关键信息基础设施安全动态周报【2022年第14期】
发布时间:
2022-04-15
来源:
作者:
天地和兴
访问量:
669
目 录
第一章 国外关键信息基础设施安全动态
(一)美国警告针对ICS/SCADA设备的网络攻击
(二)乌克兰能源设施遭受INDUSTROYER2恶意软件攻击
(三)黑客组织NB65利用Conti泄露的勒索软件攻击俄罗斯
(四)西门子及施耐德修复多个安全漏洞
(五)ABB网络接口模块存在高危漏洞,工业系统面临DoS攻击风险
(六)美国工具制造商遭受Conti勒索软件攻击
(七)微软查封俄罗斯黑客组织Strontium攻击乌克兰使用的域名
(八)泽连斯基发表演讲时芬兰政府网站遭受DDoS攻击
(九)医院机器人存在远程攻击漏洞
(十)夏威夷海底通信电缆遭受网络攻击
(十一)执法部门关闭暗网市场RaidForums
(十二)多公司联合创建新OT网络安全联盟
第一章 国外关键信息基础设施安全动态
(一)美国警告针对ICS/SCADA设备的网络攻击
美国能源部、CISA、国家安全局、联邦调查局4月13日联合发布安全警告称,某些APT行为者可获得多个ICS/SCADA设备的完整系统访问权限,包括施耐德PLC、欧姆龙Sysmac NEX PLC、以及OPC UA服务器。
APT行为者开发了针对ICS/SCADA设备的定制工具。一旦建立了对OT网络的初始访问权限,这些工具就能够扫描、破坏和控制受影响的设备。此外,攻击者还可以利用破坏ASRock主板驱动程序的已知漏洞,来破坏可能存在于IT或OT环境中的基于Windows的工程工作站。通过破坏和维护对ICS/SCADA设备的完整系统访问权限,APT行为者可以提升权限,在OT环境中横向移动,并破坏关键设备或功能。
这些部门敦促关键基础设施组织,尤其是能源部门组织,实施相关检测和缓解建议,以检测潜在的恶意APT活动,并强化其ICS/SCADA设备。
APT行为者开发了定制工具,一旦他们在OT网络中建立了初始访问权限,就可以扫描、破坏和控制某些ICS/SCADA设备,包括:施耐德电气MODICON和MODICON Nano PLC,包括但不限于TM251、TM241、M258、M238、LMC058和LMC078;OMRON Sysmac NJ和NX PLC,包括但不限于NEX NX1P2、NX-SL3300、NX-ECC203、NJ501-1300、S8VK和R88D-1SN10F-ECT;OPC UA服务器。
APT行为者的工具具有模块化架构,使网络参与者能够对目标设备进行高度自动化的攻击。这些工具有一个带有命令界面的虚拟控制台,该界面反映了目标ICS/SCADA设备的界面。模块与目标设备交互,使低技能网络参与者的操作能够模仿高技能参与者的能力。
APT组织可以利用这些模块扫描目标设备,对设备详细信息进行侦察,将恶意配置/代码上传到目标设备,备份或恢复设备内容,以及修改设备参数。
此外,APT组织可以使用安装和利用已知易受攻击的ASRock签名主板驱动程序的工具AsrDrv103.sys,利用CVE-2020-15368在Windows内核中执行恶意代码。该工具的成功部署可以让APT行为者在IT或OT环境中横向移动并破坏关键设备或功能。
施耐德电气设备的APT行为者工具具有通过正常管理协议和Modbus(TCP 502)交互的模块。OMRON模块可以上传一个代理,允许网络攻击者通过HTTP和/或安全超文本传输协议(HTTPS)连接和启动命令,例如文件操作、数据包捕获和代码执行。用于OPC UA的APT工具具有基本功能的模块,用于识别OPC UA服务器,并使用默认或以前泄露的凭据连接到OPC UA服务器。客户端可以从服务器读取OPC UA结构,并可能通过OPC UA写入可用的变量值。
