关键信息基础设施安全动态周报【2022年第22期】
发布时间:
2022-06-10
来源:
作者:
天地和兴
访问量:
164
目 录
第一章 国内关键信息基础设施安全动态
(一)国产UNISOC芯片存在严重漏洞,影响数百万安卓智能手机
第二章 国外关键信息基础设施安全动态
(一)英国宣布当关键基础设施遭受网络攻击时可合法进行防御性反击
(二)Conti勒索软件组织正在开发英特尔固件漏洞利用
(三)Atlassian修复了Confluence中被积极利用的零日漏洞
(四)LockBit 2.0勒索软件组织声称攻击网络安全公司Mandiant
(五)诺华制药数据在暗网出售
(六)意大利巴勒莫市遭受重大网络攻击导致所有政府系统关闭
(七)美国首次承认美军黑客进行攻击行动以支持乌克兰
(八)研究人员发现高度隐蔽的Linux恶意软件Symbiote
(九)Cyber Spetsnaz黑客组织攻击政府机构
(十)自动驾驶车辆引发网络安全担忧
第一章 国内关键信息基础设施安全动态
(一)国产UNISOC芯片存在严重漏洞,影响数百万安卓智能手机
Checkpoint研究人员在紫光展锐(UNISOC)智能手机芯片中发现了一个严重安全漏洞CVE-2022-20210,CVSS评分为9.4分,该漏洞可能被武器化,通过格式错误数据包中断智能手机的无线电通信。
紫光展锐(UNISOC)是中国最大的手机芯片设计商之一,总部位于上海,是仅次于联发科、高通和苹果的全球第四大移动处理器制造商,占2021年第三季度所有SoC出货量的10%。
该漏洞是在对UNISOC的LTE协议栈实施进行逆向工程后发现的,与调制解调器固件中处理非访问层(NAS)消息的组件中的缓冲区溢出漏洞有关,导致拒绝服务。
以色列网络安全公司Check Point在研究报告中表示,“我们对LTE协议栈的实施进行了逆向工程,发现了一个可用于拒绝调制解调器服务和阻止通信的漏洞。如果不打补丁,黑客或军事单位可以利用该漏洞来破坏特定位置的通信。该漏洞存在于调制解调器固件中,而不是安卓操作系统本身。”
为了降低风险,建议用户在2022年6月谷歌的安卓安全公告发布最新可用软件时,将其安卓设备更新为可用最新软件。
Check Point的Slava Makkaveev表示,“攻击者可能使用无线电台发送格式错误的数据包,从而重置调制解调器,剥夺用户通信的可能性。”
这不是UNISOC芯片第一次被发现存在安全漏洞。2022年3月,移动安全公司Kryptowire披露了一个严重安全漏洞CVE-2022-27250,CVSS评分为9.8分,如果被利用,恶意行为者可能会控制用户数据和设备功能。
参考来源:TheHackerNews http://985.so/0fyv
第二章 国外关键信息基础设施安全动态
(一)英国宣布当关键基础设施遭受网络攻击时可合法进行防御性反击
英国总检察长宣布,当关键基础设施及服务遭受外国威胁行为者攻击时,英国可以进行防御性网络攻击。
英国正在就将国际法扩展到数字领域采取正式立场,这是各国通常不愿做的事情,因为间谍活动经常在各国之间来回交易。英国总检察长Suella Braverman将此举与主要政策研究所查塔姆研究所的论点相结合,即不干涉其他主权国家事务的国际原则,现在应该以“相称”的方式扩展到网络攻击和反制措施。
此举突显了国际社会普遍缺乏关于何时应考虑防御性网络攻击的国际协议。长期以来,网络间谍活动在阴暗世界一直存在,各国默认不使用武力做出回应,这在很大程度上是由于合理的否认程度,以及很难向公众展示另一个国家的秘密黑客团队是虚拟攻击的木有黑手。
这种非官方的理解在互联网时代仍然存在,即使是盟国也会被发现互相监视,只是会避免使用网络攻击造成物理伤害。近年来的一些事态发展使这种安排变得紧张,包括俄乌冲突中进行的网络攻击,以及网络犯罪分子最近愿意使用勒索软件攻击外国关键基础设施和政府机构。
