瑞士IT提供商Xplain公司遭黑客攻击，国家敏感数据泄露在暗网上

今年春天，与大多数瑞士安全服务机构合作的瑞士IT服务提供商Xplain公司遭到了黑客攻击。接下来发展成一种典型的勒索软件攻击模式：内部系统瘫痪、数据被盗、索要赎金，然后，由于Xplain公司拒绝付款，黑客在暗网上发布了泄露的信息。6月初，黑客只发布了六个压缩文件，其中包含数千份文档，主要为来自Fedpol和几个州警察局执行的众多IT项目的数据：合同、技术规范等，总计近3GB；然后到了6月中旬，似乎所有被盗的信息都被放到了网上，即907GB，这是一个巨大的数据量。现在，来自瑞士联邦的超敏感信息现在可以在暗网上找到，那些意图伤害瑞士的居心不良的人很容易获得这些信息。

值得注意的是，Xplain公司是瑞士许多警察部队和安全联盟的IT服务提供商，特别是与联邦警察局、Fedpol和海关管理局合作。Xplain公司遭到黑客攻击导致大量超敏感数据在暗网上发布，影响了瑞士的国家安全。

据称勒索软件团伙”Play“是此次Xplain数据泄露事件的幕后黑手，”Play“是一个相当新的与俄罗斯相关联勒索软件团伙，在2022年发动了多次引人注目的攻击。该团伙因在加密受害者数据后添加扩展名“.play”而得名，其勒索信中通常包含“PLAY”一词。

“暂时”无法下载

上周日，瑞士国家网络安全中心（NCSC）告诉Keystone-ATS机构，这些数据已从暗网上消失。也就是它们已从当初发布的页面上删除，NCSC无法解释这种突然失踪的原因。NCSC时指出，“勒索软件团伙”Play“黑客组织于6月14日在暗网上发布了这些数据，此后暂时无法下载。我们不知道原因。”

这是一个重要的澄清：根据NCSC的说法，这些被盗的数据总量高达907GB，只是“暂时”消失了。联邦服务部门没有提供有关此事件的任何进一步细节。提供数据下载的地址很可能不再有效，这也可能是由于联邦方面采取的技术行动造成的。但随后，黑客可能从另一个地址重新发布了被盗的信息，与当局开始了一场猫捉老鼠的游戏，而他们几乎不可能获胜。

曾经很容易下载

网络安全专家证实，泄露的联邦数据确实可以在暗网上获得。请记住，访问它并不是很复杂：您所需要的只是一个特殊的浏览器，最著名的是Tor浏览器，然后可以直接访问所需的地址或查阅目录。这需要一点经验和时间。黑客和对被盗数据感兴趣的人也会浏览暗网交流论坛，在那里交换下载信息的地址。

从Xplain公司窃取的联邦数据大约十天前被黑客放到了网上。我们能想象这些数据从那时起已经被下载了很多次吗？普华永道负责网络安全服务的合伙人Yan Borboën表示：“是的，很可能这些数据已经被下载过很多次了，直到今天仍然如此。我们从之前的案例中知道这是可能的。”暗网上被盗数据存在真正的市场，就Xplain公司而言，这些数据显然会引起了许多人的兴趣——黑客、外国安全服务机构、网络安全公司……因此，许多存储副本已经在线和离线存在，下载到计算机、优盘或光盘、移动硬盘上。

数据一旦流出就很难监控

回到周日NCSC给出的信息，我们可以肯定地说数据不在暗网上吗？可以永久扫描吗？“我们的‘威胁情报’领域的专家团队确实可以监控暗网，”Yan Borboën继续说道。然而，考虑到暗网本身的功能，不可能确保这些搜索能够详尽地检测所有数据。事实上，数据有可能在访问受到严格限制的秘密暗网论坛上共享。

结论是：一旦数据被盗，其所有者就不再对其有任何控制权。

瑞士联邦正在危机处理

瑞士联邦危机工作人员已成立，负责处理影响Xplain公司的网络攻击，联邦委员会希望在联邦数据被盗后采取行动。危机工作人员负责协调正在进行的工作，以管理针对Xplain的勒索软件攻击。

联邦公共事务部已启动诉讼程序。联邦数据保护专员还对联邦警察局和联邦海关办公室展开调查，有迹象表明可能存在严重违反数据保护规定的情况。

政府还决定验证并在必要时修改与联邦政府IT服务提供商的当前合同。如果遇到网络攻击，联邦必须能够迅速做出反应。联邦服务提供商必须确保遵守针对网络攻击的保护标准。