为保护ICS/SCADA设备建议采取以下行动:尽可能对所有对ICS网络和设备的远程访问实施多因素验证;按照一致的时间表将ICS/SCADA设备和系统的所有密码(尤其是所有默认密码)更改为设备唯一的强密码,以减轻密码暴力攻击,并为防御者监控系统提供检测常见攻击的机会;利用正确安装的持续OT监控解决方案来记录恶意指标和行为并发出警报。
参考来源:CISA http://985.so/wddm
(二)乌克兰能源设施遭受INDUSTROYER2恶意软件攻击
俄罗斯黑客组织Sandworm使用针对ICS的恶意软件Industroyer2和数据擦除软件CaddyWiper攻击了乌克兰的能源设施,中断了一家大型能源供应商的变电站。
威胁行为者使用了为目标高压变电站定制的Industroyer ICS恶意软件版本,然后尝试通过执行CaddyWiper和其他数据擦除恶意软件系列来消除攻击痕迹,这些恶意软件系列被跟踪为适用于Linux和Solaris系统的Orcshred、Soloshred和Awfulshred。
CADDYWIPER的集中分发和启动是通过组策略机制(GPO)实现的。POWERGAP PowerShell脚本用于添加从域控制器下载文件析构函数组件并在计算机上创建计划任务的组策略。
网络安全公司ESET与乌克兰CERT合作修复和保护受攻击网络,他们不知道攻击者是如何破坏环境的,也不知道他们是如何设法从IT网络转移到ICS环境的。
研究人员发现了Industroyer恶意软件的新变种,命名为Industroyer2,Industroyer是APT组织Sandworm在2016年用来切断乌克兰的电力供应的恶意软件。Sandworm攻击者试图针对乌克兰的高压变电站部署Industroyer2恶意软件。
除了Industroyer2,Sandworm还使用了几个破坏性恶意软件系列,包括CaddyWiper、ORCSHRED、SOLOSHRED和AWFULSHRED。攻击者使用INDUSTROYER2将高压变电站作为攻击目标,对各变电站进行了定制开发。
该APT组织至少对能源设施发动了两波攻击。最初的入侵发生在不迟于2022年2月。针对变电站和基础设施的攻击行动原计划于4月8日晚进行,攻击已计划至少两周。
参考来源:ESET http://985.so/wekw
(三)黑客组织NB65利用Conti泄露的勒索软件攻击俄罗斯
黑客组织NB65利用Conti泄露的勒索软件源代码,创建了自己的勒索软件,用于对俄罗斯组织进行网络攻击。
虽然经常听到针对公司和加密数据的勒索软件攻击,但很少听说俄罗斯组织受到类似攻击。原因是俄罗斯黑客普遍认为,如果他们不攻击俄罗斯组织,那么俄罗斯执法部门将对其针对其他国家的攻击视而不见。然而现在形势发生了转变,一个名为NB65的黑客组织现在针对俄罗斯组织进行勒索软件攻击。
在过去的一个月里,一个名为NB65的黑客组织一直在入侵俄罗斯实体,窃取他们的数据,并将其泄露到网络上,并警告称这些攻击是由于俄罗斯攻击乌克兰造成的。
该组织声称遭受黑客组织攻击的俄罗斯实体包括文件管理运营商Tensor、俄罗斯航天局Roscosmos、和国有俄罗斯电视和广播电台VGTRK。
对VGTRK的攻击尤其重要,因为它导致了786.2GB的数据被盗,其中包括900,000封电子邮件和4,000个文件,这些数据发布在DDoS Secrets网站上。
最近,NB65黑客转向了一种新策略,自3月底以来,针对俄罗斯组织发起勒索软件攻击。更有趣的是,黑客组织使用泄露的Conti勒索软件操作源代码创建了他们的勒索软件。Conti是俄罗斯威胁行为者,禁止其成员攻击俄罗斯的实体。
