斯基在2014年两年后找到Regin（恶意软件）时，虽然更复杂的恶意软件已经出现，但Flame的发现揭⽰了美国

⽹络武库与其他国家组织使⽤的⼯具之间的技术和能⼒差距。

《华盛顿时报》随后的报道称，Flame和震⽹⼀样，属于同⼀批⿊客⼯具，主要是针对伊朗部署的。此后⼀直未发现该

恶意软件，但它仍被认为是当今世界范围内⽹络间谍活动的重点防范对象。

2013年

斯诺登事件

斯诺登泄密事件可能是⼗年来最重要的⽹络安全事件。该事件暴露了美国及其“五眼联盟”在911袭击后建⽴的全球监视

⽹络。

斯诺登事件使俄罗斯和伊朗等国家纷纷成⽴⾃⼰的监视部门，并加强了外国情报收集⼯作，从⽽导致整个⽹络间谍活动

的增加。

⽬前，许多国家乐于吹捧诸如“国家互联⽹”或“互联⽹主权”之类的概念，以合理化对其公民的监视和⽹络的审查。这⼀切

都始于2013年斯诺登向全世界揭露了国家安全局的⿊幕。

Target⿊客

2013年12⽉，零售业巨头Target承认POS系统中植⼊的恶意软件已帮助⿊客收集了⼤约4000万⽤户的⽀付卡详细信

息，这使得POS恶意软件⼀词为⼈知晓。

以前曾发⽣过POS恶意软件的事件，但这是⼤型零售商⾸次数据泄露规模如此之⼤。其他零售商将在接下来的⼏年中紧

随其后，通过持续的报道，全世界将发现⿊客如何在称为“卡店”的⽹站上交易被盗卡，以创建克隆卡和空⽤户的银⾏帐

随其后，通过持续的报道，全世界将发现⿊客如何在称为“卡店”的⽹站上交易被盗卡，以创建克隆卡和空⽤户的银⾏帐

户。

Adobe攻击

2013年11⽉，Adobe承认⿊客窃取了超过1.53亿⽤户的数据。数据被在线转储，⽤户密码⼏乎被⽴即破解并恢复为纯⽂

本格式。多年来，此事件敦促着⼈们采⽤强密码哈希功能。

“丝绸之路”的取缔

由Tor托管的⽤于销售⾮法产品的暗⽹市场“丝绸之路”于2013年被取缔，这是对暗⽹市场的⾸次打击案例。这向世界证

明了法⽹恢恢，疏⽽不漏。“丝绸之路”倒台后，其他暗⽹市场如⾬后春笋般冒出，但都存活不长。他们中的⼤多数要么

⾃动消失（管理员卷钱跑路），要么就是被执法部门取缔。

HaveIBeenPwned?

