关键信息基础设施安全动态周报【2022年第7期】
发布时间:
2022-02-25
来源:
作者:
天地和兴
访问量:
742
目 录
第一章 国内关键信息基础设施安全动态
(一)Deadbolt勒索软件攻击Asustor NAS设备
第二章国外关键信息基础设施安全动态
(一)新型恶意软件HermeticWiper攻击乌克兰计算机
(二)拜登获得对俄罗斯进行大规模网络攻击的方法
(三)黑客组织Anonymous宣布对俄罗斯政府发起网络战
(四)俄罗斯可使用加密货币逃避美国制裁
(五)针对ICS及OT系统的威胁组织数量不断增加
(六)CISA警告外国影响行动针对关键基础设施
(七)CISA发布免费网络安全服务和工具清单
(八)研究人员发现美国NSA方程式组织使用的顶级后门Bvp47
(九)美国货运物流公司Expeditors遭受网络攻击导致全球运营中断
(十)研究人员可利用Hive勒索软件加密算法漏洞解密数据
(十一)新型量子秘钥分发网络可抵抗量子计算攻击
(十二)英美警告称伊朗支持的黑客组织MuddyWater针对全球政府和商业网络开展网络行动
(十三)Trickbot恶意软件被Conti勒索软件组织接管
第一章 国内关键信息基础设施安全动态
(一)Deadbolt勒索软件攻击Asustor NAS设备
存储解决方案提供商Asustor(华芸科技)发布警告称,提醒用户注意针对其网络附加存储(NAS)设备的Deadbolt勒索软件攻击。
自1月份以来,Deadbolt勒索软件运营商声称利用零日漏洞进行初始访问,一直瞄准面向互联网的QNAP NAS设备,并成功快速入侵了许多系统。
在针对QNAP设备的攻击中,勒索软件运营商要求受害者支付0.03比特币的赎金,约合1,100美元,以换取解密密钥。鉴于这些和其他攻击,QNAP将部分EOL设备的安全更新延长至2022年10月。QNAP还鼓励用户妥善保护NAS设备,并确保不会直接暴露在互联网上。
在新的Deadbolt勒索软件攻击之后,Asustor也敦促用户通过更改默认端口(包括Web访问端口)、立即备份设备上的数据、关闭终端/SSH和SFTP服务来提高其NAS设备的安全性,并禁用EZ Connect。
Asustor建议立即从互联网上拔下插头,并关闭感染了Deadbolt的设备。不应初始化此类设备,因为这会删除所有数据,相反,建议用户联系该公司。
在警报中,新西兰CERT团队指出,暴露于互联网并运行ADM操作系统的Asustor型号AS5104T、AS5304T、AS6404T、AS7004T、AS5202T、AS6302T和AS1104T存在感染风险。
用户可以通过登录QNAP或Asustor NAS并搜索具有.deadbolt扩展名的设备来识别受感染的设备。
新西兰CERT鼓励所有组织在可用的情况下应用安全更新,因为攻击者正在利用NAS设备中的漏洞来获取访问权限并加密数据。
参考来源:SecurityWeek http://u6.gg/kpw6x
第二章 国外关键信息基础设施安全动态
(一)新型恶意软件HermeticWiper攻击乌克兰计算机
就在俄罗斯准备针对乌克兰进行军事行动之际,乌克兰政府网站遭受了DDoS攻击,以及乌克兰数百台设备上发现了一种新的恶意软件HermeticWiper。
这种新型恶意软件名为HermeticWiper,旨在清除受感染的Windows设备。该恶意软件的名称源于用于签署恶意软件样本的数字证书,该证书颁发给了一家名为Hermetica Digital的塞浦路斯公司。
端点安全公司SentinelOne一位一直在分析新型恶意软件的研究人员表示,“目前,我们还没有看到任何使用此证书签名的合法文件。攻击者可能使用空壳公司或挪用已倒闭的公司来颁发此数字证书。”
ESET和赛门铁克的研究人员还分析了该恶意软件。每家公司都共享与HermeticWiper相关的妥协指标(IoC)。
ESET于乌克兰时间周三下午首次发现了HermeticWiper,并表示乌克兰有数百台计算机遭到入侵。ESET指出,它观察到的恶意软件样本是在2021年12月下旬编译的,这表明攻击可能已经进行了近两个月。研究表明,至少在一种情况下,恶意软件可能是在攻击者控制受害者的Active Directory服务器之后交付的。
Wiper滥用与名为EaseUS Partition Master的应用程序相关的合法驱动程序。它试图破坏每个物理驱动器的主引导记录(MBR),以及这些驱动器上的每个分区。
这是2022年针对乌克兰的第二次破坏性恶意软件攻击。1月份,威胁行为者破坏了乌克兰政府网站,并释放了名为WhisperGate的擦除恶意软件,该恶意软件伪装成勒索软件。