英国总检察长表示,鉴于已证明可能发生对平民造成实际损害的破坏性事件,因此迫切需要制定有关防御性网络攻击的正式规则,并且现有的不干预协议可以作为起点。总检察长认为,第一步是建立强制性或破坏性行为清单,以及在这些情况下防御性网络攻击的比例。
总检察长的言论引用了一些归因于民族国家APT组织的国际事件,包括2021年7月的Microsoft Exchange事件、2021年4月的SolarWinds事件(归因于俄罗斯)、以及2017年12月的WannaCry勒索软件事件(归因于朝鲜)。
总检察长还确定了四个被认为特别容易受到网络入侵的部门,包括能源安全、基本医疗保健、供应链中断和民主进程。除了俄乌行动之外,民族国家在这些领域直接相互攻击的例子并不多,但这些领域都已成为勒索软件团伙越来越关注的焦点,扰乱了资金运作。据观察,朝鲜APT组织进行勒索软件攻击,以此为受到严厉制裁的政府提供资金,俄罗斯可能会考虑采取这一举措,因为俄罗斯在世界经济上遭受了类似的经济孤立程度。
除了少数区域契约,例如非洲联盟最近通过的契约,没有真正尝试扩大国际法来规范互联网活动。联合国大会和G20等一些国际组织至少在原则上同意,国际法也应适用于网络空间,但在实际制定严格的法律法规和定义方面,几乎没有做出有意义的努力。
国家通过防御性网络攻击进行反击的程度,通常与最初触发这些反应的间谍活动一样神秘。该问题于2017年在美国公开提出《主动网络防御确定性法案》,该法案将赋予个人和公司对试图破坏运营或窃取文件的攻击者进行某种程度的防御性网络攻击的权利。该法案将防御性网络攻击限制为破坏任何被泄露的文件,但它从未获得太多支持,也没有脱离委员会。
在有关该法案的辩论中,提出的一个想法是使用信标,其功能类似于针对赃款使用GPS追踪器。对于持有包含这些数字定位器的被盗文件的系统,防御性网络攻击是合理的。据报道,这种方法被用于受到威胁的公司进行的治安工作,尽管该方法充满技术难题,其中最重要的是原始数据可以很容易地从文件中复制出来,并在防御团队不知情的情况下与信标分离。
参考来源:CPOMagazine http://985.so/vp0a
(二)Conti勒索软件组织正在开发英特尔固件漏洞利用
Eclypsium研究人员分析了Conti勒索软件组织泄露的聊天记录,发现该组织正在积极开发利用英特尔ME固件漏洞。Conti开发人员对英特尔管理引擎(ME)进行了模糊测试,利用ME覆盖闪存并获得SMM(系统管理模式)执行,并创建了PoC代码。
ME是英特尔芯片组中的嵌入式微控制器,运行微操作系统以提供带外服务及防盗保护。
Conti对该组件进行了模糊测试,以找到可以利用的未记录功能和命令。Conti可以访问托管UEFI/BIOS固件的闪存,绕过写保护,并在受感染的系统上执行任意代码。
最终目标是投放一个SMM植入程序,该植入程序将以可能的最高系统权限ring-0运行,但实际上无法从操作系统级安全工具中检测到。
值得注意的是,与针对UEFI固件漏洞、帮助Conti感染以及后来由勒索软件组织实施的TrickBot模块相反,新发现表明恶意工程师正在努力发现ME中新的未知漏洞。
为了使固件攻击成为可能,勒索软件行为者首先需要通过网络钓鱼、利用漏洞或执行供应链攻击等常规途径访问系统。在破坏ME之后,攻击者必须根据允许访问的越界写入保护区域来遵循攻击计划,具体取决于ME实施和各种限制/保护。
Eclypsium表示,这些可能是覆盖SPI描述符并将UEFI/BIOS移动到受保护区域之外的访问,也可能是直接访问BIOS区域。还有在ME无法访问这两者的情况下,威胁行为者可以利用英特尔的管理引擎强制从虚拟媒体启动,并解锁支持SPI控制器的PCH保护。
Conti可以使用这种攻击流永久地破坏系统,获得最终的持久性,逃避防病毒和EDR检测,并绕过操作系统层的所有安全控制。
虽然Conti行动似乎已经关闭,但其许多成员已经转移到其他勒索软件行动,他们继续进行攻击。这也意味着为开发此类漏洞的工作将继续存在。
自去年夏天以来,Conti就为这些攻击提供了一个有效的PoC,因此很可能已经有机会在实际攻击中使用。RaaS可能会以更改名称的形式回归,核心成员可能会加入其他勒索软件操作,总体而言,这些漏洞将继续使用。
