俄罗斯网络安全公司 Group-IB于近日发布消息称，在过去一年半的时间里，网络犯罪分子利用间谍软件工具和网络钓鱼战术，从全球30多个国家/地区政府官方门户网站盗走了4万多个在线政务服务平台账户。

受害者主要来自意大利（52%）、沙特阿拉伯（22%）和葡萄牙（5%），这些账号可能会被用于在地下黑客论坛出售，也可能被用于有针对性的攻击，以窃取资金或窃取敏感信息。CERT-GIB（Group-IB的计算机应急响应小组）在确认此信息之后，立即与受影响国家的CERT进行了联系，以便减轻潜在的安全风险。

Group-IB表示，受影响的政府门户网站包括波兰（gov.pl）、罗马尼亚 （gov.ro）、瑞士  （admin.ch）、意大利国防部网站 （difesa.it）、 以色列国防军（idf.il）、保加利亚  （government.bg）、格鲁吉亚财政部（mof.ge）、挪威移民局（udi.no）、罗马尼亚和意大利外交部以及许多其他政府机构。

在法国（gouv.fr）、匈牙利（gov.hu）和克罗地亚（gov.hr）等政府门户网站拥有帐户的部分政府雇员、军人和平民同样都成为了一系列盗号事件的受害者。如上所述，在过去一年半的时间里，Group-IB的威胁情报系统总共检测到了来自全球30多个国家中的4万多个在线政务服务平台用户账户，其中以意大利、沙特阿拉伯和葡萄牙受影响最严重。

据Group-IB的安全专家介绍，网络犯罪分子使用了多种间谍软件来窃取用户账户数据，包括表格抓取器和键盘记录器，如Pony Formgrabber、AZORult和Qbot（Qakbot）。整个盗号过程从一封网络钓鱼电子邮件开始，它旨在传播恶意软件。恶意软件伪装成合法文档或压缩文件，作为附件添加在电子邮件中。一旦打开，它就会执行一个旨在窃取个人信息的木马。

例如，Pony Formgrabber就能够从受害者计算机上70多款软件的配置文件和数据库中检索登录凭证，然后将窃取的信息发送到由网络犯罪分子控制的C&C服务器。另一种木马AZORult，除了能够从大多数主流浏览器中窃取密码之外，还能窃取有关加密货币钱包的数据。Qbot蠕虫病毒能够利用键盘记录器来收集登录凭证、cookie文件和证书，以及活跃的互联网会话，并将用户重定向到虚假网站。

遭到盗取的用户账户数据通常会被按主题分类（银行客户数据、政府门户网站用户账户、电子邮箱用户名和密码组合），并在地下黑客论坛上出售。值得注意的是，政府网站的用户账号在地下黑客论坛上并不常见。往往购买这些信息的人都是一些网络犯罪分子，或专门从事破坏和间谍活动的APT组织。一旦黑客掌握了这些在线政务服务平台用户的身份，他们不仅可以从这些网站获取机密信息，还可以渗透到政府机构的网络中去。即使被盗的账户仅属于某个政府雇员，也可能会导致商业或国家机密遭到窃取。

CERT-GIB负责人Alexandr Kalinin表示：“与政府CERT之间的威胁情报数据交换对于打击全球网络犯罪来说是至关重要的。政府CERT可以提供快速的事件响应，并收集更多有关黑客TTP不断发展的信息。网络犯罪没有国界，无论是私人企业、国有企业、政府机构，甚至是普通公民都无法免于受影响。关于当前网络安全威胁的国际数据交换是全球稳定的支柱。”