“HaveIBeenPwned?”⽹站于2013年12⽉启动，其成⽴理念是为⽤户提供⼀种简单的⽅法来检查他们是否受Adobe数

据泄露的影响，如今它已成为⼀个⾃⼰的品牌。

该⽹站允许⽤户查看其⽤户名或电⼦邮件是否包含在泄露的数据中。⽬前，该⽹站包含来⾃410多个被⿊客⼊侵过的⽹

站的数据库，以及超过90亿个帐户的信息。这个⽹站部署在Firefox，密码管理器、公司后端，甚⾄某些政府系统中。该

⽹站由澳⼤利亚安全专家TroyHunt管理，为改善全球组织的安全状况做出了巨⼤贡献。

2014年

⼊侵索尼的朝鲜⿊客

2014年索尼影视娱乐公司被⿊客⼊侵，朝鲜⿊客⾸次曝光，⽽且为⼈所知的是，他们还很擅长⿊客⼊侵技术。发动此次

攻击的⿊客⾃称“和平卫⼠”（后来被称为LazarusSquad），他们与朝鲜的情报机构有关。

⿊客⼊侵的⽬的是迫使制⽚公司放弃发⾏⼀部名为《刺杀⾦正恩》的电影，这部喜剧⽚讲述了对朝鲜领导⼈⾦正恩的暗

杀阴谋。⿊客破坏了公司的内部⽹络，并在⽹上泄露了数据和私⼈电⼦邮件。

索尼事件仅仅是由⼩规模的⿊客发起的，但这让世界上的⽹络安全公司了解到朝鲜的⿊客能⼒，并在接下来的⼏年中针

对许多其他安全事件提倡学习朝鲜⿊客的洞察⼒来做好⽹络安全防护。

在此事件发⽣之前，朝鲜⿊客主要⼊侵其南部居民。继奥巴马总统实施⿊客攻击和制裁之后，他们的⿊客攻击活动遍及

全球，朝鲜成为当今最活跃的⽹络间谍和⽹络犯罪参与者之⼀。

Celebgate

迄今为⽌，⽹络安全公司以Celebgate（也称为TheFappening）为例进⾏鱼叉式⽹络钓鱼的课程训练，并且告诉员⼯

当⽤户不注意密码重置电⼦邮件的有效性时产⽣的后果。

早在2014年，少数⿊客发送了针对名⼈的虚假密码重置电⼦邮件，诱骗明星在钓鱼⽹站上输⼊Gmail或iCloud密码。⿊

客使⽤这些凭据访问帐户，查找⾊情或裸露的图⽚和视频，然后在⽹上传播。其他“Fappening”浪潮在之后的⼏年也有

发⽣，但是⾸次事件发⽣在2014年夏天。

Carbanak组织⼊侵银⾏

多年来，专家和⽤户都认为，寻求⾦钱的⿊客通常会盯着消费者、商店零售商或公司。然⽽，关于Carbanak（也称为

Anunak或FIN7）的报告表明⾸次发现直接从银⾏盗取⾦钱的⿊客组织。

卡巴斯基实验室（KasperskyLab），Fox-IT和Group-IB的报告显⽰，Carbanak组织⾮常先进，它可以渗透银⾏的内部

⽹络，隐藏数周或数⽉，然后通过SWIFT银⾏交易或协调的ATM提款。据统计，该组织总共从被⿊的银⾏中窃取超过

10亿美元，是迄今为⽌窃取⾦额数量最⾼的⿊客组织。

⼊侵

并不是世界上第⼀个被⿊客⼊侵的加密货币交易所，但它⾄今仍是加密货币⽣态系统中最⼤的⽹络攻击受害

者。然⽽，发动攻击的⿊客却依然是个谜，在2014年初，85万个⽐特币被盗，如今价值已超过63亿美元。当时，Mt.