为了防止该威胁,建议为硬件应用可用的固件更新、监控ME的配置更改、并定期验证SPI闪存的完整性。
参考来源:BleepingComputer http://985.so/v0tv
(三)Atlassian修复了Confluence中被积极利用的零日漏洞
Atlassian发布了Confluence服务器和数据中心中存在的零日漏洞补丁。CVE-2022-26134是严重远程代码执行漏洞,该漏洞在野外攻击中被积极利用。
Volexity于5月31日通知Atlassian,其员工在事件响应调查后发现了Confluence Server中存在的零日漏洞。
该漏洞编号为CVE-2022-26134,会影响所有受支持的Confluence Server和Data Center版本。Atlassian最初于6月2日提供了解决方法和缓解措施,并于6月3日发布了7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4和7.18.1版本来修补漏洞。
Atlassian表示,没有任何Atlassian Cloud站点受到影响。所有潜在易受攻击的客户都已直接收到有关此修复的通知。
未经身份验证的攻击者可以利用该安全漏洞进行远程代码执行。利用零日漏洞的最初攻击涉及Webshell和其他恶意软件的交付。Volexity表示它们可能来自中国。
威胁情报公司GreyNoise发现,周末利用尝试的次数显著增加,已经看到数百个IP地址试图利用该漏洞进行攻击。
Cloudflare还报告称,扫描和攻击尝试激增,发现证据表明,至少自5月26日以来,通过CVE-2022-26134已经交付了潜在的恶意负载。“我们观察到的一些活动表明存在恶意软件活动和僵尸网络行为。”
威胁情报公司CounterCraft发现有人试图利用该漏洞来提供加密货币矿工服务。Rapid7提供了对该漏洞的技术分析,并发布了PoC漏洞利用。
互联网资产发现公司Censys和网络安全非营利组织Shadowserver报告称,发现数以千计的暴露在互联网上的Confluence服务器可能容易受到攻击,其中许多位于美国。
美国网络安全和基础设施安全局CISA已指示联邦机构立即采取行动解决该漏洞。网络安全公司一直在更新其产品和服务,以确保阻止利用CVE-2022-26134的攻击,但未在安全方面进行投资的组织仍可能受到打击。
参考来源:SecurityWeek http://985.so/vfx6
(四)LockBit 2.0勒索软件组织声称攻击网络安全公司Mandiant
知名勒索软件组织LockBit 2.0在6月6日早上声称,其已成功攻击了网络安全巨头Mandiant,并将发布公司文件。LockBit 2.0猛烈抨击了Mandiant的最新研究,将其与独立的、受制裁的网络犯罪组织Evil Corp联系起来。
LockBit 2.0是勒索软件即服务,自2019年9月首次被发现,是ABCD勒索软件的变体,在全球范围内有数千名受害者。
LockBit 2.0在其暗网门户网站上声称,将于6月6日晚22:35:00晚发布Mandiant文件。Mandiant发言人表示,其知道这一说法,但没有看到支持这些说法的证据。
LockBit 2.0声称从Mandiant窃取了356841个文件,存在与名为mandiantyellowpress.com.7z的文档中。
Mandiant发言人表示,“没有迹象表明Mandiant的数据已被披露,但该组织似乎试图反驳Mandiant在2022年6月2日关于UNC2165和LockBit的研究博客。”
6月2日,Mandiant发布了一份分析报告,声称Evil Corp的附属公司已转向使用LockBit 2.0现成的勒索软件来逃避制裁。Evil Corp.是一个在2019年被美国政府制裁的长期存在的网络犯罪组织。Mandiant将这些附属公司命名为UNC2165。