因Conti在俄乌冲突中支持俄罗斯而被泄露了源代码,一名安全研究人员泄露了170,000条内部聊天消息和其操作的源代码。
威胁研究人员Tom Malka首先发现了NB65的攻击,然而并不愿意分享勒索软件样本。随后有人将NB65修改后的Conti勒索软件可执行文件样本上传到VirusTotal。
几乎所有防病毒软件供应商都在VirusTotal上检测到这个样本为Conti,Intezer Analyze还确定它使用了与通常的Conti勒索软件样本相同的66%的代码。
在运行NB65勒索软件加密文件时,会将.NB65扩展名附加到加密文件的名称中。该勒索软件还将在整个加密设备中创建名为R3ADM3.txt的勒索信件,威胁行为者将网络攻击归咎于俄乌冲突。
NB65在勒索信件中声称,“我们正在密切关注。你的总统不应该犯下战争罪。如果你正在寻找对你目前的情况负责的人,看看弗拉基米尔普京就知道了。”
NB65黑客组织一位代表表示,他们的加密器基于第一次的Conti源代码泄漏,但针对每个受害者进行了修改,这样现有的解密器就无法工作。“勒索软件已被修改,所有版本的Conti解密程序都无法工作。每次部署都会根据我们为每个目标更改的几个变量生成一个随机密钥。不联系我们,真的没有办法解密。”
目前NB65尚未收到受害者的任何通信,并声称他们并不期待受到任何消息。对于NB65攻击俄罗斯组织的原因,NB65表示,“在布恰事件之后,我们选择针对某些可能是平民拥有的公司作为攻击目标,但仍然会对俄罗斯的正常运营能力产生影响。俄罗斯民众对普京战争罪行的支持是压倒性的。从一开始我们就明确表示,我们支持乌克兰,我们将信守诺言。当俄罗斯停止在乌克兰的所有敌对行动,并结束这场荒谬的战争时,NB65将停止攻击俄罗斯面向互联网的资产和公司。我们不会打击俄罗斯以外的任何目标。Conti和Sandworm等组织以及其他俄罗斯APT多年来一直通过勒索软件、供应链攻击来攻击西方,我们认为是时候让他们自己处理这些问题了。”
NB65进一步表示,他们永远不会针对俄罗斯以外的组织,任何赎金都将捐赠给乌克兰。
参考来源:BleepingComputer http://u6.gg/k08fz
(四)西门子及施耐德修复多个安全漏洞
工业巨头西门子和施耐德电气在4月12日共计发布了13份安全公告,涉及26个安全漏洞,其中一些为严重漏洞。这两家公司均已发布补丁或缓解措施来解决这些漏洞。
施耐德电气发布了两个漏洞,其中交互式图形SCADA系统IGSS中存在一个严重远程代码执行漏洞,是基于堆栈的缓冲区溢出,可以通过向目标系统发送特制消息来利用该漏洞。该漏洞在新版本中已修复。
另外一个漏洞是影响施耐德Modicon M340控制器以及这些设备的通信模块的高危拒绝服务(DoS)漏洞,攻击者可利用该漏洞向目标控制器发送特制的请求。
同时西门子发布了11份安全公告,其中SIMATIC Energy Manager产品存在三个漏洞,其中一个为CVSS 10分的严重数据反序列化漏洞,未经身份验证的攻击者可以利用该漏洞提升权限执行代码。
此外SCALANCE X交换机存在八个高危漏洞,许多可以在无需身份验证的情况下远程利用,可用于使设备崩溃、获取敏感信息和执行任意代码。
西门子还解决了Simcenter Femap、SIMATIC PCS neo、SIMATIC S7-400和SCALANCE W1700中的严重漏洞,许多此类漏洞可被用于DoS攻击。
DoS漏洞可能会对工业系统产生重大影响,因为利用此类漏洞可能导致代价高昂或破坏性的中断。西门子已在SIMATIC、Mendix和SICAM产品中修补或缓解了多个中危漏洞。
参考来源:SecurityWeek http://985.so/ww0c
