关键信息基础设施安全动态周报【2022年第4期】
发布时间:
2022-01-28
来源:
作者:
天地和兴
访问量:
1077
目 录
第一章 国内关键信息基础设施安全动态
(一)台湾台达电子遭受Conti勒索软件攻击
第二章 国外关键信息基础设施安全动态
(一)存在12年之久的Linux本地提权高危漏洞CVE-2021-4034
(二)白俄罗斯黑客组织攻击国家铁路公司
(三)黑客可利用McAfee中存在的漏洞获得Windows系统权限
(四)美国水务部门加入工业控制系统网络安全倡议
(五)威胁行为者利用Graphite恶意软件攻击亚洲工业组织
(六)研究人员发现针对可再生能源公司的网络间谍活动
(七)威胁行为者在钓鱼邮件中冒充航运巨头马士基传播STRRAT恶意软件
(八)Lockbit勒索软件组织入侵法国司法部
(九)加拿大外交部遭受网络攻击导致部分服务中断
(十)朝鲜互联网疑似遭受网络攻击导致瘫痪
(十一)波多黎各参议院遭受网络攻击
(十二)诺贝尔颁奖直播网站遭受DDoS攻击
(十三)FBI警告恶意二维码窃取用户信息
第一章 国内关键信息基础设施安全动态
(一)台湾台达电子遭受Conti勒索软件攻击
台湾电子制造商台达电子(Delta)披露,其在1月21日遭受了网络攻击,主要受影响的服务为非关键系统,对运营没有重大影响。
台达电子是苹果、特斯拉、惠普和戴尔的供应商,是世界上最大的开关电源供应商,去年的销售额超过90亿美元。
台达电子在1月22日发布公告称,其部份信息系统遭受了黑客网络攻击,已启动网络安全相关防御机制与应急响应,目前受影响的信息系统正在陆续回复运营,评估对运营没有重大影响。
据了解,台达电子是在21日上午6点左右,内部侦测到服务器遭受海外黑客攻击,也立即启动网络安全应急与防御机制,同时协调外部网络安全专业公司共同处置,进行恢复工作。
台达电子表示,主要受影响的服务为非关键系统,正陆续恢复工作,目前评估对公司运营并无显著影响,并通报政府执法部门与网络安全单位协助后续处理,并将持续提升网络与信息基础架构的安全管控以确保资料安全。
虽然台达电子的声明没有说明谁是这次攻击的幕后黑手,但据CTWANT报道称,有信息安全公司发现了部署在台达电子网络上的Conti勒索软件样本。
根据Conti和Delta之间的谈判对话,Conti运营商声称已经加密了Delta网络上大约65,000台设备中的1,500台服务器和12,000台计算机。
Conti勒索软件团伙要求Delta支付1500万美元的赎金来购买解密程序,并停止泄露从其网络窃取的文件。Conti还承诺,如果Delta迅速付款,将给予折扣。
据报道,尽管Delta仍在与Trend和微软的安全团队合作调查此事件,并声称其生产并未受到影响,但袭击发生一周后,其网站仍处于关闭状态。
Delta的客户可以在等待该公司主要网站重新上线的同时使用备用域,而勒索软件攻击后该网站仍然处于关闭状态。
AdvIntel的Andariel平台于1月18日检测到该攻击。AdvIntel的CEO Vitali Kremez表示,“Conti勒索软件组织揭示了Delta攻击的特定模式部分,该攻击利用Cobalt Strike和Atera来实现持久性,正如我们的平台对抗可见性所揭示的那样。当然,这种攻击让人想起影响Apple供应商之一的REvil Quanta。”
Conti是勒索软件即服务(RaaS)操作,与讲俄语的Wizard Spider网络犯罪组织相关。Conti过去曾入侵其他知名组织,包括爱尔兰卫生部(DoH)和卫生服务执行官(HSE),以及RR Donnelly(RRD)营销巨头。
参考来源:BleepingComputer http://33h.co/k421k
第二章 国外关键信息基础设施安全动态
(一)存在12年之久的Linux本地提权高危漏洞CVE-2021-4034