6月6日晚间LockBit 2.0在网站上发布声明声称Mandiant不专业,并否认与Evil Corp有任何联系。“我们的团队与Evil Corp无关。我们是真正的地下暗网黑客,我们与政治或FSB、FBI等特殊服务无关。”
Mandiant是价值数十亿美元的网络安全公司。3月该公司宣布,谷歌将以大约54亿美元的价格收购Mandiant,并成为谷歌云的一部分。
网络安全公司Emsisoft威胁分析师Brett Callow密切关注勒索软件生态系统,他表示,“该组织过去曾提出过许多虚假声明。在某些情况下,他们似乎从对B公司的攻击中获得了与A公司有关的数据,但声称A是受害者。LockBit的说法也完全有可能对他们没有任何实质意义。事实上,这可能是最有可能的解释。”
过去遭受LockBit 2.0变体攻击的勒索软件受害者包括保加利亚国家难民署、法国司法部和埃森哲,但该组织未成功向埃森哲索要5000万美元的赎金。
2020年对Mandiant前母公司FireEye的网络攻击揭示了所谓SolarWinds黑客攻击的起源,该攻击后来蔓延到联邦机构和主要科技公司中的受害者。
参考来源:CyberScoop http://985.so/v0ie
(五)诺华制药数据在暗网出售
Industrial Spy黑客组织6月2日在其Tor勒索市场上以50万美元的价格出售据称从制药巨头诺华(Novartis)公司窃取的数据,对此诺华表示在Industrial Spy网络攻击中没有泄露任何敏感数据。
Industrial Spy黑客组织经营着一个敲诈勒索市场,出售从受害组织窃取的数据。Industrial Spy声称这些数据与诺华基于RNA和DNA的药物技术和测试有关,并且是直接从制造厂的实验室环境中窃取的。
出售的数据由7.7 MB的PDF文件组成,这些文件的时间戳均为2/25/2022 04:26,可能是数据被盗的时候。由于可供出售的数据量很少,目前尚不清楚这是否是威胁行为者窃取的全部数据,还是以后还有更多数据要出售。
诺华在电子邮件声明中表示,“诺华公司已经意识到该事件,已对其进行了彻底调查。可以确认,没有敏感数据受到损害。我们非常重视数据隐私和安全,并针对此类威胁实施了行业标准措施,以确保数据安全。”
诺华没有披露有关违规行为、发生时间、以及威胁行为者如何访问其数据的内容。Industrial Spy也会在攻击中使用勒索软件,但没有证据表明设备在诺华事件期间被加密。
参考来源:BleepingComputer http://985.so/0ptv
(六)意大利巴勒莫市遭受重大网络攻击导致所有政府系统关闭
意大利南部巴勒莫市6月3日遭受了网络攻击,对公民和游客的广泛运营和服务产生了巨大影响。尽管本地IT专家一直在尝试恢复系统,但所有服务、公共网站和在线门户都处于离线状态。
巴勒莫拥有约130万人口,是意大利人口第五大城市,该地区每年还有230万游客到访。
据当地多家媒体报道,受影响的系统包括公共视频监控管理、市警察行动中心、以及市政府所有服务。目前无法依靠数字系统进行交流或请求任何服务,所有公民都必须使用过时的传真机才能联系公共办公室。
此外,游客无法在线预订博物馆和剧院门票,甚至无法确认对体育设施的预订。同时无法获得限制交通区域卡,因此没有进行监管,也没有对相关违规行为进行罚款。历史悠久的市中心需要这些通行证才能进入,因此游客和当地居民受到了严重影响。
意大利最近收到了来自Killnet组织的威胁,该黑客组织支持俄罗斯,该组织通过DDoS攻击支持乌克兰的国家。虽然有些人很快将矛头指向了Killnet,但对巴勒莫的网络攻击带有勒索软件攻击迹象,而非DDoS攻击。
巴勒莫市创新议员Paolo Petralia Camassa表示,所有系统都已谨慎关闭,并与网络隔离,同时还警告称中断可能会持续一段时间。
这是对勒索软件攻击的典型响应方式,网络被脱机以防止恶意软件传播到更多计算机并加密文件。如果这种网络攻击被证明是勒索软件,那么攻击组织可能已经设法窃取了数据,进行双重勒索,通常伴随着这些攻击。