Gox是世界上最⼤的加密货币交易所。

发⽣此事件后，⿊客意识到他们可以通过交易平台来赚取巨额利润，因为和传统的银⾏相⽐，其安全保护能⼒较弱。在

随后的⼏年中，⼜发⽣了数以百计的类似的⿊客事件，但仍旧是引发此类事件⼤幅增加的主因。

PhineasFisher

2014年夏天，⿊客主义者PhineasFisher⾸次曝光，他喜欢⼊侵从事间谍软件和监视⼯具⽣产的公司。他在2014年⼊侵

了GhackGroup，在2015年⼊侵了GammaGroup。他还在⽹上公布了从这两家公司获取的间谍软件⼯具的内部⽂档和

源代码，甚⾄是⼀些0day漏洞。

Phineas公布的⽂件和代码暴露了公司向世界各国政府出售间谍软件和监视⼯具的⿊幕。虽然说有⼀些⼯具可以⽤来抓

捕罪犯，但其中有⼀些是与专制政权有关的，这些专制政权领袖⽤间谍软件来监视持不同政见者、新闻记者和政治反对

派。

Heartbleed

OpenSSL中的Heartbleed漏洞是罕见的安全漏洞之⼀。攻击者可以利⽤该漏洞从公共服务器检索加密密钥，这些密钥

可⽤于解密流量或在安全性差的系统上进⾏⾝份验证。

该漏洞在公开披露后的⼏天内就被利⽤，并从2014年以后引发了⼀系列⿊客攻击。尽管反复警告，⼀些服务器运营商仍

未及时修补其OpenSSL漏洞。在公开披露之时，约有50万台互联⽹服务器易受攻击，⽽有些⼀旦遭到⼊侵则需要花费

数年来修复。

2015年

AshleyMadison数据泄露

在过去的⼗年中，有成千上万的数据泄露事件，若提及最为重要的数据泄露事件，当选AshleyMadison数据泄露事件。

该事件发⽣在2015年7⽉，当时⼀个⾃称为Impact团队的⿊客组织发布了AshleyMadison的内部数据库，Ashley

Madison是⼀家专门为已婚⼈⼠提供交友、约会服务的社交⽹站。

如今，⼤多数泄露的是⽤户在⼆⼗⼀世纪初注册的⽤户名和密码，⽤户⾃⼰甚⾄都已经不记得了。但AshleyMadison数

据泄露事件的影响却远不⽌于此，该事件泄露了很多⼈的隐私。

在该⽹站上注册的⽤户⾯临勒索威胁，甚⾄有⽤户因为数据被公开后⾃杀。这是少数直接导致⼈们死亡的⽹络安全事件

之⼀。

Anthem和OPM⿊客

两种⿊客⼊侵事件均在2015年曝光，Anthem发⽣在2⽉，美国⼈事管理办公室（OPM）事件发⽣在6⽉。⿊客从

Anthem窃取了7880万条医疗记录，窃取了美国政府⼯作⼈员的2150万条记录。

SIM卡交换

SIM交换是⼀种策略，在这种策略中，⿊客致电移动电信公司并诱使移动运营商将受害者的电话号码转移到攻击者控制

的SIM卡上。关于⾸次使⽤SIM交换的攻击报道可追溯到2015年。最初，⿊客利⽤SIM交换攻击重置社交媒体帐户上的

密码，劫持受欢迎的⽤户名并在⽹上转售。

密码，劫持受欢迎的⽤户名并在⽹上转售。

后来⿊客逐渐意识到，他们还可以使⽤该技术来访问加密货币或银⾏帐户，从⽽从中窃取⼤量资⾦，SIM卡交换攻击变

得越来越流⾏。从那时起，这项技术变得越来越普遍，由于美国电信公司同意⽤户在不亲⾃到店的情况下迁移⽤户的电

话号码，因此相⽐于世界上⼤部分地区⽽⾔，最容易受到攻击。

DD4BC和Armada组织

2015年也是DDoS勒索流⾏的⼀年。该技术是由DD4BC⼩组⾸创并⼴泛传播，该组织将电⼦邮件发送给以⽐特币付款

的公司，否则他们将通过DDoS攻击来攻击公司的基础设施并破坏关键服务。

欧洲刑警于2016年初逮捕了这个组织的成员，但是DD4BC的作案⼿法被⼀个⾃称为ArmadaCollective的组织抄袭，于