研究人员在polkit的pkexec组件中发现了一个权限提升漏洞CVE-2021-4034,存在于所有主要Linux发行版的默认配置中,允许经过身份验证的用户执行权限提升攻击。pkexec应用程序是一个setuid工具,允许非特权用户根据预定义的策略以特权用户身份运行命令。当前版本的pkexec无法正确处理调用参数计数,并最终尝试将环境变量作为命令执行。攻击者可以通过制作环境变量来利用这一点,从而诱导pkexec执行任意代码。成功执行攻击后,由于目标计算机上的非特权用户拥有管理权限,攻击会导致本地特权提升。
Qualys研究团队在polkit的pkexec中发现了一个内存损坏漏洞,该SUID根程序默认安装在每个主要的Linux发行版上。该漏洞非常容易利用,允许任何未经授权的用户通过在其默认配置中利用此漏洞,来获得易受攻击主机上的完全root权限。该漏洞编号为CVE-2021-4034,名为PwnKit,CVSS v3得分为7.8分,漏洞威胁等级是高危。
Polkit以前称为PolicyKit,是一个用于在类Unix操作系统中控制系统范围权限的组件,为非特权进程与特权进程通信提供了一种有组织的方式。还可以使用polkit执行具有提升权限的命令,首先使用命令pkexec,然后执行具有root权限的命令。
成功利用此漏洞可允许任何未经授权的用户在易受攻击的主机上获得root权限。安全研究人员已验证了此漏洞,开发了漏洞利用,并在默认安装的Ubuntu、Debian、Fedora和CentOS上获得完整的root权限。其他Linux发行版可能容易受到攻击,并且可能被利用。这个漏洞已经隐藏了12年多,自2009年5月以来的所有pkexec版本均受到影响。由于Polkit是系统预装工具,目前主流Linux版本均受影响。Linux系统广泛应用于工业基础设施、云计算、物联网、人工智能等领域,绝大多数关键基础设施管理服务器均使用Linux系统。
该漏洞是由于pkexec在处理传入参数的逻辑出现问题,导致环境变量被污染,最终交由pkexec代码逻辑执行实现客户机权限提升。有普通权限用户的攻击者通过执行漏洞文件,触发越界读写,从而在目标系统上造成权限提升。
参考来源:Qualys http://33h.co/k49ut
(二)白俄罗斯黑客组织攻击国家铁路公司
一个名为“白俄罗斯网络游击队”的黑客组织声称,其入侵并加密了白俄罗斯国家铁路公司的服务器、数据库和工作站。由于俄罗斯利用白俄罗斯铁路铁路运输网络将军事部队和设备运入该国,此次网络攻击行动旨在阻止俄罗斯军队和货物在白俄罗斯境内的行动。
白俄罗斯网络游击队表示,其在攻击中扰乱了在线票务服务,并正在努力解决这个问题,因为它并不打算扰乱常规客运服务。白俄罗斯铁路公司表示,其网络资源无法访问,在线票务服务因未指明的“技术原因”而停止售票。国家当局没有对此次袭击发表评论。
该黑客组织在推特上表示,“在恐怖分子卢卡申科的指挥下,白俄罗斯铁路允许占领军进入我们的土地。我们对白俄罗斯铁路公司的一些服务器、数据库和工作站进行了加密,以中断其运营。自动化和安全系统没有受到影响,以避免出现紧急情况。”
白俄罗斯网络游击队表示,他们拥有受感染的白俄罗斯铁路服务器的加密密钥,他们还准备在某些情况下将系统恢复到正常模式。他们要求释放50名需要医疗救助的政治犯,并希望俄罗斯军队撤出白俄罗斯。
在白俄罗斯网络游击队的Telegram频道上,该组织还分享了事件中受损系统的屏幕截图,显示他们可以访问白俄罗斯铁路内部系统、Veeam备份服务器、Windows域控制器、以及据称包含数十TB的备份服务器。其中一张截图还显示白俄罗斯铁路的在线票务服务在运行SQL查询时显示错误。
虽然白俄罗斯铁路公司尚未发表官方声明,但该公司在其官网上发出警告,提醒人们签发电子旅行证件方面存在问题。“由于技术原因,白俄罗斯铁路的网络资源和电子旅行证件签发服务暂时不可用。如需安排旅行和归还电子旅行证件,请联系售票处。目前,恢复系统性能的工作正在进行中。白俄罗斯铁路公司对造成的不便深表歉意。”