在这种情况下,巴勒莫可能面临严重的数据泄露,影响大量个人,并可能因违反GDPR而被罚款。
参考来源:BleepingComputer http://985.so/0qjg
(七)美国首次承认美军黑客进行攻击行动以支持乌克兰
随着激烈的俄乌冲突持续超过百天,美国网络司令部司令保罗·中曾根(Paul Nakasone)将军首次承认,为了支持乌克兰,美军黑客实施了进攻性黑客行动。
在接受天空新闻独家采访时,中曾根将军详细介绍了单独的Hunt Forward行动如何使美国能够在外国黑客被用来对付美国之前追踪并发现他们的工具。
中曾根将军声称,“我们已经进行了一系列全方位行动,包括进攻、防御和信息作战。”尽管中曾根将军没有具体说明这些行动,但强调,这些行动是合法的,在军队完全由文职人员控制的情况下并符合美国国防部的政策进行的。
中曾根将军也是国家安全局局长,在爱沙尼亚塔林发表讲话时声称,他每天都在担心俄罗斯对美国的网络攻击威胁,Hunt Forward行动是保护美国及其盟国的有效方式。
据天空新闻报道,中曾根将军拒绝描述这些选项细节,“我的工作是向国防部长和总统提供一系列选项,这就是我所做的”。然而中曾根指出,与俄罗斯的虚假媒体运作不同,美国努力从战略上揭示真相。
中曾根将军表示,这一战略启示自2018年以来一直在酝酿之中,并影响了西方对俄乌冲突的反应,因此有机会开始谈论俄罗斯人特别是在中期选举中试图实现的目标。“我们在2020年再次看到这一点,当时我们讨论了俄罗斯人和伊朗人将要做什么,但是规模较小的事情。”
除此之外,据天空新闻报道,中曾根将军澄清表示,“在这场危机中,我们分享这些信息,确保其准确、及时和可以在更广泛范围内采取行动的能力非常非常强大。”
与此同时,在中曾根将军发表上述言论之际,美国国务卿安东尼·布林肯授权向乌克兰提供7亿美元的军备和装备,以对抗俄罗斯军队。
参考来源:RepublicWorld http://985.so/vzq5
(八)研究人员发现高度隐蔽的Linux恶意软件Symbiote
安全公司Intezer和BlackBerry研究人员发现了一个名为Symbiote的高度隐蔽的Linux恶意软件,会感染受感染系统上所有正在运行的进程,窃取账户凭据,并为其操作员提供后门访问权限。
在将其自身注入所有正在运行的进程后,该恶意软件就像一个全系统寄生虫,即使在仔细的深入检查中也不会留下任何可识别的感染迹象。
Symbiote使用BPF挂钩功能来嗅探网络数据包,并隐藏自己的通信通道以防止安全工具。Symbiote自去年以来一直在积极开发中。
Symbiote这个名字来源于共生体的概念,共生体是一种与另一种生物体共生的生物体,就像这种植入物与受感染的系统一样。因此安全研究人员将这种威胁定义为几乎不可能检测到。
与其他Linux威胁不同,Symbiote需要感染其他正在运行的进程,才能对受感染的机器造成损害。Symbiote是一个共享对象(SO)库,使用LD_PRELOAD(T1574.006)加载到所有正在运行的进程中,并且像寄生虫一样感染机器。一旦恶意软件感染了所有正在运行的进程,就会为攻击者提供rootkit功能并支持数据窃取功能。
该恶意软件于2021年11月首次被发现,专家认为它旨在针对拉丁美洲的金融部门,例如巴西银行和Caixa。
BlackBerry发布的报告表示,“一旦恶意软件感染了一台机器,就会隐藏自己和威胁行为者使用的任何其他恶意软件,使得感染很难被发现。由于恶意软件隐藏了所有文件、进程和网络工件,因此在受感染的机器上执行实时取证可能不会发现任何问题。除了rootkit功能之外,该恶意软件还为攻击者提供了一个后门,让攻击者可以使用硬编码密码以机器上的任何用户身份登录,并以最高权限执行命令。由于它非常规避,共生体感染很可能在雷达下飞行。在研究中我们还没有找到足够的证据来确定Symbiote是否被用于高度针对性或广泛的攻击。”