是这种做法传播得更为普遍。DD4BC和ArmadaCollective在2015和2016年⾸次使⽤的策略⾄今仍在使⽤，这是当今许

多DDoS攻击的核⼼，并且让某些攻击⽬标进⼊修复期。

乌克兰电⽹⼊侵

2015年12⽉，⿊客对乌克兰电⽹的⽹络攻击造成了乌克兰西部⼤规模停电，这是有史以来⾸次成功利⽤⽹络操控电⽹

的案例。

在此次攻击中，⿊客使⽤了⼀种名为BlackEnergy的恶意软件，第⼆年（2016年12⽉）⼜进⾏了类似的攻击。甚⾄在

第⼆次攻击中使⽤了⼀种更复杂的恶意软件，称为Industroyer，使乌克兰⾸都五分之⼀居民缺乏电源供应。

虽然震⽹和Shamoon是针对⼯业⽬标的⾸批⽹络攻击，但乌克兰的两起事件却是影响普通⼤众的⾸例，使⼈们了解到

⽹络攻击可能对⼀个国家的关键基础设施构成的危险。

在俄罗斯于2014年初⼊侵克⾥⽶亚半岛之后，这两次攻击只是俄罗斯⿊客针对乌克兰进⾏⼀系列⿊客攻击的序幕。其他

⽹络安全事件包括2017年的NotPetya和BadRabbit勒索软件逐渐爆发。

攻击背后的组织被称为“沙⾍”，被认为是俄罗斯军事情报机构的⼀部分。由在线安全编辑AndyGreenberg撰写的

《Sandworm》⼀书详细地介绍了该组织的⿊客⾏为。

2016年

孟加拉银⾏⽹络抢劫

2016年2⽉，⿊客企图从孟加拉国⼀家银⾏窃取10亿美元，但因打字错误，最终只窃取8100万美元。

最初，⼤家以为这是⼀个⼊侵技术较为拙劣的⿊客，但后来发现，这是朝鲜的精英⿊客发动的，他们是企图进⾏⽹络抢

劫的幕后⿊⼿。总体⽽⾔，孟加拉银⾏的⿊客活动对银⾏业产⽣了巨⼤影响。⿊客⼊侵导致SWIFT（⽤于在不同银⾏之

间转移资⾦的国际交易系统）进⾏了全⾯的安全更新。其次，SWIFT组织还禁⽌朝鲜使⽤其系统，这⼀决定影响深远。

这两个决定共同推动平壤的⿊客们将⽬标转向加密货币交易所，据称他们从那⾥窃取了数亿美元的资⾦，随后朝鲜政府

⽤这笔钱来筹备其核武器计划。

巴拿马⽂件

2016年4⽉，⼀个知名调查记者团队发布了名为《巴拿马⽂件》的⼴泛⼤篇幅报道，这些报道揭露了包括商⼈，名⼈和

政治⼈物在内的世界上的富⼈们如何利⽤避税港的特权来逃税。

此次报道被认为在同类事件中影响最⼤，⽽⽂章素材主要来⾃巴拿马的MossackFonca律师事务所。虽然记者说他们

收到的是匿名数据，但许多⼈认为是⿊客利⽤WordPress和Drupal⽹站中的漏洞访问事务所内部⽹络⽽窃取的数据。

DNC⿊客

在2016年春季，民主党全国委员会承认遭受⿊客⼊侵，因⾃称为Guccifer2.0开始发布从该组织服务器窃取的电⼦邮件

和⽂档。通过电⼦取证，后来发现DNC不仅只被⼀个⿊客⼊侵，⽽是两个俄罗斯⽹络间谍组织，即Fancy

Bear（APT28）和CozyBear（APT29）。

⿊客⼊侵期间窃取的数据是⽤于精⼼策划的情报⾏动，⽬的是影响即将举⾏的美国总统⼤选。很难判定整个事情成功与

否，但也有⼈认为是成功的。⿊客⼊侵时常发⽣，常常是⼀波未平⼀波⼜起。

雅虎数据泄露公之于众

2016年对雅虎来说是极其糟糕的⼀年。该公司在四个⽉的时间⾥宣布了两起数据泄露事件，包括后来证明是互联⽹历史

上最⼤的⼀起数据泄露事件。

两起事件以⼀种奇怪的⽅式相互关联。以下是事件发⽣的时间线：

2016年7⽉，⼀名⿊客开始在暗⽹上出售Yahoo⽤户数据。

2016年9⽉，雅虎在调查⿊客售卖⽤户数据是否属实时，发现并披露了2014年发⽣的⼀起数据泄露事件，该事件波及了