白俄罗斯网络游击队表示,此次攻击活动其称之为“地狱”,是白俄罗斯历史上最大的破坏性网络攻击的更广泛活动的一部分。今天的攻击发生在11月的另一起事件之后,据称当时黑客组织破坏并加密了“总统领导下的管理学院”的整个网络。
参考来源:BleepingComputer http://33h.co/kgt2b
(三)黑客可利用McAfee中存在的漏洞获得Windows系统权限
McAfee(现更名为Trellix)修复了其适用于Windows的McAfee Agent软件中存在的一个高危漏洞CVE-2022-0166,攻击者利用此漏洞可提升权限,并使用SYSTEM权限执行任意代码。
McAfee Agent是McAfee ePolicy Orchestrator(McAfee ePO)的分布式组件。该软件下载并执行策略,并执行客户端任务,例如部署和更新,并上传事件,提供有关每个系统状态的附加数据。该软件必须安装在网络中管理的每个系统上。
McAfee发布的建议表示,“5.7.5之前版本的McAfee Agent中存在权限提升漏洞。McAfee Agent在构建过程中使用openssl.cnf将OPENSSLDIR变量指定为安装目录中的子目录。低权限用户可以创建子目录并使用系统权限执行任意代码,方法是创建指向专门创建的恶意openssl.cnf文件的适当路径。”
McAfee于1月18日发布了McAfee Agent 5.7.5版本,从而解决了该漏洞。该问题影响5.7.5之前的代理版本,并允许非特权攻击者使用NT AUTHORITY\SYSTEM账户权限运行代码。
非特权用户可以将特制的openssl.cnf放置在McAfee Agent使用的位置,以在运行易受攻击的代理软件版本的Windows系统上执行具有SYSTEM权限的任意代码。
CVE-2022-0166漏洞由CERT/CC漏洞分析师Will Dormann发现。CERT/CC发布的公告称,“通过将特制的openssl.cnf放置在McAfee Agent使用的位置,非特权用户可在安装了易受攻击的McAfee Agent软件的Windows系统上以SYSTEM权限执行任意代码。”
专家警告称,该漏洞只能在本地利用,但可能与其他问题联系在一起,以破坏目标系统并提升权限以执行其他恶意活动。
McAfee还解决了5.7.5之前版本的软件代理中的命令注入漏洞,该漏洞编号为CVE-2021-31854。攻击者可利用此漏洞将任意shell代码注入到文件cleanup.exe中。
公告显示,“恶意的clean.exe文件被放置在相关文件夹中,并通过运行位于系统树中的McAfee Agent部署功能来执行。攻击者可能会利用该漏洞获取反向shell,从而导致权限提升以获得root权限。”
参考来源:SecurityAffairs http://33h.co/kg53x
(四)美国水务部门加入工业控制系统网络安全倡议
拜登政府1月27日宣布,针对电力部门和管道的关键控制系统的自愿网络安全倡议将扩展到美国各地的供水设施。
根据该倡议,政府正在推动参与的水务部门设施采用检测技术,以监测对工业控制系统(ICS)的网络威胁,该系统可实现水处理、储存和分配等流程自动化。它还敦促水务部门更快地与美国政府共享威胁数据。这项为期100天计划的首要目标是引进更大的设施。
水部门长期以来一直被认为是美国最容易受到网络攻击的部门之一。根据一位高级政府官员估计,水务部门有超过150,000个设施,为大约3亿美国人提供水。去年2月,佛罗里达州一处水利设施遭到黑客攻击,暂时将工厂的氢氧化钠设置更改为对人类有害的水平。这提醒人们,如果更先进的组织试图造成更大的破坏,可能存在潜在危险。
一位高级政府官员在会议上表示,“整个水务部门的网络弹性绝对不足。即使是犯罪分子也没有足够的网络应变能力。去年发生在坦帕的事件也是犯罪分子所为。”