(五)ABB网络接口模块存在高危漏洞,工业系统面临DoS攻击风险
工业巨头ABB的网络接口模块Symphony Plus SPIET800和PNI800中存在三个高危漏洞。网络接口模块可实现控制网络和运行工程工具或人机界面(HMI)的主机之间的通信。
由于这些产品处理特定数据包的方式,对控制网络具有本地访问权限或对系统服务器具有远程访问权限的攻击者可能会导致拒绝服务(DoS)情况,只有通过手动重启才能解决。
OT网络安全公司Verve Industrial研究人员发现了这些漏洞,漏洞编号为CVE-2021-22285、CVE-2021-22286和CVE-2021-22288,均为高危漏洞。
ABB在2月发布了针对这些漏洞的公告,美国CISA上周也发布了公告,向使用受影响产品的组织通报风险。ABB在漏洞公告中声称,计划在2022年第一季度提供补丁,但CISA的公告声称,修复程序应在第二季度发布。同时,可以通过确保恶意行为者无法访问易受攻击的设备来防止攻击。
Verve软件工程师Lance Lamont表示,“这些漏洞不需要设备上的任何特定访问或权限。如果可以启动与设备的网络连接,则可以利用该漏洞。”
关于利用互联网的可能性,Lamont解释表示,“在OT领域,通常需要大量工作来隔离内部工业控制设备和一般的互联网。许多技术可用于缓解此类漏洞,包括防火墙、VPN和数据二极管。如果使用正确配置的OT基础设施,通常很难或不可能从互联网上利用这些漏洞。”
ABB表示,利用这些漏洞可能会导致工业环境中断,除了直接影响SPIET800和PNI800设备外,连接到这些设备的系统也将受到影响。
当被要求描述利用这些漏洞导致的理论上的最坏情况时,Lamont解释表示,“当这些漏洞被利用时,它会导致设备不再通过其网络端口进行交互。在设备重新启动之前,无法远程向其发送命令或接收更新。鉴于这些设备可以用于各种各样的应用,很难或不可能描述最坏的情况,根据安装的具体情况,情况会非常不同。”
ABB在其2月份的公告中表示,其尚未发现任何利用这些漏洞的攻击。
参考来源:SecurityWeek http://985.so/wkvu
(六)美国工具制造商遭受Conti勒索软件攻击
美国高端工具制造商Snap-on在4月7日披露,其在3月份遭受了网络攻击,导致部分网络关闭,一些员工的个人信息可能泄露。
Snap-on是汽车、航空、船舶、铁路和重型工业使用的工具和设备制造商,旗下品牌包括Mitchell1、Norbar、Blue-Point、Blackhawk和Williams。
该公司在网站上表示,“3月初,Snap-on信息技术环境的某些领域检测到异常活动。作为我们防御协议的一部分,我们迅速关闭了网络连接,特别是考虑到各个机构的高度警告。我们在一家领先的外部取证公司的协助下开展了综合分析,将该事件确定为安全事件,并将此次入侵通知了执法部门。”
该公司在声明中表示,“自事件发生以来,我们继续开展商业活动,在系统接口被清除干净后恢复连接。工厂一直在运行,面向客户的应用程序正在运行,我们将继续与受影响的利益相关者沟通。”
Snap-on还指出,在发现事件后,立即对事件展开了调查,并认为此次攻击不会对公司的业务产生“重大影响”。威胁行为者在3月1日至3日期间窃取了员工的个人数据。
Snap-on在发送给员工的数据泄露通知信件中透露,该事件确实导致了个人信息泄露,可能被泄露的数据包括姓名、出生日期、社会安全号码和员工身份证号码。
Snap-on没有提供有关其受害的网络攻击类型的具体信息,但Conti勒索软件组织已声称对此次攻击负责。在Tor网络上的泄密网站上,Conti已经发布了大约5.7GB据称从Snap-on窃取的数据,称这些数据占公司泄露数据总量的60%。Conti迅速删除了泄密网站上的数据,可能是因为Snap-on为了不泄露数据已支付了赎金。