5亿⽤户。

雅虎将这⼀泄密⾏为归咎于“国家⿊客”，最终证明确实如此。2017年，美国当局指控是俄罗斯政府要求⿊客⼊侵了雅虎

的⽹络。

具有讽刺意味的是，在调查2014年的数据泄露事件时，雅虎还追踪到在暗⽹上出售的⽤户数据的来源。

这可以追溯到2013年的⼀次安全漏洞，最初雅虎表⽰该漏洞影响了10亿⽤户。2017年，雅虎将数据更新为30亿，成为

有史以来影响范围最⼤的数据泄露事件。

数据泄露年（Peace_of_mind）

雅虎的两次泄密事件只是2016年公开的少数泄密事件中的⼀部分，但是2016年却可以被称为“数据泄露年”。在这⼀年，

受到新旧漏洞影响的公司包括：

Twitter，LinkedIn，Dropbox，MySpace，Tumblr，，，，，AdultFriendFinder，B

adoo，QIP等。

暴露了超过22亿条⽤户记录，并且⼤多数记录都在⿊客论坛和⿊暗的⽹络市场上出售。⼤多数泄密是因为

Peace_of_Mind，Tessa88和LeakedSource等数据贩⼦才被发现的。

影⼦经纪⼈

在2016年8⽉⾄2017年4⽉之间，⼀群⾃称“影⼦经纪⼈”的⿊客在⽹上调侃，拍卖甚⾄公布了由EquationGroup（美国国

家安全局（NSA）的代号）开发的⽹络攻击⼯具。

这些⽹络攻击⼯具极其先进，⼀经公布便掀起轩然⼤波。最后⼀次影⼦经纪⼈泄漏⼯具后的⼀个⽉，其中⼀种⼯具（利

⽤MicrosoftSMB协议漏洞，称为永恒之蓝）成为驱动WannaCry全球勒索软件爆发的主要引擎。时⾄今⽇，影⼦经纪⼈

的幕后⿊⼿依然没有找到。

Mirai与物联⽹的噩梦

2016年9⽉上旬⼀篇博客⽂章介绍了Mirai，这是⼀种Linux恶意软件，⽤于⼊侵路由器和智能物联⽹设备。在未来三个

⽉内，⿊客利⽤Mirai发起⼀些⼤规模的DDoS攻击后，它成为世界上最著名的恶意软件之⼀。

Mirai的源代码在⽹上公开，是当今最⼴泛的恶意软件家族之⼀。⼤多数IoT/DDoS僵⼫⽹络是基于Mirai的源代码开发

出来的。Mirai让⼈们开始关注物联⽹安全。

2017年

2017年

极光⾏动——Google遭⿊客⼊侵

鲜为⼈知的是，即使是⽹络巨头的Google也曾遭遇后端基础设施的⽹络攻击。这是后来被称为“极光⾏动”的⽹络安全事

件，遭受攻击的除了Google外，还有20多家公司，其中包括AdobeSystems、JuniperNetworks、Rackspace、雅虎、

赛门铁克、诺斯洛普·格鲁门和陶⽒化⼯等。“极光⾏动”攻击实际发⽣在2000年代，但是在2010年初才被发现。

三起勒索软件爆发

提及2017年的勒索软件爆发事件，其中三起不得不提，包括五⽉中旬爆发的WannaCry，六⽉下旬爆发的NotPetya和⼗

⽉下旬爆发的BadRabbit。这三种勒索软件都是政府⽀持⿊客开发的，却是出于不同的原因。

WannaCry由朝鲜⿊客开发，旨在感染公司并勒索赎⾦，这是为受制裁的平壤政权筹集资⾦做准备，⽽NotPetya和Bad

Rabbit是被⽤来破坏乌克兰业务的⽹络武器，是俄罗斯和乌克兰之间冲突下的成果。

这些组织并没有料想到会引发全球勒索软件的爆发。但问题在于，他们利⽤影⼦经纪⼈之前公布的永恒之蓝，在当时他

们并不是⾮常了解这个漏洞，⽽这种勒索软件的危害也让开发者始料未及。

具有讽刺意味的是，尽管NotPetya和BadRabbit是由俄罗斯开发，但最终给俄罗斯企业造成的损失是最⼤的。

Vault7数据泄漏

