2021 年 5 月,黑客入侵了一家名为 Everis 的西班牙公司及其拉丁美洲子公司,本次入侵行动波及到数个重要数据集,包括北约云计算平台以及相关的源代码和文档。除了获得数据的副本外,黑客还声称已经删除了该公司的副本,并拥有植入后门和修改数据的权限。 黑客还试图敲诈Everis,并开玩笑说会将数据发送给俄罗斯情报部门。
该平台被称为北约面向服务的架构和身份访问管理(SOA 和 IdM)项目,是北约信息技术现代化工作的四个核心项目之一,该项目也称为北极星计划,旨在整合北约的信息技术基础设施。根据Everis和一份北约公开文件,SOA和IdM 将提供一个中央平台,提供安全、集成、注册和存储库、服务管理、信息发现和托管等信息服务。
招标文件中提到,SOA 和 IdM 平台将安装北约机密级别的数据中心,负责许多关键功能。在其他服务中,该平台将负责日志记录、安全、消息传递以及与其他服务的集成。北约通信和信息 (NCI) 机构北极星项目经理保罗·豪兰 (Paul Howland)称,该项目能够改变北约未来发展和部署作战服务的方式,能够通过较大程度的功能重用来推动创新和降低运营成本。
根据 Everis 网站报道,该项目合同金额高达1040万欧元,工作将于 2020 年 1 月开始。Everis 曾于 2019 年与北约合作,签署了一份网络安全合作协议,双方达成了快速双边交换与网络安全威胁相关的非机密技术信息的共识 。 Everis和北约的合作最早可以追溯到2017 年. 当时的 Everis 首席执行官 Els Blaton 提出,“数据是新的黄金,但是,如何处理所有这些数据是其中的关键一步”。他们建立了一个专业团队,可以为大型企业和机构推出网络安全战略。” 2017 年,Everis 还获得了一份价值 150 万欧元的合同,为下一代北约电子战发射器数据库提供服务。目前没有迹象表明这些过去的项目或信息交流受到本次入侵的影响。
据本次入侵的黑客称,他们是一群出于政治动机的黑客,他们对来自于Everis或NTT Data在拉丁美洲的子公司数据非常感兴趣。起初他们只是对这些数据和合同感兴趣,包括LATAM航空公司的清单记录,但在入侵的过程中,他们发现了无人机和防御系统的相关资料,因此他们对该公司进行了进一步的入侵。 这群黑客认为自己的行为既是支持北约也是反对北约的行为,因为如果是别的团队进行的入侵,很有可能对北约造成更大的损失。
黑客尝试勒索Everis,向其索要14500 XMR(当前价格约为301.6w美元),承诺不公布北约数据以及Everis与LATAM航空公司数据泄漏的关系。但Everis并没有支付赎金。 在最后,黑客暗示他们将对SOA和IdM软件进行一些修改,并对Everis不支付赎金的行为表示担忧,认为这样会导致客户的信息泄漏。
本次行动的勒索信全文如下:
Hola,chicos y chicas。
您可能想知道您的文件去了哪里。
我们先自我介绍一下。我们是一个出于政治动机的黑客团队,我们认为只用一个电脑键盘就可以参与全球地缘政治,这很棒。
我们最初只对你们哥伦比亚和智利子公司的数据感兴趣,但是当我们查看您的网站并看到一些诸如“无人系统”、“无人机”和“防御系统”之类的关键词时,我们您的网络中花费更多的一些时间,让我们能够获得更多重要数据。
这就是本次事件的起因。
无论如何,我们都会发布哥伦比亚和智利子公司的数据。
我们还给予您一个向以下地址慷慨捐赠14500 XMR的机会
(黑客的门罗币地址)
如果在接下来的 3 天内,您进行了捐赠,则“Everis”和“NTT Data”的名称将不会与此次泄漏相关联,您的公司将不会被涉及。
如果不进行捐赠,泄漏将包括来自公司其他部门的数据,并详细说明我们是多么容易闯入您的网络,甚至可能在您的这个项目中对NATO的项目进行一些攻击。
将要泄漏的数据包括所有相关的源代码、文档和项目规范,信息安全社区和公众根据这些信息能够判断您的工作质量。
另外我们还担心北约的数据中心会被别的黑客恶意篡改,因此我们将会删除整个项目来帮助北约组织防止他们的项目被篡改。
我们可以聊天,并愿意就我们在此地址提供的报价进行一些谈判:
(暗网地址)
您很可能需要 Tor 浏览器来访问此 URL,可以在此处下载:
https://www.torproject.org/download/
Con mucho amor,
Anonymous