Symbiote实现的一个有趣的技术特性是Berkeley Packet Filter(BPF)挂钩功能,它是第一个使用此功能隐藏恶意网络流量的Linux恶意软件。
报告表示,“当管理员在受感染的机器上启动任何数据包捕获工具时,BPF字节码被注入内核,定义应该捕获哪些数据包。在这个过程中,Symbiote首先添加字节码,以便过滤掉不希望数据包捕获软件看到的网络流量。”
Symbiote可以由链接器通过LD_PRELOAD指令在任何其他允许从为应用程序加载的其他库文件中“劫持导入”的任何其他共享对象之前加载。Symbiote通过挂接libc和libpcap函数来隐藏其存在。
报告表示,“Symbiote是一种高度规避的恶意软件,主要目标是捕获凭据,并方便后门访问受感染的计算机。由于恶意软件作为用户级rootkit运行,因此检测感染可能很困难。网络遥测可用于检测异常的DNS请求,并且应静态链接防病毒和端点检测与响应(EDR)等安全工具,以确保不会被用户级rootkits感染”。
参考来源:SecurityAffairs http://985.so/6xca
(九)Cyber Spetsnaz黑客组织攻击政府机构
美国网络安全公司Resecurity发现了一个名为Cyber Spetsnaz的新黑客组织,该组织开展的黑客活动有所增加,正在利用俄乌当前地缘政治紧张局势进行网络攻击。
该组织将自己定位为攻击北约基础设施并进行网络间谍活动以窃取敏感数据的精英网络攻击组织,是继Killnet之后负责攻击主要政府资源和执法机构的组织。
从5月24日开始,自称Cyber Spetsnaz的组织宣布启动一项新的活动Panopticon,旨在招募3,000名志愿网络攻击专家,自愿参与针对欧盟和包括乌克兰公司在内的乌克兰政府机构的攻击。
4月左右,Cyber Spetsnaz成立了第一个部门Zarya,寻找经验丰富的渗透测试人员、OSINT专家和黑客。大约在这个时候,该组织对北约进行了首次协同攻击。在此之前,Cyber Spetsnaz成员一直在分配给北约基础设施的域,通过这样做,他们可以策划有效的攻击。
6月2日,该组织成立了一个名为Sparta的新部门,新部门的职责包括网络破坏、互联网资源中断、数据盗窃以及针对北约及其成员和盟国的金融情报。值得注意的是,Sparta将这项活动列为关键优先事项,并确认新成立的部门是Killnet组织的正式组成部分。
根据描述,该组织将自己称为为黑客激进主义者,然而目前尚不清楚该组织是否与国家行为者有任何联系。消息人士高度自信的认为该活动有国家背景的支持。有趣的是,在当前俄乌冲突背景下,Sparta这个名字与顿涅茨克人民共和国(DNR)的一个部队的名称有关。
除了专有工具外,该组织还利用MHDDoS、Blood、Karma DDoS、Hasoki、DDoS Ripper和GoldenEye脚本在第7层生成恶意流量,这可能会影响WEB资源的可用性。
该组织还对意大利的5个物流终端(Sech、Trieste、TDT、Yilprort、VTP)和几家主要金融机构进行了网络攻击。Phoenix与另一个名为Rayd的部门协调活动,Rayd此前曾攻击波兰的政府资源,包括外交部、参议院、边境控制和警察。参与DDoS攻击的其他部门包括Vera、FasoninnGung、Mirai、Jacky、DDOS Gung和Sakurajima,他们之前曾在德国攻击过多个WEB资源。
据Resecurity称,此类黑客活动的目标通常是协调某些信息操作,而不是破坏网络或关键资源可用性的真正网络攻击。网络安全专家应特别注意归因,因为在某些情况下,此类活动会导致挑衅和故意制造的行动。
根据观察到的受害者以及与几个受影响组织的密切合作,攻击主要集中在利用配置不当的WEB服务器和短期中断。适当强化和实施WAF以及DDoS保护可能会抢先解决该问题,因为唯一来源的整个网络攻击池可能会相对较快地耗尽。记录的攻击源表明,攻击者如何积极使用伪造的IP地址,以及在受感染的物联网设备和被黑客入侵的WEB资源上部署工具。
