石油巨頭沙特阿美發生數據泄露：1TB數據在暗網兜售

攻擊者從沙特阿美石油公司盜竊1TB專有數據，開價500萬美元在暗網上出售;

具體數據包括近1.5萬名員工的個人信息、多個煉油廠內部系統項目文件、客戶名單與合同等;

沙特阿美將此次數據泄露歸因于第三方承包商，并表示事件未對公司的日常運營造成影響。

攻擊者從沙特阿美石油公司盜竊1TB專有數據，并在暗網上出售。

沙特阿拉伯石油公司，又稱沙特阿美，是世界上規模最大的石油與天然氣上市企業之一。

這家石油巨頭擁有66000多名員工，年收入近2300億美元。

名為ZeroZ的惡意團伙為這批數據開價500萬美元，并表示還可以協商。

沙特阿美已經將此次數據泄露歸因于第三方承包商，并在采訪中強調，事件本身并未對公司的日常運營造成影響。

利用“零日漏洞”入侵目標網絡

就在本月，ZeroZ惡意團伙開始在暗網上出售來自沙特阿美公司的1TB專有數據。

ZeroX宣稱，這些數據盜取自2020年一次對沙特阿美“網絡及服務器”的入侵行動。

因此，這批流出的文件最近日期為2020年，但也有一些可以追溯到1993年。

在我們詢問對方到底如何實現侵入時，該組織并未明確回應，只模糊地表示“利用到了零日漏洞”。

為了吸引潛在買家，攻擊者在今年6月首次通過數據泄露市場論壇發布了一組小規模樣本，其中包含阿美石油的建設藍圖以及對PII(個人身份信息)進行過編輯的專有文件：

帶有指向暗網泄露站點鏈接的論壇帖子

但在最初發布時，這個.onion泄露網站設置了時長662個小時的倒計時，約28天。在倒計時歸零后，銷售與談判將直接開始。

ZeroX在采訪中解釋道，之所以選擇“662個小時”，是想給沙特阿美設計一個“謎題”。但這背后的確切理由尚不明確：

惡意攻擊者宣布將在662個小時之后出售沙特阿美的泄露數據

該團伙還提到，這1 TB泄露數據包含延布、吉贊、吉達、拉塔努拉、利雅得及達蘭等多處城市的阿美煉油廠相關文件。

此外，數據內容還涵蓋：

1. 14254名員工的全部信息：姓名、照片、護照復印件、電子郵箱、電話號碼、居留許可(Iqama卡)號、職稱、身份證號碼、家庭信息等。

2. 包括/關于電力(供電)、建筑、工程、土木、施工管理、環境、機械、船舶、電信等系統的項目規范。

3. 內部分析報告、協議、函件、定價表等。

4. 網絡布局所映射的IP地址、Scada點、Wi-Fi接入點、IP攝像機以及物聯網設備等。

5. 位置圖與精確坐標。

6. 沙特阿美客戶名單、發票與合同。

發布在泄露站點上的沙特阿美數據與藍圖樣本

ZeroX已經對發布在泄露站點上的數據樣本進行了個人身份信息(PII)編輯，單這1GB樣本就開價2000美元，且要求買家以門羅幣(XMR)的形式支付。

同時，該團伙也向我們展示了另外一些未經編輯的近期文件，用于證明他們確實掌握著阿美石油的敏感信息。

全部1TB數據的打包集價為500萬美元，但ZeroX團伙表示具體價格還可以再談。

而如果要求以排他形式購買這批數據(即不僅獲取完整的1TB數據內容，同時要求ZeroX徹底擦除手頭的副本)，則價格預計將上揚至5000萬美元。

ZeroX還提到，他們截至目前已經與五位潛在買家保持著談判磋商。

并非勒索軟件攻擊

此前網上有消息稱，此次事件屬于“勒索軟件攻擊”，但實際情況并非如此。

攻擊者與沙特阿美雙方都向我們做出證實，強調這并不屬于勒索軟件攻擊。

沙特阿美稱，數據泄露影響到的是第三方承包商，攻擊者并未直接入侵阿美的系統。

“沙特阿美最近發現有一部分公司數據被泄露在網上，這批數量有限的數據為第三方承包商所持有。”阿美公司發言人還在采訪中表示，“我們已經確認，此次數據泄露并沒有對阿美的日常運營造成影響。公司繼續保持著良好的網絡安全防御態勢。”

攻擊者也確實嘗試聯系阿美公司并告知自己已經入侵成功，但并未得到任何回復、也沒有嘗試進行敲詐勒索。由此看來，前文提到的“倒計時”機制對于沙特阿美自身似乎沒什么作用。

所以根據分析，倒計時也許只是為了吸引潛在買家，用一點噱頭為自己的銷售工作造勢。

2012年，沙特阿美公司的系統曾經遭遇一輪重大數據泄露，30000多個計算機磁盤被全部清空。

據稱，此次通過Shamoon病毒實施的攻擊事件屬于網絡戰行為，且很可能與伊朗方面有關。

近期，科洛尼爾管道公司與美國最大丙烷供應商AmeriGas的紛紛落馬，再次給我們敲響了加強基礎設施網絡安全能力的警鐘。

參考來源：BleepingComputer.com

來源：互聯網安全內參