工行黑客事件使用了美国政府曾曝光的攻击方式

2023年11月14日

入侵中国工商银行(Industrial and Commercial Bank of China)纽约子公司并导致美国国债市场交易中断的黑客似乎利用了美国官员今年早些时候提醒过的三个漏洞。

美国财政部官员在周一发给金融服务业高管和行业组织的一封电子邮件中说，对中国工商银行的攻击源于Lockbit 3.0勒索软件和针对云计算公司思杰系统(Citrix)所管理服务的用户采取的两种策略。《华尔街日报》(The Wall Street Journal)看到了这封电子邮件。

今年3月，美国联邦调查局(FBI)和国土安全部强调了Lockbit勒索软件带来的风险。最近几周，网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)就思杰的漏洞向各公司发出了警告。

该报告表明，中国工商银行本可以预料到这些网络攻击。周一晚间，记者暂未联系到中国工商银行驻纽约的管理人士置评。

中国工商银行是全球最大的银行。工银金融服务(ICBC Financial Services)是美国固定收益清算公司(Fixed Income Clearing Corporation, 简称FICC)政府证券部的成员，也是美国国债市场管道的一部分；FICC负责清算成员间的所有政府债券交易，这些成员既包括高盛(Goldman Sachs)和摩根大通(JPMorgan Chase)等大公司，也包括规模较小的交易商同业市场经纪行。

这家子公司的主要工作是清算，确保交易商之前达成的交易得以顺利进行，以及通过回购协议进行借贷；回购协议是一种抵押融资形式，是金融体系的重要组成部分。

华尔街高管们表示，虽然工银金融服务在整个美国国债市场上是一个规模较小的公司，但该公司在为对冲基金清算回购交易方面却表现突出。

上周，在这桩黑客攻击事件发生后，工银金融服务不得不隔离了部分系统，切断了与美国国债市场以及为其结算交易的纽约梅隆银行(Bank of New York Mellon)平台的连接。随后，这家中国工商银行子公司开始手动清算这些交易。

据听了电话会议的人士透露，在周一与市场参与者的电话会议上，中国工商银行一位高管称，工银金融服务尚未恢复与美国国债市场的连接。这位高管没有谈及该银行是否向黑客支付了赎金。

美国财政部的网络安全和关键基础设施保护办公室(Office of Cybersecurity and Critical Infrastructure Protection)在其说明中写道，思杰系统的两个风险——“Citrix Bleed” Citrix Netscaler ADC和网关漏洞以及Netscaler ADC和Netscaler网关的拒绝服务漏洞，仍在审查中，需要几天时间才能确认。