参考来源:SecurityWeek http://u6.gg/k0umi
(七)微软查封俄罗斯黑客组织Strontium攻击乌克兰使用的域名
微软发现,俄罗斯黑客组织Strontium正在攻击乌克兰机构网络以及美国和欧盟政府机构和智库,因此查封了该组织使用的7个域名。Strontium正试图建立对其目标系统的长期访问权限,为物理入侵提供战术支持并泄露敏感信息。
Strontium又名Fancy Bear、APT28、Pawn Storm、Sednit、Tsar Team或Sofacy,与俄罗斯军事情报机构GRU有关。
微软在4月7日博客文章中表示,“Strontium正在使用该基础设施来攻击包括媒体组织在内的乌克兰机构。它还针对美国和欧盟参与外交政策的政府机构和智库。我们认为Strontium正试图建立对其目标系统的长期访问权限,为物理入侵提供战术支持,并泄露敏感信息。我们已经将发现的活动和采取的行动通知了乌克兰政府。”
随着俄乌冲突持续,西方国家采取了一系列措施来破坏俄方网络行动,此次查封是其中的最新举措。4月6月美国政府表示,它破坏了由另一个与GRU相关的APT组织Sandworm构建的僵尸网络。研究人员报告称,GRU黑客团队之间存在一些重叠,但在某些情况下,这些活动归因于间谍机构内的不同单位。
微软在4月6日获得了与Strontium相关的扣押法院命令,随后将这些域重新定向到由微软控制的Sinkhole。这不是微软第一次接管互联网域名以阻止与俄罗斯有关的黑客攻击。
微软博客文章表示,“这种查封是从2016年开始的持续长期投资的一部分,旨在采取法律和技术行动来没收Strontium使用的基础设施。我们已经建立了一个法律程序,使我们能够为这项工作获得快速的法庭裁决。在本周之前,我们已经通过这个过程采取了15次行动,以夺取对100多个Strontium控制域的控制权。”
微软没有具体说明所涉及的互联网域名,也没有描述网络攻击的确切性质。该声明只是微软帮助乌克兰政府努力的一小部分。
微软表示,“自俄乌冲突开始以来,我们观察到,几乎所有俄罗斯民族国家行为者都在对乌克兰政府和关键基础设施进行持续的全面攻势,我们将继续与乌克兰政府和各类组织密切合作,以帮助他们抵御这场攻击。”
微软本身也是外国黑客无情施压的对象。网络犯罪组织Lapsus$在3月份声称,它已经入侵了微软的部分网络。微软调查并表示有一个账户已被盗用,访问权限有限。
参考来源:CyberScoop http://u6.gg/k08st
(八)泽连斯基发表演讲时芬兰政府网站遭受DDoS攻击
乌克兰总统泽连斯基4月8日在芬兰议会发表讲话时,芬兰国防部和外交部的网站遭受了大规模拒绝服务攻击,导致政府网络瘫痪。此次中断恰逢芬兰考虑加入北约,同一天芬兰国防机构声称一架俄罗斯飞机侵犯了其领空。
芬兰方面没有将矛头指向任何具体的罪犯,外交部也没有回应对责任方发表评论的请求。自从俄乌冲突开始以来,经常出现针对乌克兰目标的拒绝服务攻击。乌克兰明确指责克里姆林宫,有时美国支持这些指控。俄罗斯也一直对北约的扩张怀有敌意。
芬兰外交部发布的声明表示,“2022年4月8日星期五,大约中午开始,攻击者对外交部的外部网站发起了拒绝服务攻击。情况已于下午1点左右恢复正常,国务院已与服务提供商和芬兰网络安全机构一起采取措施遏制攻击。”
芬兰政府推特账户声称,此次攻击的影响有限。“由于网站受到保护,主要部分网站在攻击期间继续正常工作,”
在4月8日的讲话中,泽连斯基赞扬了芬兰在抵抗俄罗斯攻击方面提供的帮助,并呼吁提供进一步的帮助。尽管芬兰政府没有将DDoS攻击归咎于俄罗斯,但专家推测,这次攻击可能与芬兰向乌克兰提供的支持以及对入侵的谴责有关。