根据拜登去年提出的工业控制系统网络安全倡议,白宫已经征集了150多家电力公司,为近9000万住宅客户提供服务,以部署先进的ICS安全技术。
该倡议展示了行政部门监管机构的拼凑性质。例如,美国运输安全管理局去年在Colonial Pipeline遭受攻击后,要求顶级管道运营商采取多项措施来提高安全性。
然而,负责降低水务行业风险的环境保护署却没有类似的权力来迫使水利设施采取行动。一位高级官员表示,政府希望今年通过立法提案来改变这一现状。
长期以来,从行业到联邦政府的自愿网络安全信息共享也是一个挑战。一位高级政府官员承认,与其他关键基础设施部门一样,水务部门不愿分享威胁数据。这位官员表示,美国国土安全部(DHS)网络安全和基础设施安全局(CISA)的联合网络防御合作组织正在制定信息共享协议,该倡议可以依靠该协议来改进这一状况。
参考来源:CyberScoop http://33h.co/k4991
(五)威胁行为者利用Graphite恶意软件攻击亚洲工业组织
Trellix研究人员发现,有威胁行为者使用Graphite恶意软件进行复杂的网络攻击,目标是西亚国防工业高级政府官员和个人。Trellix是McAfee和FireEye合并后的公司。
该活动于去年10月至11月期间进行,并分为多个阶段以逃避检测。感染链始于Excel下载器,利用MSHTML漏洞CVE-2021-40444在内存中执行代码,然后利用Graphite恶意软件。
根据几项攻击指标和明显的地缘政治目标,网络间谍活动似乎来自于俄罗斯威胁行为者APT28,但Trellix研究人员并没有很强的信心。
2021年7月设置的服务器用于这些攻击中的命令和控制(C&C)功能。Graphite恶意软件使用OneDrive作为C&C服务器,并利用Microsoft的Graph API连接到它。
一个可能通过电子邮件发送给受害者的Excel文件被用来利用MSHTML中的远程代码执行漏洞来运行恶意DLL文件,该文件获取并执行Graphite恶意软件(基于OneDrive Empire Stager显示)。
Trellix表示,“由于威胁行为者OneDrive账户中使用的功能和文件结构相似,Graphite的开发人员很可能使用Empire OneDrive Stager作为参考。”
在攻击的第四阶段,不同的Empire Stager被执行,以在受害者的机器上下载Empire代理。攻击的第五阶段是Empire PowerShell C# stager,然后是Empire HTTP PowerShell stager。
这些攻击针对的是与亚洲国防工业相关的政府实体和个人,但Trellix认为,波兰和其他东欧国家也可能成为攻击目标,尽管完整的受害者身份尚不清楚。
基于对与这些攻击相关的大量工件的分析,研究人员确定了与归因于APT28的旧恶意软件样本的重叠,但没有发现确凿的证据将此次活动归因于该威胁参与者。
APT28也成为Fancy Bear、Pawn Storm、Sednit、Strontium和Tsar Team,被认为是俄罗斯总参谋部主要情报局(GRU)的军事单位,此前被指控针对2016年美国总统选举和对北约国家的网络攻击。
Trellix总结表示,“根据目标定位、恶意软件和操作中使用的基础设施,此次攻击背后的攻击者似乎非常先进,因此我们推测这次活动的主要目标是间谍活动。我们相信此操作是由APT28执行的,信心较低和中等。”
参考来源:SecurityWeek http://33h.co/kgiiq
(六)研究人员发现针对可再生能源公司的网络间谍活动
安全研究人员William Thomas发现,至少自2019年以来,一项主要针对可再生能源和工业技术组织的大规模网络间谍活动十分活跃,针对全球超过15个实体。该研究采用了开源情报技术,如DNS扫描和公共沙箱提交。网络钓鱼活动的目标是窃取为可再生能源公司、环境保护组织和一般工业技术工作的人员的登录凭据。