虽然分析HermeticWiper的网络安全公司没有将恶意软件归咎于任何已知的威胁组织,鉴于目前的情况,最有可能的罪魁祸首是俄罗斯。对于1月份攻击中使用的擦除恶意软件,乌克兰表示有证据表明俄罗斯对此负责。
参考来源:SecurityWeek http://u6.gg/kp9f9
(二)拜登获得对俄罗斯进行大规模网络攻击的方法
据NBC新闻报道,四位知情人士称,美国总统拜登已收到一份可供美国实施大规模网络攻击的选项菜单,这些攻击旨在破坏俄罗斯维持其在乌克兰的军事行动的能力。
两名美国情报官员、一名西方情报官员和另一名知情人士表示,尚未做出最终决定,但他们表示,美国情报和军事网络战士正在提议以前所未有的规模使用美国网络武器。三位消息人士称,其中的选项包括:中断俄罗斯的互联网连接、切断电力供应、以及篡改铁路道岔,以阻碍俄罗斯为其部队补给的能力。
一位知情人士说称,“你可以做任何事情,从让火车减速到让它们从轨道上掉下来。”
一位美国官员说,“我们的反应将是严厉和慎重的,但不会严厉到鼓励普京采取更严厉的措施。”消息人士称,提出的选项包括对俄罗斯入侵乌克兰采取的先发制人反应,不管俄罗斯是否为报复制裁而对美国发动网络攻击。他们表示,正在考虑的大多数潜在网络攻击旨在破坏而非摧毁,因此不属于美国对俄罗斯的战争行为。他们说这个想法是为了伤害网络,而不是人。官员们正在就袭击发生的法律权威进行辩论,无论是秘密行动还是秘密军事活动。消息人士称,无论哪种方式,美国都不会公开承认进行了这些行动。美国网络司令部、国家安全局、中央情报局和其他机构将在行动中发挥作用。
白宫最初没有回应置评请求,美国国家安全委员会发言人艾米莉·霍恩在一份声明中表示,“这份报告完全偏离了基本原则,并没有以任何形式反映实际讨论的内容。”
知情人士表示,美国政府内部存在重大分歧,一个阵营担心事态升级,另一个阵营则敦促采取强有力的网络应对措施。
报道发布几小时后,新闻秘书Jen Psaki在推文中表示,“NBC搞错了,这份关于提交给拜登的关于网络选项的报告是不符合事实的,并没有以任何形式反映实际讨论的内容。”
任何使用网络武器报复俄罗斯入侵乌克兰的行为都将成为美国网络行动的转折点,这些行动主要集中在情报收集、信息行动和有针对性的打击上,其中许多是出于反恐目的。美国网络能力最重要的用途被认为是2007年至2010年对伊朗核计划的Stuxnet攻击,该攻击使用计算机恶意软件造成了巨大的物理破坏。
但专家表示,多年来,美国一直在为可能针对俄罗斯、中国和其他对手的网络行动奠定基础。这些国家在美国的基础设施网络上也做了同样的事情。
战略与国际研究中心的网络专家James Lewis表示,“网络武器的使用方式将是我们从未使用过的,为我们提供了前所未有的选择。”
官员们强调,向拜登提出的选择范围很广,从相当温和的干扰到剧烈的干扰。消息人士称,美国官员预计,俄罗斯将进行报复,可能会采取旨在伤害美国消费者的类似于Colonial Pipeline的攻击。
一位美国官员声称,“我们能对他们做的任何事,他们也能对我们做。”
一些专家表示,升级的风险很高。Silverado Policy Accelerator的网络安全专家Dmitri Alperovitch表示,“我们最不想看到的是美国和俄罗斯之间的网络针锋相对,看看谁能摧毁对方的关键基础设施。我认为这是可怕的升级,可能对我们的安全造成毁灭性影响,并可能将我们拖入战争。”
网络专家John Cofrancesco表示,“911不太可能,但俄罗斯人可能会对影响日常美国人的部分基础设施进行非常战略性的攻击,例如抬高天然气价格。这是标准的俄罗斯操作程序。”
Fortress Information Security政府事务副总裁Cofrancesco表示,“我们必须开始表现得好像网络武器实际上就是武器,他们可以将攻击带回家,我们需要为此做好准备。”
一位西方情报官员表示,美国的网络选择“将以道德和反应相称性为指导,同时考虑到任何附带损害的可能性,尤其是平民损害。美国没有与俄罗斯交战。”
参考来源:NBC http://u6.gg/kpbnp
(三)黑客组织Anonymous宣布对俄罗斯政府发起网络战
大约30分钟后,他们宣布已经关闭了克里姆林宫支持的电视频道RT的网站。该频道在英国播出,并因其报道而受到严厉批评。受到影响该网站无法访问,并且只显示一条错误消息,上面写着“无法访问此站点”。截至目前,今日俄罗斯RT的新闻网站页面可以正常登陆。
在俄罗斯对乌克兰发动军事行动后,黑客组织Anonymous宣布对俄罗斯政府发动网络战争。Anonymous组织2月25日在推特账户上发表了这一声明。“Anonymous正式对俄罗斯政府发起网络战争”。