参考来源:CyberScoop http://u6.gg/k080r
(九)医院机器人存在远程攻击漏洞
Cynerio研究人员发现,Aethon公司的TUG自主移动机器人中存在五个漏洞,统称为JekyllBot:5,远程攻击者可以利用这些漏洞入侵设备,成功利用这些漏洞可能会导致拒绝服务状态,允许完全控制机器人功能,或暴露敏感信息。
TUG是Aethon为医院设计的自主移动机器人。它使用内置地图和传感器导航医院大厅,并通过Wi-Fi与电梯、火警和自动门进行通信。这些自主机器人在医院全天候工作,移动材料和临床用品。
研究人员在医院部署TUG自主移动机器人时发现了这些问题,电梯到服务器的异常HTTP网络流量包含有关医院的信息,即建筑物的地图、机器人的状态、视频和TUG系统收集的图片等。
仔细观察服务器,专家们发现可以在未经授权的情况下访问设备并接管TUG自主移动机器人。由于缺乏授权和身份检查,研究人员可以为系统创建新的管理员用户、访问用户凭据、甚至远程控制机器人。
研究人员发布的关于JekyllBot:5的报告显示,“去年年底,Cynerio Live研究人员检测到似乎与电梯和门传感器有关的异常网络流量。这反过来导致了一项调查,该调查揭示了从电梯到具有开放HTTP端口的服务器的连接,然后研究人员可以访问公司门户网站,其中包含有关Aethon TUG机器人当前状态、医院布局图和机器人看到的图片和视频。随后研究表明,通过这种未经授权的访问也可以控制机器人。”
研究人员展示了一些与利用JekyllBot:5漏洞相关的攻击场景。攻击者可以劫持机器人,将它们撞到人和物体上,用它们骚扰患者和工作人员,进行监视,干扰关键患者药物的交付,违反HIPAA访问患者医疗记录等等。
研究人员还解释表示,攻击者可以利用JekyllBot:5漏洞劫持机器人在线门户中的合法管理用户会话,并通过其浏览器注入恶意软件以进行进一步的恶意活动。
参考来源:SecurityAffairs http://985.so/wedy
(十)夏威夷海底通信电缆遭受网络攻击
美国国土安全部调查部门(HSI)发现,有一个国际黑客组织针对连接夏威夷电话、互联网、有线电视和手机服务的水下电缆发起了重大网络攻击。受影响的私营公司管理连接夏威夷和太平洋地区的海底电缆,瓦胡岛的基础设施服务遭受攻击。
HSI负责人John F. Tobon在声明中表示,“这只是HSI在夏威夷和太平洋地区应对的众多网络事件中的一个。我们不仅积极追捕这些威胁行为者,而且还为私营部门的受害者提供重要支持。”
HSI员工根据外州同事的提示,确定了这次攻击,并采取措施阻止访问。HSI确定了一个对这次攻击负责的国际黑客组织,并与多个国家的国际执法合作伙伴合作逮捕了一名嫌疑人。
HSI没有立即公布在夏威夷的私人公司名称、嫌疑人被捕的国家或嫌疑人姓名。调查人员没有立即详细说明嫌疑人和国际黑客组织希望通过这次攻击达到什么目标,也没有立即详细说明潜在的刑事指控。
Tobon表示,“HSI Honolulu每天都站在网络战斗的前线,我们在这一领域的专业知识无与伦比。我们生活在天堂,但这并不意味着威胁减弱,尤其是在网络世界。我们的目标是在造成严重破坏之前阻止黑客。”
Tobon表示,夏威夷的关键电信基础设施受到的破坏得到了预防,目前没有直接威胁。据国土安全部称,HSI负责调查跨国犯罪和威胁,特别是通过国际贸易、旅行和金融利用全球基础设施的犯罪组织。
参考来源:StarAdvertiser http://985.so/we8x
(十一)执法部门关闭暗网市场RaidForums