Thomas的分析显示,攻击者使用自定义的“邮箱”工具包、部署在攻击者基础设施上的简单网络钓鱼包、以及入侵合法网站来托管网络钓鱼页面。大多数网络钓鱼页面托管在*.eu3[.]biz、*.eu3[.]org和*.eu5[.]net域中,而大多数受感染站点位于巴西*.com[.]br。
网络钓鱼攻击的目标组织示例包括:施耐德电气、霍尼韦尔、华为、海思、罗马尼亚电信、威斯康星大学、加州州立大学、犹他州立大学、保加利亚卡尔扎利水电站、保加利亚CEZ电子、加州空气资源委员会、莫里斯县市政公用事业局、台湾林业研究所、碳披露计划、意大利回收公司Sorema。
研究人员无法检索活动中使用的网络钓鱼电子邮件的任何样本,但Thomas认为,这些电子邮件使用了基于登录页面的“邮箱存储已满”作为诱饵。
Thomas无法将这次活动归因于任何特定的威胁行为者,但有证据表明涉及两个组织,一个是APT28,另一个是朝鲜组织Konni。
谷歌威胁分析小组的研究人员最近发现了归因于APT28的网络钓鱼活动,它使用了几个eu3[.]biz域。两个组织的一个重叠点是,用于网络钓鱼凭据的主机名归Zetta Hosting Solutions所有,该名称最近出现在许多分析报告中。Konni在针对外交官的活动及韩国黑客组织T406活动中,使用了Zetta Hosting Solution域。
Thomas表示,许多APT黑客组织在恶意活动中使用Zetta。“APT和恶意软件经常使用Zetta,如果他们不知道,我会感到非常惊讶。他们不是一家大公司。威胁行为者也喜欢这些类型的免费主机名服务,他们可以快速、免费且匿名设置基础设施。”
然而,Thomas强调,他没有证据或具体证据表明Zetta Hosting故意帮助恶意活动。除此之外,自2019年以来,有一小部分活动与针对多家保加利亚银行的同一基础设施有关。
研究人员认为,攻击者得到了对化石燃料感兴趣的实体的财政支持,尤其是那些将可再生能源视为威胁的向保加利亚出售能源的实体。此前针对银行的目标可能是试图收集有关新可再生能源设施的资金和建设的情报。
APT28是一个与俄罗斯有关的国家支持的黑客组织,众所周知,保加利亚进口大量俄罗斯天然气,因此该活动与特定行为者之间的联系具有逻辑基础,即使目前尚未得到证实。
参考来源:BleepingComputer http://33h.co/kgtez
(七)威胁行为者在钓鱼邮件中冒充航运巨头马士基传播STRRAT恶意软件
Fortinet研究人员发现,有威胁行为者冒充全球航运业巨头马士基航运公司(Maersk Shipping),利用钓鱼电子邮件传播STRRAT远程访问木马。如果收件人打开附件文档,运行的宏代码会将STRRAT恶意软件提取到受害者计算机上。STRRAT是一种强大的远程访问木马,可以窃取信息,甚至伪造勒索软件攻击。
从网络钓鱼电子邮件的标题信息中可以看出,这些邮件是通过最近注册的域进行路由,这增加了被电子邮件安全解决方案标记的风险。该电子邮件声称是有关装运、交货日期更改或有关虚假购买的通知的信息,并包含一个Excel附件,或指向虚假相关发票的链接。
Fortinet分析人员对带有包含STRRAT恶意软件的ZIP文件的电子邮件进行了抽样。攻击者使用Allatori工具对软件包进行了混淆,以逃避安全产品检测。
STRRAT感染首先解密配置文件,将恶意软件复制到新目录,然后添加新的Windows注册表项以实现持久性。STRRAT恶意软件首先收集主机系统的基本信息,例如架构和在其上运行的任何防病毒工具,并检查本地存储和网络功能。
STRRAT可以执行的操作包括:记录用户击键;方便远程遥控操作;从Chrome、Firefox和Microsoft Edge等网络浏览器获取密码;从Outlook、Thunderbird和Foxmail等电子邮件客户端窃取密码;运行伪勒索软件模块以模拟感染。
最后一部分很有趣,因为在假勒索软件攻击中没有文件被加密。因此它最有可能被用来转移受害者的注意力,使其远离真正的问题,即数据泄露。