网络战争宣言提出了俄罗斯可能在未来几天内遭受系统性黑客攻击的可能性。在乌克兰遭受攻击之前,该国政府和银行成为大规模网络攻击的目标,据信该攻击是由俄罗斯实施的。
社交媒体上的人们对Anonymous对普京的网络战争宣言做出了积极回应。有人表示,“谢谢!现在,努力耗尽他们的资金。你太棒了,谢谢。”
Anonymous在关于RT的推文中说称,“Anonymous集体已经关闭了俄罗斯宣传站RT News的网站。”
Anonymous此前曾针对包括三K党和伊斯兰极端分子在内的团体。去年7月,该集体警告特斯拉创始人埃隆·马斯克,在表示他对加密货币市场拥有过多权力后,他们计划瞄准马斯克。
参考来源:DailyMail http://u6.gg/kp9py
(四)俄罗斯可使用加密货币逃避美国制裁
当美国在2014年入侵克里米亚之后,禁止人们与俄罗斯银行、石油和汽油制造商以及其他公司开展业务,对俄罗斯金融体系的打击是迅速而巨大的。经济学家估计,西方国家实施的制裁使俄罗斯每12个月损失500亿美元。从那时起,加密货币和不同数字资产的全球市场迅速膨胀。这对制裁执行者来说是危险的信息,对俄罗斯来说是个好消息。
2月22日,拜登政府就乌克兰战争对俄罗斯实施了当代制裁,旨在阻止俄罗斯进入海外资本。然而专家表示,俄罗斯实体正准备与全世界任何愿意与他们合作的人进行交易,来缓冲最糟糕的结果。实体可以使用数字货币绕过政府依赖的管理因素,主要是银行的现金转移,来阻止交易的执行。
前联邦检察官,现在负责华盛顿特区监管机构Ferrari & Associates的反洗钱和制裁申请的Michael Parker表示,“俄罗斯有很多时间来考虑这一特殊后果,假设他们没有完全解决这种情况可能是天真的。”
制裁是美国和欧洲国际地区必须影响他们不认为盟友的国家的行为的一些最强有力的工具。美国特别准备将制裁用作外交软件,因为美元是世界储备外汇,并在全球范围内使用。然而,美国当局官员越来越意识到加密货币有可能减少制裁的影响,并正在加强对数字财产的审查。
要使用制裁,当局会列出其居民应远离的个人和公司。任何被发现与列表成员一起参与的人都将面临巨额罚款。然而,任何有效制裁计划的实际关键是全球货币体系。世界各地的银行在执法方面发挥着重要作用:他们看到现金的来源和确定的地方,反洗钱法律指南要求他们阻止与受制裁实体的交易,并向当局报告他们看到的情况。但是,当银行成为这所房子里政府的耳目时,数字货币的爆炸式增长让他们眼花缭乱。
银行必须遵守“了解买家”指导原则,其中包括验证其购买者的身份。然而,促进购买和推广加密货币和数字资产的交易所和不同平台在监控其前景方面几乎没有银行那么好,尽管它们被假定遵守相同的准则。10月,美国财政部警告说,加密货币对美国制裁计划构成越来越严重的风险,美国当局希望就这方面的专业知识进行自我教育。
专家表示,为了选择逃避制裁,俄罗斯拥有许多与加密货币相关的工具可供使用。它想要的只是在不触及美元的情况下寻找商业方法。
俄罗斯当局正在创建其个人中央金融机构数字外汇,即所谓的数字卢布,它希望利用它直接与准备接受它的不同国际地点进行贸易,而无需先将其兑换成美元。勒索软件等黑客策略可能会帮助俄罗斯行为者窃取数字货币,并弥补因制裁而错失的收入。
尽管加密货币交易记录在底层区块链上,使它们变得清晰,但俄罗斯开发的新工具将有助于掩盖此类交易的起源。这可能使公司能够在不被发现的情况下与俄罗斯实体进行贸易。
这类变通办法有先例。伊朗和朝鲜是使用数字货币来减轻西方制裁后果的国际地区之一,美国和联合国官员不久前还注意到了这种模式。例如,根据联合国的一份报告,朝鲜使用勒索软件窃取加密货币来资助其核计划。
2020年10月,俄罗斯中央金融机构的代表指示莫斯科一家报纸,全新的“数字卢布”将使该国对美国的依赖程度大大降低,并为抵御制裁做好准备。它可能让俄罗斯实体在全球银行系统之外与任何准备进行数字外汇交易的国家进行交易。
俄罗斯可能会在受美国制裁的不同国家发现有准备的伙伴,包括伊朗,它们也在创造政府支持的数字货币。中国是俄罗斯最大的进出口贸易伙伴,与世界金融机构保持一致,已推出其个人中央金融机构数字外汇。不久前,中国国家主席习近平将中国与俄罗斯的关系描述为“没有限制”。
研究加密货币对制裁后果的新美国安全中心研究员Yaya Fanusie表示,中央银行直接交换数字货币的创建系统会产生新的危险。“美国制裁力度的减弱来自一个系统,这些国家能够在不通过全球银行系统的情况下进行交易。”
2月初,公正的制裁屏幕指示联合国安全理事会,朝鲜正在利用加密货币为其核和弹道导弹计划提供资金。挪威常驻联合国代表团的一位发言人证实了该报告的存在,该报告尚未公开。五月,咨询机构Elliptic描述了伊朗如何利用比特币采矿收入来弥补对其能力的限制由于制裁促进石油。