美国司法部4月12日宣布查封了暗网市场RaidForums,该网站是网络犯罪分子买卖黑客数据的热门市场,并对RaidForums创始人兼首席管理员、葡萄牙21岁的Diogo Santos Coelho提出刑事指控。应美国要求,Coelho于1月31日在英国被捕,目前仍被拘留,等待引渡程序解决。
该名为TOURNIQUET的国际执法行动由美国FBI、美国特勤局、欧洲刑警组织、英国国家犯罪局、瑞典警察局、罗马尼亚警察局、葡萄牙司法警察局、国税局刑事调查局、德国联邦刑事警察局联合执法提供支持。
公开法庭记录表明,美国最近获得了司法授权,可以查封长期托管RaidForums网站的三个域名raidforums.com、Rf.ws和Raid.lol。根据为支持这些扣押而提交的证词,从2016年或前后到2022年2月,RaidForums充当了一个主要的在线市场,供个人买卖被黑客入侵或被盗的数据库,其中包含美国及其他地区受害者的敏感个人和财务信息,包括被盗的银行帐号、信用卡信息、登录凭据和社会安全号码。
美国司法部刑事司助理总检察长Kenneth A. Polite, Jr.表示,“这个用于转售被黑或被盗数据的在线市场的取缔,破坏了网络犯罪分子从大规模盗窃敏感的个人和财务信息中获利的主要方式之一。这是与我们的国际执法合作伙伴合作导致犯罪市场关闭并逮捕其管理员的另一个例子。”
弗吉尼亚东区检察官Jessica D. Aber表示,“我们的跨部门努力拆除这个复杂的在线平台,它促进了广泛的犯罪活动,应该是对数百万受害的人的一种宽慰,并作为对那些参与这些类型的邪恶活动的网络犯罪分子的警告。网络匿名无法保护本案被告免受起诉,也无法保护其他网络犯罪分子。”
联邦调查局华盛顿办事处主管助理主任StevenM.D'Antuono表示,“RaidForums网站的查封,该网站促进了从全球数百万人手中被盗的数据的出售。对市场管理员的指控,证明了FBI国际合作伙伴关系的实力。网络犯罪超越国界,这就是为什么FBI致力于与我们的合作伙伴合作,将网络犯罪分子绳之以法,无论他们生活在世界的哪个地方,或者他们试图隐藏在什么设备后面。”
美国特勤局刑事调查部负责特别探员Jason D. Kane表示,“这项全球调查表明美国特勤局的非凡奉献精神,并突出了我们与外国执法同行的合作伙伴关系,这对于破坏复杂的网络犯罪网络至关重要。此案体现了各级执法部门的团队合作,以阻止这些网络犯罪分子欺骗美国和我们伙伴国家的公民。”
在扣押之前,RaidForums成员使用该平台出售数百个被盗数据数据库,其中包含居住在美国和国际上的个人的超过100亿条独特记录。在2015年成立时,RaidForums还作为组织和支持电子骚扰形式的在线场所运营,包括在受害者的在线通信媒体上发布或发送大量联系信息,或向公共安全机构虚假报告需要立即采取重大武装执法反应的情况。
政府查封这些域名将阻止RaidForums成员使用该平台传输从美国和其他地方的公司、大学和政府实体窃取的数据,包括包含全球数百万个人敏感私人数据的数据库。
此外,针对Coelho的六项指控在弗吉尼亚州东区被启封,指控他因作为RaidForums首席管理员的角色有关的共谋罪、访问设备欺诈罪、和严重身份盗窃罪。根据起诉书,在2015年1月1日至2022年1月31日前后,Coelho据称控制并担任RaidForums的首席管理员,他在其他网站管理员的帮助下运营该网站。作为管理员,Coelho和他的同谋被指控设计和管理平台的软件和计算机基础设施,为其用户制定和执行规则,并创建和管理网站中专门用于促进违禁品买卖的部分。
为了从平台上的非法活动中获利,RaidForums对提供更多访问权限和功能的会员等级收取不断上涨的价格。RaidForums还出售“信用”,让会员可以访问网站的特权区域,并使会员能够“解锁”和下载被盗的财务信息、身份识别方式和来自受损数据库的数据等。会员还可以通过其他方式获得积分,例如发布有关如何实施某些非法行为的说明。