然而,考虑到这个模块本质上是揭穿了STRRAT的面纱,它的存在和部署就有些矛盾了。最后,恶意软件的通信方式也没有很好地优化隐身性。
Fortinet的报告解释表示,“检查Wireshark中的流量显示,STRRAT异常嘈杂。这可能是由于C2渠道在调查时处于离线状态。为了获得进一步的指令,样本尝试以一秒的间隔通过端口1780和1788进行通信,甚至有时候更多。”
像STRRAT这样的特洛伊木马经常因为不那么复杂和更随机部署而被忽视。然而,这种网络钓鱼活动表明,流通中的较小威胁仍然可以给公司带来破坏性打击。
此活动中使用的网络钓鱼电子邮件与处理货运和运输的公司的日常公司通信非常相似,因此疲倦或粗心的员工可能造成损害。
参考来源:BleepingComputer http://33h.co/kgtne
(八)Lockbit勒索软件组织入侵法国司法部
Lockbit勒索软件运营商宣布从法国司法部窃取了数据,并威胁要泄露数据。该组织的Tor泄密网站的倒计时显示,法国政府有14天的时间来支付赎金,付款截止日期为2022年2月10日11:20:00。
法国司法部是法国政府的一个机构,负责司法机构的监督、维护和管理。作为司法委员会副主席,参与监督检察官办公室和监狱系统。
法国网络威胁情报分析师Anis Haboubi表示,“我认为我们正处于谈判失败的第三阶段,泄密。根据欧洲刑警组织提供的指导方针,法国没有支付费用。”
欧洲刑警组织建议,“一般的建议是不要支付赎金。通过将钱支付给网络犯罪分子,只能确认勒索软件有效,并不能保证会获得所需的解密密钥。”
目前,勒索软件组织尚未披露从法国司法部窃取的数据数量,也没有发布任何被盗文件样本。法国政府尚未就此次攻击发表任何官方评论。当地记者援引该部内部消息来源证实了这次袭击。
LockBit勒索软件团伙宣布,受害者名单包括法国、德国、意大利和英国在内的多家欧洲公司。如果数据泄露得到证实,可能会对法国当局产生重大影响。
参考来源:SecurityAffairs http://33h.co/k4w8s
(九)加拿大外交部遭受网络攻击导致部分服务中断
加拿大政府外交和领事关系部、加拿大全球事务部上周遭受了网络攻击。虽然关键服务仍然可以访问,一些政府系统继续从攻击中恢复,但一些在线服务仍然不可用。
加拿大全球事务部(GAC)系统在上周遭到网络攻击后面临网络中断。GAC是加拿大政府部门,负责处理该国的外交和领事关系、国际贸易以及领导国际发展和人道主义援助计划。
在1月25日的一份声明中,加拿大财政部秘书处(TBS)、加拿大共享服务部和通信安全机构共同证实,上周某个时间发生了涉及加拿大全球事务部的网络事件。该攻击于1月19日被发现,之后采取了缓解措施。
加拿大政府进一步表示,关键服务可以通过全球事务部的在线系统获得,由于采取的缓解措施,系统正在恢复,然而一些互联网和基于互联网的服务无法访问。
政府解释称,没有迹象表明任何其他政府部门受到了这次袭击的影响。TBS表示,“有系统和工具可以监控、检测和调查潜在威胁,并在威胁发生时采取积极措施来解决和消除威胁。”
随着调查的继续,官方消息来源尚未透露攻击的原因或背后的威胁行为者。针对加拿大政府的网络攻击发生在俄罗斯与乌克兰的紧张局势继续升级之际。
这次攻击发生的时间与加拿大网络安全中心向“关键基础设施运营商”发出警告的时间大致相同,要求他们注意并采取缓解措施应对已知的俄罗斯支持的网络威胁。
TBS表示,“这项调查仍在进行中。出于运营原因,我们无法进一步评论任何具体细节。我们的网络防御和事件响应团队全天候工作,以确定GC和加拿大关键基础设施内的危害并提醒潜在受害者。事件响应团队提供建议和支持,以遏制威胁并减轻任何潜在危害。”
本月早些时候,多个乌克兰政府网站遭到破坏,包括该国外交部的网站。疑似是俄罗斯的威胁行为者,尽管网站污损行为并不是俄罗斯国家支持的黑客组织(如GRU)使用的典型攻击方法。