受制裁的俄罗斯实体可能会部署自己的规避技术,利用勒索软件攻击。剧本很简单:黑客闯入个人电脑网络并锁定数字信息,直到受害者支付其发布费用,通常以加密货币支付。
俄罗斯处于勒索软件业务崛起的核心。根据区块链跟踪机构Chainalysis在2月14日的报告,前12个月,全球约74%的勒索软件收入或超过4亿美元的加密货币价格流向了最有可能与俄罗斯没有直接关联的实体。
非法资金还通过名为Hydra的黑暗互联网市场流入俄罗斯,该市场由加密货币提供支持,根据Chainalysis的数据,2020年的总销售额超过10亿美元。该平台的严格指导方针,允许卖家仅通过某些区域交易所清算加密货币,使得研究人员难以遵守现金。
Chainalysis分析主管Kim Grauer表示,“我们都知道没有任何问题,而且我们都知道Hydra不仅在日本欧洲运营,而且在整个西欧运营。有积极的跨境企业出现。”
参考来源:Newspostalk http://u6.gg/kp9c9
(五)针对ICS及OT系统的威胁组织数量不断增加
工业网络安全公司Dragos最近报告称,越来越多的威胁组织将具有工业控制系统(ICS)或其他操作技术(OT)环境的组织作为攻击目标。
Dragos去年发现了三个似乎对ICS/OT感兴趣的新组织,这使该公司跟踪的此类团体总数达到18个。2021年发现的新团体被跟踪为KOSTOVITE、ERYTHRITE和PETROVITE,其中前两个实际上设法直接访问了ICS/OT网络。
PETROVITE以哈萨克斯坦的采矿和能源业务为目标,对收集有关ICS/OT系统和网络的数据表现出兴趣,但尚未真正获得对这些类型系统的访问权限。自2019年第三季度以来发生了PETROVITE攻击事件。
PETROVITE活动与俄罗斯有关的KAMACITE Fancy Bear之间似乎存在一些重叠。KAMACITE的目标是美国能源公司。
至于被追踪为KOSTOVITE的组织,据观察它的目标是北美和澳大利亚的可再生能源部门。黑客在他们的攻击中使用了高度定制的WebShell和零日漏洞,以及离地技术。与PETROVITE不同,KOSTOVITE已成功访问其目标的OT网络和设备。
KOSTOVITE于2021年首次出现在行动中,与一个名为UNC2630的组织存在重大技术重叠,该组织可能是中国政府支持的威胁行为者。
第三个新组织ERYTHRITE已针对美国和加拿大的许多组织,包括财富500强公司、大型电力公司、食品和饮料公司、IT公司、石油和天然气公司以及汽车制造商。该组织至少自2020年5月以来一直活跃,并且还设法突破了OT环境。
已经发现ERYTHRITE和Solarmarker之间的联系,该组织被发现向广泛的组织提供信息窃取恶意软件。
Dragos警告称,“ERYTHRITE对凭证的大规模泄露给在其IT和ICS/OT环境中使用通用身份验证系统或凭证的受害者带来了特殊风险。”
Dragos还分析了针对工业部门的勒索软件攻击,其中制造业似乎是最具针对性的(有211次攻击),其次是食品和饮料(35)、交通(27)、能源(13)和石油和天然气(10),其中大部分攻击涉及LockBit 2.0和Conti勒索软件。
Dragos在2021年对1,703个ICS/OT漏洞进行了分类,这些漏洞已被分配了CVE编号,是前一年的两倍多。Dragos分析的三分之二以上的漏洞影响了位于工业网络深处的系统。
参考来源:SecurityWeek http://u6.gg/kp96d
(六)CISA警告外国影响行动针对关键基础设施
美国CISA最新发布了指南,为关键基础设施组织提供了有关如何准备和减轻外国影响行动的指导。恶意行为者可能会使用错误信息、虚假信息和恶意信息等策略来塑造公众舆论、破坏信任并扩大分歧,这可能会对多个部门的关键职能和服务造成影响。
利用错误信息、虚假信息和恶意信息(MDM)以及其他策略,外国影响力行动旨在破坏对关键基础设施的信任、扰乱市场、挑拨离间,并破坏美国及其盟国的安全。
当有影响力的个人持续推动和强化时,MDM叙述可能会产生放大效应,尤其是在针对国家关键职能(NCF)和关键基础设施时。
近年来,针对美国受众的外国影响力行动与网络攻击相结合,造成混乱和焦虑。鉴于俄罗斯和乌克兰之间的紧张局势加剧,关键基础设施组织可能面临成为类似行动目标的风险。
CISA表示,“最近在国外观察到的外国影响力行动表明,外国政府和相关行为者有能力迅速采用复杂的影响力技术,瞄准美国受众,以破坏美国的关键基础设施,并破坏美国的利益和权威。”