根据起诉书,Coelho还亲自在平台上出售被盗数据,并通过运营收费的“官方中间人”服务直接促成非法交易。对于官方中间人服务,Coelho据称充当了RaidForums成员之间的可信中介,寻求在平台上买卖违禁品,包括被黑数据。值得注意的是,为了在交易方之间建立信任,官方中间人服务使买卖双方能够在执行交易之前验证付款方式和出售的违禁品文件。
参考来源:DoJ http://985.so/wdhr
(十二)多公司联合创建新OT网络安全联盟
多家网络安全组织联合发起了一个名为“OT网络安全联盟”的组织,创始成员包括Claroty、Forescout、霍尼韦尔、Nozomi Networks和Tenable。该联盟的目标是帮助加强美国工业控制系统(ICS)和关键基础设施的防御。
该联盟将与政府和行业利益相关者合作,开发供应商中立、基于标准的网络安全解决方案。该组织将倡导政府在技术方面保持中立立场,同时鼓励发展更大的网络安全供应商社区。
该联盟将为政府和关键基础设施所有者和运营商提供有关标准、最佳实践和政策影响的专业知识,还旨在成为“决策者值得信赖的顾问”,为提案提供反馈并推进自己的想法。
OT网络联盟倡导供应商中立、可互操作和基于标准的网络安全解决方案,并与行业和政府利益相关者合作,探讨如何最好地部署数据共享解决方案,以增强国家的集体防御。该努力支持了竞争性解决方案促进创新和加强我们的国家安全的观念。
OT网络联盟代表了广泛的人员、流程和技术,并为适用于整个OT生命周期的最佳实践提供了独特而重要的视角。
通过与美国政府的直接接触,OT网络联盟将鼓励采用互操作性和供应商中立的网络安全特性,提供行业专业知识,分享对公共政策提案的反馈,并倡导增加对联邦OT网络安全的资金。
Claroty首席产品官兼首席信息安全官Grant Geyer表示,“鉴于巨大的风险暴露、更危险的威胁行为者、以及对国家安全和社会的风险,政府需要利用所有可用的网络能力来保护关键基础设施。在保护关键基础设施方面,没有任何实体或供应商拥有垄断权,而供应商中立和开放标准的方法可以确保我们齐心协力保护国家安全。”
Forescout威胁防御副总裁Shawn Taylor表示,“我们的综合客户群代表了关键基础设施中最大和最具影响力的组织。 我们有潜力收集资产信息、漏洞数据、威胁和安全事件以及风险状态,以提供实时洞察力和数据,帮助支持美国政府、资产所有者和运营商,作为我们集体防御任务的一部分。”
霍尼韦尔互联企业OT网络安全副总裁兼总经理Jeff Zindel表示,“尽管我们可能是一群具有竞争力的OT网络安全公司,但我们也非常热衷于合作,改善这些有时脆弱的OT环境的网络安全。这项工作对于保护我们国家的关键基础设施至关重要。”
Nozomi Networks联合创始人兼CPO Andrea Carcano表示,“为了应对针对关键基础设施的威胁日益增多,网络安全行业必须采用竞争性创新和开放信息共享,以共同加强防御。作为联盟的创始成员,我们期待帮助推进这些关键优先事项,以加强我国最关键基础设施的安全。”
Tenable运营技术安全副总裁Marty Edwards表示,“我们的公司代表了整个OT生命周期,美国政府和关键基础设施运营商可以战略性地利用我们的公司,提供咨询服务,来保护自己并提高国家防备能力。我们期待着共同推动这些目标。”
参考来源:OTCyberCoalition http://u6.gg/k0u9m
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