虽然事件背后的威胁行为者尚未揭晓,但这并不是攻击者第一次成功针对加拿大政府系统。2021年11月,加拿大纽芬兰和拉布拉多省遭到网络攻击,对医疗保健提供者和医院造成严重破坏。2021年初,加拿大邮政因其第三方提供商的勒索软件攻击而遭受数据泄露。在此之前,黑客能够通过“凭证填充”技术访问9,041个GCKey账户,以窃取加拿大人的税收减免款项。
TBS总结表示,“我们正在不断审查保护加拿大人和我们的关键基础设施免受电子威胁、黑客攻击和网络间谍活动的措施。同时鼓励每个人遵循网络安全最佳实践。”
参考来源:BleepingComputer http://33h.co/kgtjk
(十)朝鲜互联网疑似遭受网络攻击导致瘫痪
据路透社报道,朝鲜互联网似乎在数周内遭遇了第二波中断,可能是由分布式拒绝服务(DDoS)攻击引起的。最近一次事件发生在当地时间1月26日周三上午,大约持续了六个小时,发生在朝鲜本月进行第五次导弹试验的第二天。
英国网络安全研究员Junade Ali监控了朝鲜不同网络和电子邮件服务器,发现在明显的攻击高峰期,所有进出朝鲜的流量都被切断了。当试图连接到朝鲜的IP地址时,互联网实际上无法将数据路由到朝鲜。
几小时后,处理电子邮件的服务器可以访问,但朝鲜外务省、高丽航空公司、和朝鲜政府官方门户网站Naenara等机构的一些单独的网络服务器仍在经历压力和停机。
朝鲜的互联网访问受到严格限制。目前尚不清楚有多少人可以直接访问全球互联网,但据估计,这一数字通常只占约2500万人口的1%,只有一小部分。
总部位于首尔的监控朝鲜的新闻网站NK Pro报道称,日志文件和网络记录显示,朝鲜域名系统(DNS)停止了数据包应采用的路由通信,因此朝鲜网络域上的网站在很大程度上无法访问。据NK Pro报道,1月14日发生了类似事件。
Ali表示,服务器同时中断的性质表明存在DDoS攻击,黑客试图使用异常大量的数据流量淹没网络,以使其瘫痪。一台服务器在一段时间内下线是很常见的,但这些事件导致所有网络资产同时下线,整个互联网都下线并不常见。
Ali表示,在这些事件中,网络超时首先会导致运营退化,然后个别服务器会离线,然后关键路由器会下线。这表明,这是某种形式的网络压力的结果,而不是断电。
参考来源:Reuters http://33h.co/k42p2
(十一)波多黎各参议院遭受网络攻击
据美联社报道,波多黎各参议院当地时间1月26日周三宣布,其遭受了网络攻击,导致其互联网提供商、电话系统和官方在线页面瘫痪,这是近年来一系列类似事件中的最新一起。
参议院议长José Luis Dalmau在声明中表示,没有证据表明黑客能够访问员工、承包商或顾问的敏感信息。该事件仍在调查中。该事件已向地方和联邦当局报告。
近年来,波多黎各一直在与黑客作斗争。去年,一家接管美国境内输配电业务的私营公司报告称,其网站遭到网络攻击,导致客户无法访问该网站。2021年3月波多黎各电力局(PREPA)遭受黑客攻击。2021年6月,波多黎各的新电力供应商Luma Energy在圣胡安的Luma’s Monacillo变电站发生大火,导致波多黎各大面积停电。同时宣布重大DDoS攻击中断了其在线服务。
2020年,一场网络骗局试图从波多黎各政府机构窃取超过400万美元,迫使当局冻结290万美元。同年晚些时候,黑客入侵波多黎各消防部门的数据库,敲诈勒索了60万美元。
参考来源:APNews http://33h.co/k492a
(十二)诺贝尔颁奖直播网站遭受DDoS攻击
在2021年12月10日诺贝尔颁奖期间,诺贝尔奖官方网站遭受了网络攻击,诺贝尔基金会和挪威诺贝尔研究所已向警方报告了此事情。攻击已被阻止,并且没有影响网站用户体验或内容传播。
在诺贝尔颁奖典礼现场直播期间,www.nobelprize.org和www.nobelpeaceprize.org网站遭受了分布式拒绝服务(DDoS)攻击。该颁奖典礼在奥斯陆和斯德哥尔摩进行现场直播,DDoS攻击可能会中断视频传输,甚至可能损害机构声誉。
