红十字会称“国家资助的”黑客利用了未修补的漏洞

在星期三公布的一个更新中，红十字国际委员会确认最初的入侵可以追溯到2021年11月9日，在1月18日袭击之前的两个月，并补充说，其分析表明，入侵是对其系统的“高度复杂”的有针对性的攻击，而不是像红十字委员会最初所说的那样，对第三方承包商系统的攻击。

红十字国际委员会表示，它知道这次攻击的目标是“因为攻击者创造了专门用于在相关红十字国际委员会服务器上执行的代码”根据最新消息，攻击者使用的恶意软件旨在针对红十字委员会基础设施内的特定服务器。

黑客利用Zoho开发的单一登录工具中的已知但未修补的严重等级漏洞，进入了红十字国际委员会的网络。Zoho开发了基于网络的办公服务。该漏洞是美国网络安全和基础设施安全局（CISA）9月咨询的主题，该机构的CVSS严重性评分为9.8分（满分10分）。

据红十字国际委员会称，通过利用这一漏洞，未具名的国家资助的黑客随后放置网络外壳并进行攻击后活动，如泄露管理员凭据、在网络中移动以及过滤注册表和域文件。

红十字国际委员会说：“一旦进入我们的网络，黑客就能够部署攻击性的安全工具，使他们能够伪装成合法用户或管理员。这反过来又允许他们访问这些数据，尽管这些数据是加密的。”。红十字会补充说，没有确凿证据表明袭击中被盗的数据已被公布或正在交易，也没有提出赎金要求，但红十字会表示正在联系那些敏感信息可能已被访问的人。

红十字国际委员会表示，攻击发生时，目标服务器上的反恶意软件工具处于活动状态，并阻止了攻击者使用的一些恶意文件，但部署的大多数文件都是“专门设计的，以绕过”其反恶意软件保护。

红十字国际委员会指出，这些工具通常由高级持续威胁组织（APT）或国家支持的攻击者使用，但红十字会表示，尚未正式将袭击归咎于任何特定组织。一份帕洛阿尔托网络报告从2021年11月开始将同一漏洞的漏洞与中国政府资助的组织称为APT27。

由于网络攻击，红十字会表示，它不得不求助于使用电子表格来执行其重要工作，包括让因冲突或灾难而分离的家庭成员团聚。

红十字委员会总干事罗伯特·马尔迪尼在一份声明中说：“我们希望，这起针对弱势群体数据的攻击能够成为变革的催化剂。”。“我们现在将加强与国家和非国家行为者的接触，明确要求保护红十字与红新月运动的人道主义使命延伸到我们的数据资产和基础设施。

“我们认为，关键是要在言行上达成坚定的共识，即人道主义数据绝不能受到攻击。”