CISA的指南旨在帮助关键基础设施组织更好地了解与在社交媒体和其他在线平台上进行的影响操作相关的风险,并指导他们可以在内部采取哪些步骤来提高其弹性。
CISA表示,所有组织都应评估先前观察到的针对其行业的MDM叙述,了解其利益相关者和客户使用的信息来源,与主要利益相关者建立沟通渠道,并密切关注与其行业相关的在线活动的任何变化。
此外,组织应识别MDM参与者可能利用的任何漏洞,并应教育其员工使用多因素身份验证保护其社交媒体账户并实践智能电子邮件卫生。
CISA表示,“恶意行为者可以利用黑客和其他网络活动作为影响行动的一部分。劫持账户和破坏面向公众的网站可用于影响公众舆论。组织应该意识到网络风险,并采取行动降低潜在破坏性妥协的可能性和影响。”
此外,CISA建议组织与其利益相关者建立清晰的沟通渠道,尽可能清晰地在其网站上提供信息,并审查其社交媒体的存在和社交媒体账户的访问权限。
CISA还指出,决策者应与其所在行业的其他实体进行积极沟通,以建立一个可信网络,并且应制定MDM事件响应流程,以准备减轻与针对其组织的网络活动相结合的任何影响操作。
CISA表示,“在当今的信息环境中,关键基础设施所有者和运营商必须在响应MDM方面发挥积极作用。虽然每个MDM叙述会有所不同,但事件响应的TRUST模型可以帮助降低风险并保护利益相关者。”
参考来源:SecurityWeek http://u6.gg/k3tuu
(七)CISA发布免费网络安全服务和工具清单
美国CISA近日发布了一份免费的网络安全工具和服务清单,以帮助组织提高安全能力,降低网络安全风险,并更好地防御网络攻击。该列表旨在结合强大的网络安全计划的基线安全实践,使实体的网络安全风险管理成熟。该列表包含CISA的服务、开源实用程序、以及来自公共和私营部门组织的免费工具和服务,涵盖了防御者进行的广泛活动,从事件响应到威胁检测。
作为CISA降低美国关键基础设施合作伙伴和州、地方、部落和地区政府网络安全风险的持续任务的一部分,CISA编制了一份免费网络安全工具和服务清单,以帮助组织进一步提高其安全能力。该清单包括CISA提供的网络安全服务、广泛使用的开源工具、以及整个网络安全社区中私营和公共部门组织提供的免费工具和服务。CISA将为组织实施一个流程,以在未来提交额外的免费工具和服务以纳入此列表。
所有组织都应采取基本措施来实施强大的网络安全计划,包括:修复软件中已知的安全漏洞、实施多因素身份验证、停止不良做法、注册CISA网络卫生漏洞扫描、远离搜索(SOS)。
组织可使用以下四类免费服务和工具来完善其网络安全风险管理,包括:降低破坏性网络事件的可能性、快速检测恶意活动、有效应对已确认的事件、最大限度地提高弹性。
参考来源:CISA http://u6.gg/k3778
(八)研究人员发现美国NSA方程式组织使用的顶级后门Bvp47
盘古实验室研究人员披露了一款名为Bvp47的Linux后门,该后门与美国国家全局(NSA)有关的方程式组织(Equation Group)有关联,即Bvp47是NSA的顶级后门。该后门用于攻击北美、欧洲和亚洲的电信、高等教育、军事、科学和经济发展部门的组织,涉及45个国家的近300个实体。
2013年,盘古实验室研究员在针对某国内要害部门主机的调查过程中,提取了一个经过复杂加密的Linux平台后门,其使用的基于SYN包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁设计前所未见。在不能完全解密的情况下,进一步发现这个后门程序需要与主机绑定的校验码才能正常运行,随后研究人员又破解了校验码,并成功运行了这个后门程序,从部分行为功能上断定这是一个顶级APT后门程序,但是进一步调查需要攻击者的非对称加密私钥才能激活远控功能,至此研究人员的调查受阻。基于样本中最常见的字符串“Bvp”和加密算法中使用数值0x47,命名为“Bvp47”。
2016年,知名黑客组织“影子经纪人”(The Shadow Brokers)宣称成功黑进了“方程式组织”,并于2016年和2017年先后公布了大量“方程式组织”的黑客工具和数据。盘古实验室成员从“影子经纪人”公布的文件中,发现了一组疑似包含私钥的文件,恰好正是唯一可以激活Bvp47顶级后门的非对称加密私钥,可直接远程激活并控制Bvp47顶级后门。可以断定,Bvp47是属于“方程式组织”的黑客工具。
研究人员通过进一步研究发现,“影子经纪人”公开的多个程序和攻击操作手册,与2013年前美国中情局分析师斯诺登在“棱镜门”事件中曝光的NSA网络攻击平台操作手册中所使用的唯一标识符完全吻合。
