MOVEit漏洞堵不住 能源部2單位遭勒贖

國土安全部轄下網路安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency，CISA)日前表示，多個聯邦機構使用的文件傳輸軟體「MOVEit Transfer」存在漏洞，遭駭客利用勒索贖金。能源部發言人16日表示，該部門的核廢料設施、科學教育設施都收到勒索組織「Cl0p」的贖金要脅。

路透報導，遭到攻擊的是能源部承包商「Waste Isolation Pilot Plant」，這是家位於新墨西哥州的國防相關放射性核廢料處理廠；以及橡樹嶺大學聯盟(Oak Ridge Associated Universities)，該機構為能源部提供創新的科學技術解決方案。駭客透過「MOVEit Transfer」軟體的漏洞破壞這兩家承包商的系統，數據資料因此外洩。

能源部發言人證實駭客通過電郵向此二設施發出贖金請求，但沒有透露要求金額。「駭客是個別勒索這兩家設施，而不是以密件副本發送。收到贖金威脅的兩個設施沒有回應Cl0p，但也沒有跡象表明駭客撤回了贖金請求。」能源部已經向國會通報，也參與執法部門和CISA的調查。

CISA在15日雖說多個聯邦機構受到MOVEit漏洞攻擊，但未透露是哪些部門，僅補充聯邦民事部門沒有太大影響。

MOVEit開發商、麻州軟體公司Progress Software上個月發現其產品出現安全漏洞後已有一系列受害者，包括美國政府部門、英國電信監管機構、殼牌石油(Shell)等。分析人士認為未來幾周可能會出現更多受害者。

據信與俄羅斯有關的勒索組織「Cl0p」未回應評論請求，但在其網站上的一篇貼文中表示「我們沒有任何政府數據」，並說即使駭客無意中獲取此類數據，他們也會「禮貌地全部刪除」。

資安公司Recorded Future分析師利斯卡(Allan Liska)則說，Cl0p可能是故意大動作宣傳「他們會刪除政府數據」，以保護自己免受美國或他國政府調查。