网络攻击使网站承受了极高负载,旨在阻止更新和发布有关诺贝尔奖和诺贝尔奖获得者成就的新信息。因此,诺贝尔基金会和挪威诺贝尔研究所认为这是对诺贝尔奖的严重攻击,并已向警方报告,以帮助提高对此类网络攻击的认识。这种网络攻击在现实社会中变得越来越普遍,并对言论自由构成长期威胁。目前,没有关于此次网络攻击背后行为者的信息。
诺贝尔奖是一项年度奖项,授予在物理学、化学、生理学、医学、文学与和平方面的工作非常出色并被认为对人类特别有益的人。然而诺贝尔基金会一再因偏见和偏袒而受到批评,被指控对来自特定国家的科学家保持不公平的立场。例如中国只获得了八次奖项,而美国获得了398次。
此外,诺贝尔奖授予委员会还因将在获奖研究中做出重要贡献的研究人员排除在外,或忽视开拓性发现而授予相对较小的发现而受到批评。因此,鉴于原本备受尊敬的诺贝尔基金会授予的一些荣誉背后的政治争议,国家支持的威胁行为者参与此类攻击也就不足为奇了。
参考来源:TheNobelPrize http://33h.co/kgizm
(十三)FBI警告恶意二维码窃取用户信息
美国联邦调查局(FBI)发布公共服务公告(PSA)警告称,网络犯罪分子正在使用恶意二维码窃取凭证和财务信息。骗子可以用篡改的二维码替换二维码,并劫持付款者的付款。扫描二维码的不知情人士会被重定向到恶意网站,这些网站专门用来窃取登录信息和财务信息。恶意网站还可能在受害者的设备上传播恶意软件,或劫持付款到其控制的账户。
FBI发布的PSA显示,“网络犯罪分子正在利用这项技术,将二维码扫描定向到恶意网站以窃取受害者数据,嵌入恶意软件以访问受害者的设备,并为网络犯罪分子使用重定向付款。网络犯罪分子篡改数字和物理二维码,用恶意代码替换合法代码。受害者扫描他们认为是合法的代码,但被篡改的代码会将受害者引导至恶意站点,从而提示他们输入登录信息和财务信息。虽然二维码本质上不是恶意的,但在输入财务信息以及通过二维码导航到的网站提供付款时,一定要小心谨慎。”
联邦调查局的公告包括保护人类免受此类攻击的建议:
1、联邦调查局建议检查通过扫描二维码获得的URL,以确保它是目标站点,并且看起来是真实的。威胁行为者可能使用与预期URL相似但有拼写错误或字母错位的恶意域名。
2、在提供登录、个人或财务信息之前,请仔细检查从二维码导航到的任何站点。
3、如果扫描物理二维码,请确保二维码没有被篡改,例如在原始二维码上面贴了一张新的二维码。
4、切勿从二维码下载应用程序,避免通过使用社会工程技术诱骗收件人扫描嵌入式二维码的未经请求的电子邮件进行任何付款请求。
5、不要从非官方商店扫描二维码下载应用程序,以免感染受恶意应用程序。
6、如果从认识的人那里收到二维码,可以通过其他渠道与他们联系,以验证二维码是否是真实的。
7、切勿通过二维码导航到的网站进行付款,建议手动输入已知且受信任的URL以完成付款。
11月,FBI互联网犯罪投诉中心(IC3)发布警报,警告公众注意利用加密货币ATM和二维码完成支付交易的欺诈计划。使用这种诈骗方式支付的钱几乎不可能追回。
二维码可用于加密货币ATM将资金转移给预期的收件人,骗子开始使用二维码来接收受害者的付款。欺诈计划包括骗子冒充熟悉实体(即政府、执法部门、法律办公室或公用事业公司)的在线冒充、浪漫骗局和彩票中奖计划。
在所有欺诈方案中,诈骗者都会提供与诈骗者的加密货币钱包相关的二维码,受害者必须在交易过程中使用该二维码。受害者被指示在物理加密货币ATM上进行转换,其中插入可以购买加密货币的钱,然后使用提供的二维码进行转移。在这些计划中,诈骗者不断与受害者进行在线交流,并提供分步说明以进行付款。
参考来源:SecurityAffairs http://33h.co/kg5jv
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
