近日,暗网论坛上出现大量VPN访问权限售卖,涉及多个国家和地区的VPN权限出售信息,涵盖美国、西班牙、沙特、阿联酋、中国内地及香港等地的政府机构、国防承包商、金融服务、能源、物流、电信等多个关键行业。同时,以Infostealer为代表的信息窃取恶意软件通过钓鱼邮件、恶意链接等方式感染用户设备,也成为窃取敏感凭证(如VPN账号等)的热点攻击方式。已知受害组织包括美国军方及其国防承包商,以及洛克希德·马丁、波音和霍尼韦尔、FBI和美国政府问责办公室。

攻击者通过窃取的VPN权限实施内网渗透,可能引发数据泄露、供应链攻击等直接风险,并且可能间接造成国家安全危害或金融诈骗等风险。



一、事件概述



(一)事件一:暗网批量售卖多国VPN权限

黑客通过暗网论坛大量出售企业及政府机构的VPN账号权限,涉及多个国家的关键部门。例如,哥伦比亚政府机构数据库访问权限曾以2200美元标价出售,而某AndroidVPN服务的2100万用户数据(含远程服务器权限)亦被公开兜售。此类交易为攻击者提供了绕过安全防护、渗透内网的直接通道。

2月19日监测发现,暗网论坛上出现大量VPN访问权限售卖帖子,发帖者“miyak0”在短时间内发布了24条涉及多个国家和地区的VPN权限出售信息,涵盖美国、西班牙、沙特、阿联酋、中国内地及香港等地的政府机构、国防承包商、金融服务、能源、物流、电信等多个关键行业。

(1)交易规模与定价

数据量庞大:暗网中VPN相关泄露数据动辄百万级,如SuperVPN、GeckoVPN等服务的2100万用户数据被标价出售。

权限分层定价:哥伦比亚政府数据库访问权限售价2200美元,普通企业VPN账号则低至210美元,价格与数据价值正相关。

附加服务:部分卖家提供“内鬼代查”服务,通过员工身份信息获取其VPN权限,单次查询费用高达2200美元。

中国大陆相关的帖子有4条,涉及数字资产保险(加密、Web3)、全球服装配饰公司、全球海运及贸易公司。其中,数字资产保险的VPN访问权限价格为500美元,显示出发帖者对中国新兴数字经济领域的关注。

香港相关的帖子有1条,涉及GS1全球网络的VPN访问权限,价格为500美元。这表明发帖者可能试图利用香港作为国际贸易和金融中心的地位,吸引对全球网络感兴趣的买家。

(2)交易渠道与技术特征

平台匿名化:主要依托暗网论坛(如Breached、FalconFeeds)及Telegram加密群组,利用虚拟货币完成支付。

自动化工具:黑客通过“社工机器人”整合多源泄露数据,实现VPN账号与用户身份的精准匹配。

(二)事件二:廉价信息窃取器(Infostealer)威胁关键系统

近日,以Infostealer为代表的信息窃取恶意软件通过钓鱼邮件、恶意链接等方式感染用户设备,窃取敏感凭证(如VPN账号、系统密码等),并在地下黑市批量交易。此类工具成本低廉、操作门槛低,已成为针对美国关键基础设施(如能源、金融、政府机构)的主要威胁。

美国军方及其国防承包商遭受了恶意软件Infostealer的感染。黑客通过员工下载的受感染文件或软件进入系统,窃取VPN访问权限、电子邮件和机密采购门户等敏感信息,并以每台计算机10美元的价格在暗网上出售被盗数据。据网络安全公司的数据,包括洛克希德·马丁、波音和霍尼韦尔在内的公司员工的设备均受到感染,甚至FBI和政府问责办公室也未能幸免。



二、泄露原因分析



(1)漏洞利用:攻击者可能利用最新的或近期发现的VPN漏洞,通过技术手段直接入侵VPN系统,获取访问权限。这种攻击方式通常针对未及时更新或修复漏洞的系统,具有较高的成功率和隐蔽性。

(2)网络钓鱼攻击:通过伪装成合法网站或邮件,诱骗用户输入登录凭证,从而获取VPN访问权限。

(3)恶意软件攻击:通过植入恶意软件,获取目标系统的敏感信息,包括VPN凭证。

(4)内部人员泄露:通过贿赂或胁迫内部人员,获取合法的VPN访问权限。

(5)黑市交易:从其他黑客或黑市卖家手中购买VPN权限,再转售以获取利润。



三、公安部一所深圳服务中心观点



黑客获取VPN权限后,可以轻易地绕过安全监测,深入渗透到目标系统中,窃取敏感信息、商业机密等,甚至可能对关键基础设施造成破坏,影响国家的安全和稳定。造成泄露的原因主要包括网络钓鱼攻击、恶意软件攻击。

企业在部署VPN等关键信息系统时,建议强制实施多因素认证(MFA)机制。该安全措施通过结合密码验证与动态身份凭证(如手机动态验证码、硬件令牌或生物识别技术),可有效阻断因单一密码泄露导致的非法登录行为。根据行业最佳实践,在关键业务场景中部署MFA能够将账户盗用风险降低,显著提升系统整体安全性。

以下是企业可以采取的一些预防措施,以降低员工泄露VPN的风险:

(1)VPN账号管理:严格遵循申请审批、权限最小化,离职员工账号即刻回收。

(2)制定VPN管理制度:包括VPN设备的使用限制、访问范围和时间约束、身份验证机制等,并进行考核和监督。

(3)持续监控VPN使用情况:实时检测异常行为,如暴力破解、异常登录行为,及时发现并处理潜在的安全威胁,对风险账号第一时间封禁权限操作。

(4)定期更新VPN版本和漏洞补丁,修复已知的安全漏洞和提升性能。

(5)加强网络安全培训和教育,提高员工安全防范能力和自我保护水平。



四、法律与合规要求



当前中国大陆法规尚未明文规定VPN必须部署多因素认证,但企业需注意以下合规风险:

(1)等保合规:高等级系统中若未采用多因素认证,可能被认定为未满足“身份鉴别”要求。

(2)数据泄露责任:若因VPN认证薄弱导致数据泄露,企业可能因违反《数据安全法》《个人信息保护法》担责。

(3)行业监管趋势:金融、能源等重点行业已逐步将MFA纳入VPN部署的推荐方案。

扩展阅读


点击下方公众号关注我们