澳大利亚正遭受严重的国营 “网络攻击”——Microsoft, Citrix, Telerik UI 漏洞被 “利用”

澳大利亚总理Scott Morrison召开了一次紧急新闻发布会，披露该国正受到一个国家行为者的网络攻击，但该国的信息安全咨询机构表示，尽管攻击者已经获得了一些系统的访问权限，但并未“在受害者环境中进行任何破坏性或破坏性活动”。

Morrison说，这次袭击针对的是政府、关键基础设施和私营部门，而且非常严重，他采取了在危机中礼貌但非强制性的步骤，将事件告知反对派领导人。他还表示，此次紧急新闻发布会的主要目的是向澳大利亚人宣传和教育这一事件。

但Morrison 拒绝说明澳大利亚国防机构是否已经确定了袭击的来源，并表示迄今收集的证据不符合政府确定袭击者姓名的门槛。

他也没有详细说明攻击的影响，只是说他没有收到关于攻击导致个人信息严重泄露的建议。他还说，这次袭击并不完全是新的，类似的袭击还在继续，这是意料之中的。他没有详细说明在这次活动或事件中有没有新的高峰。

澳大利亚的网络防御咨询机构——澳大利亚网络安全中心(ACSC)发布了一份名为“针对多个澳大利亚网络的复制粘贴妥协策略、技术和程序”的咨询报告，报告中提供了很多细节。

该文件的意见包括“在调查期间，ACSC没有发现该行为者在受害者环境中进行任何破坏或破坏活动的意图。”

还揭示了攻击开始于“初始访问媒介的数量，最普遍的是利用面向公众的基础设施——主要是通过在未打补丁的Telerik用户界面版本中使用远程代码执行漏洞。”

该参与者利用的面向公众的基础架构中的其他漏洞包括利用微软互联网信息服务(IIS)中的沙漠化漏洞、2019年SharePoint漏洞和2019年Citrix漏洞。

ACSC表示，对面向公众的基础设施的攻击没有成功，因此攻击者转而使用鱼叉式网络钓鱼，并获得了一些系统的访问权限。

“在与受害者网络互动的过程中，该行为者被认定利用受到危害的合法澳大利亚网站作为指挥和控制服务器，”该顾问说。“首先，指挥和控制是使用网络外壳和HTTP/HTTPS流量进行的。这种技术使得地理阻断变得无效，并在调查期间增加了恶意网络流量的合法性。”

在调查结束后，ACSC的建议是修补面向互联网的一切，对电子邮件、远程桌面、虚拟专用网络和协作平台采用多种多样的方法，遵循澳大利亚政府以前的安全建议，并启用详细的日志记录来帮助区分未来的攻击。