Vault7事件是维基解密较为正⾯的⼀次数据泄露。它是⼀批描述中央情报局⽹络武器的⽂件。Vault7从未包含任何源代

码。但是，这次泄漏使⼈们对CIA的技术能⼒有所了解，其中包括⽤于⼊侵iPhone、计算机操作系统、主流浏览器、甚

⾄是智能电视的⼯具。当时，维基解密表⽰它从举报⼈那⾥收到了Vault7数据宝库，后来披露该举报⼈名为Joshua

AdamSchulte。

MongoDB启⽰录

往常来说，系统管理员对于暴露在⽹上的数据库不设密码。在2017年⿊客开始将⽬光转向这样的公司了。MongoDB启

⽰录，始于2016年12⽉下旬，但于次年⼀⽉开始激增，⿊客访问数据库，删除内容并留下赎⾦记录，要求使⽤加密货

币才返还（不存在）数据。

第⼀波攻击针对的是MongoDB服务器，但后来⿊客⼜扩展到其他数据库技术，例如

MySQL，Cassandra，Hadoop，Elasticarch，PostgreSQL等。到年底，攻击逐渐减少，但新的问题接踵⽽⾄，即配

置错误的数据库依然在⽹上不受保护。

2017年年底，⼀类新的安全研究⼈员产⽣，称为“漏洞搜寻者”，即那些寻找开放数据库并联系泄密企业的群体，让企业

知道他们的敏感信息已经被泄露了。在随后的⼏年中，⼤多数安全漏洞和数据泄露事件是由“漏洞搜寻者”发现的，⽽不

是⿊客在⼊侵后将其数据公开⽽得知。

Equifax数据泄露

2017年的⿊客从Equifax公司的系统中窃取了超过1.455亿美国⼈，英国⼈和加拿⼤⼈的个⼈详细信息。但⾄今Equifax

⿊客仍然是个谜。

尽管进⾏了事后调查，并且知道是因为公司未能修复服务器严重漏洞引起的，但仍然不可知的是⼊侵的幕后⿊⼿及其动

机。⽆论是谁攻击了美国三⼤消费者信⽤报告机构之⼀的都可以跻⾝⼗年榜单。

加密劫持

加密劫持的兴衰可以直接与Coinhive相关联。Coinhive是⼀项⽹络服务，可以通过Java挖掘加密货币，并可以作为⼀个

⽂件添加到任何⽹站。

⿊客组织将密码劫持脚本放置在可以运⾏Java的任何位置，⽐如感染⽹站、视频游戏模块、路由器控制⾯板、浏览器扩

展等。

展等。

从2017年9⽉到2019年3⽉，Coinhive关闭，加密劫持（也称为偷渡挖矿）依然是互联⽹⽤户的祸害，减慢了浏览器的

速度，并导致了CPU使⽤率的增长，即使该技术并⾮特别有利可图。

2018年

CambridgeAnalytica和Facebook失宠

2018年之前，⼤多数对Facebook有意见的⼈经常抱怨其时间轴算法会将朋友的帖⼦埋在⽆⽤的信息堆⾥或缓慢加载的

UI之下。CambridgeAnalytica事件发⽣在2018年初，这也揭露了⼈们讨厌社交⽹络及其囤积数据做法的真实原因。这

起丑闻只是未来⼏个⽉内发⽣的众多丑闻之⼀，揭露了数据分析公司如何滥⽤Facebook容易获取的⽤户数据来创建个

⼈资料，然后将其出售给政党，以影响公众舆论和操纵选举。

在许多⼈看来，Facebook已经从和朋友保持联系的地⽅变成了充斥着伪装成互联⽹模式的政治宣传和伪装成新闻报道

的虚假信息的地⽅。

Meltdown，Spectre和CPU侧通道攻击

Meltdown和Spectre漏洞的详细信息于2018年1⽉2⽇⾸次公开，它们暴露了⼤多数CPU的硬件中存在的⼀个问题，该

问题可能使⿊客能够窃取CPU内部当前正在运⾏的数据。

尽管这两个漏洞并不是最容易利⽤的漏洞，也没有任何攻击报告，但Meltdown＆Spectre暴露了⼀个事实，即许多CPU