鉴于美国政府以“未经允许传播国家防务信息和有意传播机密情报”等三项罪名起诉斯诺登,可以认定“影子经纪人”公布的文件确属NSA无疑,这可以充分证明,方程式组织隶属于NSA,即Bvp47是NSA的顶级后门。
“影子经济人”的文档揭示受害范围超过45个国家287个目标,包括俄罗斯、日本、西班牙、德国、意大利等,持续十几年时间,某日本受害者被利用作为跳板对目标发起攻击。
盘古实验室为多起Bvp47同源样本事件起了一个代号“电幕行动”。电幕(Telescreen)是英国作家乔治·奥威尔在小说《1984》中想象的一个设备,可以用来远程监控部署了电幕的人或组织,“思想警察”可以任意监视任意电幕的信息和行为。
方程式组织是世界超一流的网络攻击组织,普遍认为隶属于美国国家安全局NSA。从所获取的包括Bvp47在内的相关攻击工具平台来看,方程式组织确实堪称技术一流,工具平台设计良好、功能强大、广泛适配,底层以0day漏洞体现的网络攻击能力在当时的互联网上可以说畅通无阻,获取被隐秘控制下的数据如探囊取物,在国家级的网空对抗中处于主导地位。
本文版权归原作者所有,参考来源:盘古实验室http://u6.gg/kpaz2
(九)美国货运物流公司Expeditors遭受网络攻击导致全球运营中断
美国货运物流公司Expeditors披露其在2月20日遭受了网络攻击,迫使其关闭了全球大部分业务。该公司没有披露攻击的类型,但疑似是勒索软件事件。
Expeditors总部位于美国西雅图,是财富500强公司,年总收入约为100亿美元,在全球350个地点拥有18,000多名员工,为客户提供关键的物流解决方案,服务包括供应链、仓储和配送、运输、海关和合规。
该公司2月20日发布公告称,其成为了有针对性的网络攻击受害者。发现此事件后,该公司在全球范围内关闭了大部分操作系统,以管理整个全球系统环境的安全。情况在不断变化,Expeditors正在与全球网络安全专家合作来应对这一局面。目前该公司的系统已关闭,开展业务的能力将受到限制,包括但不限于安排货运或管理客户货物的海关和配送活动。
系统的安全性、最大限度地减少对客户的影响、以及为客户提供及时准确的信息是Expeditors的首要任务。该公司正在进行彻底调查,以确保系统在平行轨道上得到及时、安全的恢复,并与运营商和服务提供商一起评估减轻此事件对客户的影响的方法。由于该过程还处于早期阶段,无法就何时恢复运营提供任何具体的预测,但会提供定期更新。
该公告称,“我们正在承担与网络攻击相关的费用,以调查和补救此事,并预计将来会继续产生这种性质的费用。根据我们业务关闭的时间长短,这种网络攻击的影响可能会对我们的业务、收入、运营结果和声誉产生重大不利影响。”
参考来源:Expeditors http://u6.gg/k3vpd
(十)研究人员可利用Hive勒索软件加密算法漏洞解密数据
韩国国民大学研究人员在Hive勒索软件使用的加密算法中发现了一个漏洞,能够在没有RSA秘钥的情况下恢复主密钥并恢复被劫持和加密的数据。Hive使用混合加密方案并依靠对称密码进行文件加密,研究人员能够识别勒索软件创建和存储用于加密的主密钥的方式。
Hive勒索软件自2021年6月以来一直活跃,提供勒索软件即服务,并采用双重勒索模式威胁,会在泄密网站HiveLeaks上发布从受害者那里窃取的数据。2021年4月,联邦调查局(FBI)发布了关于Hive勒索软件攻击的紧急警报,包括与该组织活动相关的技术细节和危害指标。根据区块链分析公司Chainalysis发布的报告,Hive勒索软件是2021年收入排名前10位的勒索软件之一。该组织使用了多种攻击方法,包括恶意垃圾邮件活动、易受攻击的RDP服务器和泄露的VPN凭据。
韩国国民大学研究人员发布的论文表示,“Hive勒索软件使用混合加密方案,但使用自己的对称密码来加密文件。通过分析发现的加密漏洞,我们能够在没有攻击者私钥的情况下恢复生成文件加密密钥的主密钥。作为我们实验的结果,加密文件已根据我们的机制使用恢复的主密钥成功解密。据我们所知,这是第一次成功尝试解密Hive勒索软件。我们通过实验证明,使用我们建议的方法可以恢复超过95%的用于加密的密钥。”
学术团队设计的技术能够恢复95%以上的用于加密过程的密钥,如下图所示:
研究人员详细介绍了Hive勒索软件生成和存储受害者文件主密钥的过程。勒索软件生成10MiB的随机数据,并将其用作主密钥。该恶意软件从要加密的每个文件的主密钥1MiB和1KiB数据的特定偏移中提取,并用作密钥流。偏移量存储在每个文件的加密文件名中。这意味着研究人员能够确定存储在文件名中的密钥流的偏移量,并解密文件。
