值得留意的是,这起资料外泄事故并非只有单一骇客组织尝试对选举委员会发动攻击。英国资讯专员办公室指出,他们至少看到3组人马的攻击行动。
最早发动攻击的骇客于2021年8月24日利用ProxyShell,过程中冒充其中一名使用者,并在伺服器植入多个Web Shell。
之后,其中一个Web Shell持续留在受害系统,攻击者先后在2021年9月、2022年6月及8月多次存取,这些骇客也自2022年3月在该系统植入后门程式。
第2组人马在2021年10月14日成功利用ProxyShell,并在伺服器部署Web Shell,虽然这个恶意程式后来被隔离、删除,但这些骇客在隔年3月,于伺服器设置工作排程,用来下载、执行恶意酬载。究竟骇客使用的恶意软体为何,英国资讯专员办公室并未透露。
第3组骇客在2021年10月28日发动攻击,但手法有所不同。有选举委员会的员工通报垃圾信攻击事故,并指出这些信来自选举委员会的Exchange伺服器,但遭冒用的使用者,收信软体Outlook却无法从寄件备份看到这些信件。
经过扫描,IT人员发现邮件伺服器被注入恶意程式,但骇客疑似察觉东窗事发进行事后清理,将该伺服器关机,待IT人员重开机并进行二度扫描,发现恶意软体已经移除。
这些骇客的攻击行动,代表选举委员会至少在2021年10月之前并未套用ProxyShell的修补程式,而能让攻击者成功入侵。
再者,虽然攻击者在2021年入侵,但英国资讯专员办公室指出,骇客在1年后才存取选举名册上的民众资料,并在选举委员会不知情的情况下多次存取。
另一方面,他们也提及选举委员会并未制订相关密码政策的情况,因为英国资讯专员办公室发现,有许多使用者沿用服务台最初提供的密码,或是类似的字串,因此使攻击者得以尝试破解并存取帐号。