制造商以数据安全换取速度和性能。即使有⼈仍然将这两个漏洞称为“特技⿊客”，他们从根本上改变了如今的CPU设计

和制造⽅式。

Magecart成为主流

⾃2016年以来就发⽣了Magecart攻击（也称为⽹络掠夺或电⼦掠夺），但到2018年，攻击愈演愈烈，英国航空公司、

Newegg、Inbenta等纷纷报告了Magecart引⼈注⽬的⿊客攻击。

这些攻击背后的原理很简单，但费解的是为何花了这么多年才流⾏。⿊客会破坏⽹上商店，并留下记录⽀付卡信息的恶

意代码，然后将这些信息发送回攻击者的服务器。

最初的Magecart攻击已经出现了⼏种变体，但⾃2018年初以来，Magecart攻击⽆疑是当今最严重的⽹络威胁之⼀，并

⼀直在困扰⽹购者，许多⼈⽆法辨别⽹店安全与否。

除了ATM分离和POS恶意软件外，Magecart攻击是当今⽹络犯罪分⼦获取⼈们财务数据的主要⽅法。

万豪酒店数据泄露

虽然不及雅虎的30亿美元那么⼤，但由于其庞⼤的规模，万豪数据泄露事件也受到了⼈们的关注。该漏洞于2018年11

⽉披露，影响了超过5亿客户，该公司在完成调查后的⼏个⽉后将这⼀数字降低到3.83亿。就像在⼤多数情况下⼀样，

事后分析显⽰，⽤普通的技术和⼯具就破坏了公司的⽹络，⽽这些⼿段本来可以很容易地发现和预防的。

2019年

“Biggamehunting”勒索软件

尽管勒索软件在2010年以来⼀直存在，但新型勒索软件”Biggamehunting”在2019年尤其活跃。

“Biggamehunting”是指攻击者仅针对⼤型⽬标（例如公司⽹络）⽽不是针对像家庭⽤户那样⼩规模群体研发的勒索软

件。⿊客可以向⽬标企业索取更多资⾦，⽽不仅是损失⽤户信息。

“Biggamehunting”⼀词是CrowdStrike在2018年提出的，⽤于描述⼏个勒索软件帮派的策略，⽬前从事该策略的团体数

“Biggamehunting”⼀词是CrowdStrike在2018年提出的，⽤于描述⼏个勒索软件帮派的策略，⽬前从事该策略的团体数

量已超过⼗个。

“Biggamehunting”勒索软件攻击在2019年激增，攻击最多的是托管服务提供商，美国学校，美国地⽅政府，最近⼜转

移到了欧洲的⼤型公司。

Gnosticplayers

在2019年成名的⿊客是Gnosticplayers，他模仿2016年的Peace_of_Mind和Tessa88的作案⼿法，⼊侵了公司，并开始

在⿊暗的⽹络市场上出售其数据。

Gnosticplayers影响的公司包括Canva，Gfycat，500px，Evite等。⿊客声称总共为超过45起⼊侵事件和数据泄露负

责，影响了超过10亿⽤户。

CapitalOne数据泄露

2019年7⽉披露的CapitalOne事件影响超过1亿的美国⼈和600万的加拿⼤⼈。

通过该漏洞泄露的数据并未在⽹上公开共享，因此，⼤多数数据被盗的⽤户很可能是安全的，但是该事件依然为⼈关

注。⼀项调查显⽰，事件背后的⿊客嫌疑⼈是⼀名前AmazonWebServices员⼯，被指控⾮法访问CapitalOne的AWS

服务器检索数据以及其他30家公司的数据。

调查仍在进⾏中，如果事实确实如此，则会为组织引⼊新的威胁类别，即为供应链提供商⼯作的恶意内部⼈员。

免责声明：本⽂章仅代表作者个⼈观点，与⽯化⾏业⾛出去联盟⽆关。其原创性以及⽂中陈述⽂字和内容未经联盟证

实，对本⽂以及其中全部或者部分内容的真实性、完整性、及时性⽯化⾏业⾛出去联盟不作任何保证或承诺，请读者仅

作参考，并请⾃⾏核实相关内容。