乌克兰主要网络安全事件响应小组公布了一份名单,列出了攻击乌克兰关键基础设施的五个最持久的黑客组织和恶意软件家族。黑客组织正在利用俄乌冲突进行网络攻击,旨在从世界各地的受害者那里窃取登录凭据、敏感信息、金钱等。
据谷歌威胁分析小组(TAG)的网络安全研究人员称,来自俄罗斯、中国、伊朗和朝鲜的政府支持的黑客,以及各种身份不明的组织和网络犯罪团伙,正在利用与俄乌冲突相关的各种主题引诱人们成为网络攻击的受害者。
参考来源:SecurityAffairs http://985.so/vq57
(十)自动驾驶车辆引发网络安全担忧
随着汽车行业进入一个汽车越来越依赖互联网运营的时代,一些专家表示,如果潜在的黑客利用软件漏洞,向自动驾驶的转变可能会带来更大的网络安全风险。
尽管专家们迄今尚未发现针对电动汽车的网络攻击,但他们表示,汽车行业仍应努力升级其安全和软件系统,以保障客户的福祉。
专家表示,针对自动驾驶汽车的进行真正网络攻击很有可能发生。事实上,两名网络安全研究人员证明,当他们在2015年远程入侵吉普切诺基以展示联网车辆的漏洞时,证明联网车辆的漏洞是可以实现的。
研究人员能够接触到汽车的转向、变速箱和刹车,模拟黑客攻击促使菲亚特克莱斯勒召回140万辆汽车,以便安装软件来修复漏洞。
美国国家公路交通安全管理局(NHTSA)发言人当时告诉路透社,这是汽车公司第一次因网络安全问题而不得不召回汽车。
美国企业研究所高级研究员Shane Tews表示,这让整个汽车行业意识到其所面临的挑战。
Tews表示,与在恐怖袭击中认真对待网络威胁的航空业不同,汽车行业没有同样的早期推动力,因此没有在网络安全方面进行如此多的投资。
Tews说。“他们只是没有想到人们以某种邪恶的方式使用汽车。至于黑客,他们会攻击汽车的不同组件,这些组件很容易让他们访问系统。例如,他们可能会试图找出一家公司使用哪家公司用于其锁定系统。一旦他们获得了特定的锁定系统模型,就可以破解软件来开锁。”
Tews表示,“一旦发现F公司是丰田和现代使用的汽车锁定系统的生产者,并且知道他们使用该锁定系统的型号和年份,现在就可以瞄准道路上的这些汽车。”
Tews补充表示,一旦黑客进入系统内部,就可以继续四处探查以获取更多信息。“最难的部分是进入窗口。一旦弄清楚如何打开那扇窗户,然后你就在房子里,现在你可以弄清楚你还能进入什么地方了。”
Tews还表示,如果黑客想要最大化利润,他们可以攻击拥有庞大车队的公司,例如租车公司Hertz。
兰德公司高级行为科学家兼司法政策项目主任James Anderson表示,另一个潜在的担忧是无线更新的使用增加,这使得制造商可以无线向汽车交付新软件,而无需派人进行更改。
Anderson表示,新功能可以无线添加到汽车的想法可能会带来风险,因为黑客试图控制车辆。“从某种意义上说,风险正在增加,越来越多的车辆正在转向无线软件更新功能,而车辆通常也在朝着更自主的方向发展,我的意思是让软件对车辆功能进行更多控制。”
然而Anderson强调,目前与自动驾驶汽车相关的网络风险是假设性的。
至于潜在的动机,Tews表示,95%是为了钱,而另外5%是制造恐惧。“最大的市场是勒索软件。黑客可能会进行多次测试,以确定他们应该索取多少。美元金额应该足够高,让他们做出努力,但又足够低,你会付钱,而不告诉任何人。”
黑客还可能试图通过使用车辆作为恐怖工具来制造恐惧。例如,恐怖组织可能会入侵车辆以伤害特定目标,例如外交官、或使用车辆来袭击政府大楼。
尽管这些潜在的攻击尚未在现实世界中实现,但Anderson表示,随着越来越多的汽车依赖互联网运营,汽车行业意识到风险并采取措施减轻风险非常重要。“我们现在希望预测这组特定的潜在威胁,以便我们有望将风险降到最低。”
参考来源:TheHill http://985.so/6ab9
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