研究人员表示,“Hive勒索软件通过使用每个文件不同的随机密钥流对数据进行异或运算来加密文件。我们发现,这个随机密钥流是完全可以猜测的。Hive勒索软件会为每个文件生成一个随机的数据加密密钥流(EKS),并通过EKS与文件进行XORing来加密文件。但是,EKS是使用从先前创建的主密钥中提取的两个密钥流创建的,在加密过程中,仅对文件的一部分而不是整个区域进行加密。”
测试结果证明了该方法的有效性,恢复92%的主密钥成功解密了大约72%的文件,而恢复的96%的主密钥成功解密了大约82%的文件,并且恢复了主密钥98%成功解密了大约98%的文件。
参考来源:SecurityAffairs http://u6.gg/k31z5
(十一)新型量子秘钥分发网络可抵抗量子计算攻击
摩根大通、东芝和Ciena进行了一项研究,揭示了一种新型量子密钥分发(QKD)网络在大都市地区的完全可行性,该网络能够抵抗量子计算攻击。新开发的QKD网络在真实环境条件下支持800 Gbps加密,可以立即检测和防御量子威胁。在行业首创中,该网络还被证明可以保护关键任务区块链应用程序的安全。
在摩根大通未来应用研究与工程实验室(FLARE)和全球网络基础设施团队的领导下,研究人员合作取得了以下成果:QKD通道首次与超高带宽800 Gbps光通道复用在同一根光纤上,用于为数据流的加密提供密钥;对于70公里的光纤,量子通道与两个800 Gbps和八个100 Gbps通道共存,其密钥速率足以以1密钥/秒的密钥刷新率支持多达258个AES-256加密通道;演示了QKD和10个高带宽信道的操作,距离可达100公里;概念验证网络基础设施依赖于东芝欧洲公司在其英国剑桥基地制造的东芝多路复用QKD系统和Ciena的Waveserver 5平台,该平台配备了800 Gbps光层加密和在Ciena 6500光子解决方案上运行的开放API。
摩根大通、东芝和Ciena表示,随着量子计算时代的到来,QKD是唯一在数学上被证明可以防御潜在的基于量子计算的攻击的解决方案,并具有基于量子物理定律的安全保证。
FLARE研究小组杰出工程师兼负责人Marco Pistoia评论表示,“这项工作正值我们继续为引入生产质量的量子计算机做准备的重要时刻,这将在可预见的未来改变区块链和加密货币等技术的安全格局。”
Pistoia在接受采访时补充表示,“这个原型的成功表明,我们现在拥有一种经过验证和测试的方法,可以保护区块链等应用程序的机密性,免受未来配备量子设备的窃听者的攻击。”借助QKD技术,组织可以为未来的安全需求做好准备,并更好地保护其应用程序免受达到量子霸权时可能出现的风险。
Ciena首席技术官Steve Alexander表示,随着每天在光纤网络中分发更多敏感信息,强大的加密至关重要。“随着量子计算时代的临近,研发进展将继续确保关键数据在网络上传输时的机密性。”
参考来源:CSOonline http://u6.gg/k3tq3
(十二)英美警告称伊朗支持的黑客组织MuddyWater针对全球政府和商业网络开展网络行动
美国和英国的网络安全和执法机构2月24日分享了伊朗黑客组织MuddyWatter在针对全球关键基础设施的攻击中部署的新恶意软件的信息。该组织针对亚洲、非洲、欧洲和北美的电信、国防、地方政府、石油和天然气等部门的一系列政府和私营部门组织开展网络间谍活动和其他恶意网络行动。该组织使用多种恶意软件集,包括PowGoop、Small Sieve、Canopy/Starwhale、Mori以及POWERSTATS,用于加载恶意软件、后门访问、保持持久性和渗透。
美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、美国网络司令部网络国家任务部队(CNMF)和英国国家网络安全中心(NCSC-UK)观察到,一个名为MuddyWater的伊朗政府资助的APT组织,针对亚洲、非洲、欧洲和北美的电信、国防、地方政府、石油和天然气等部门的一系列政府和私营部门组织开展网络间谍活动和其他恶意网络行动。
MuddyWater也称为Earth Vetala、MERCURY、Static Kitten、Seedworm和TEMP.Zagros。
MuddyWater是伊朗情报和安全部(MOIS)的一个下属部门。自大约2018年以来,该APT组织开展了广泛的网络活动,以支持MOIS目标。MuddyWater参与者的定位是提供被盗数据和访问伊朗政府,并与其他恶意网络参与者分享这些信息。
MuddyWater参与者利用公开报告的漏洞,并使用开源工具和策略来访问受害者系统上的敏感数据,并部署勒索软件。这些攻击者还通过侧载动态链接库(DLL)等策略来维持受害者网络的持久性,以欺骗合法程序运行恶意软件,以及混淆PowerShell脚本以隐藏命令和控制(C2)功能。FBI、CISA、CNMF和NCSC-UK观察到,MuddyWater参与者最近使用PowGoop、Small Sieve、Canopy(也称为Starwhale)、Mori和POWERSTATS等各种恶意软件以及其他工具,作为他们恶意活动的一部分。
该公告提供了MuddyWater组织的TTP、使用的恶意软件、以及与伊朗政府赞助的APT活动相关的入侵指标(IOC),以帮助组织识别针对敏感网络的恶意活动。
FBI、CISA、CNMF和NCSC-UK观察到,伊朗政府资助的MuddyWater APT组织采用鱼叉式网络钓鱼、利用已知漏洞,并利用多种开源工具来访问敏感的政府和商业网络。
作为鱼叉式网络钓鱼活动的一部分,MuddyWater试图诱使他们的目标受害者下载ZIP文件,其中包含带有与攻击者的C2服务器通信的恶意宏的Excel文件,或将恶意文件放入受害者网络的PDF文件。MuddyWater参与者还使用侧载DLL等技术来欺骗合法程序运行恶意软件,并混淆PowerShell脚本以隐藏C2功能。
此外,该组织使用多个恶意软件集,包括PowGoop、Small Sieve、Canopy/Starwhale、Mori和POWERSTATS,用于加载恶意软件、后门访问、持久性、和渗透。
参考来源:CISA http://u6.gg/kp93x
(十三)Trickbot恶意软件被Conti勒索软件组织接管
AdvIntel研究人员发现,银行木马TrickBot已经被Conti勒索软件组织接管,并计划创建一个更隐秘的恶意软件BazarBackdoor取而代之。
在经过了四年的活动和无数次的下架尝试后,银行木马TrickBot到达了生命的终点,其高级成员转移到了Conti勒索软件组织,并计划用更隐蔽的BazarBackdoor恶意软件取代TrickBot。
TrickBot是一个Windows恶意软件平台,使用多个模块进行各种恶意活动,包括信息窃取、密码窃取、渗透Windows域、初始访问网络和恶意软件交付。
Ryuk勒索软件组织最初与TrickBot合作,以获得初始访问权限,但后来被Conti勒索软件组织所取代,Conti在过去一年中一直使用该恶意软件来访问公司网络。据估计,处理TrickBot活动的组织是一个名为Overdose的精英部门,已经从其运营中赚取了至少2亿美元。
自2016年以来,TrickBot一直主导着恶意软件威胁领域,与勒索软件团伙合作,对全球数百万台设备造成严重破坏。
网络犯罪和威胁情报公司AdvIntel研究人员注意到,2021年,Conti已成TrickBot提供高质量网络访问的唯一受益者。此时,TrickBot的核心开发人员团队已创建了一个更隐蔽的恶意软件BazarBackdoor,主要用于远程访问可以部署勒索软件的有价值的公司网络。
由于TrickBot特洛伊木马已变得很容易被防病毒供应商检测到,威胁参与者开始转向BazarBackdoor进行初始网络访问,因为它是专门为秘密攻击高价值目标而开发的。
然而AdvIntel在一份报告中指出,到2021年底,Conti成功吸引了TrickBot僵尸网络的多名精英开发人员和管理人员,将其运营变成了其子公司,而不是合作伙伴。
根据AdvIntel研究人员访问的Conti内部对话,BazarBackdoor从TrickBot工具包的一部分转变为独立工具,其开发由Conti勒索软件组织控制。
Conti的主要管理员接管了TrickBot,然而由于TrickBot已死,他们正在将Conti从TrickBot转移到BazarBackdoor,作为获得初始访问权限的主要方式。
AdvIntel表示,“在被Conti收购后,TrickBot领导者现在拥有丰富的前景,他们拥有稳固的基础,Conti总能找到利用可用人才的方法。”
自成立以来,Conti行动一直保持着一套行为准则,使其成为最具弹性和利润丰厚的勒索软件组织之一,不受执法部门对其竞争对手的打击。
AdvIntel表示,该组织能够通过采用“基于信任、基于团队”的模式来运营其正常的网络犯罪业务,而不是与随机的附属机构合作,因为附属机构攻击的组织可能会导致执法部门采取行动。
虽然TrickBot恶意软件检测将变得不那么常见,但AdvIntel最近的调查结果表明,该操作尚未完成,它只是转移到一个新的控制组,将其提升到一个新的水平,恶意软件更适合高价值目标。
参考来源:BleepingComputer http://u6.gg/k3tbt
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
