关键信息基础设施安全动态周报【2021年第21期】
发布时间:
2021-05-28
来源:
作者:
访问量:
150
目 录
第一章 国内关键信息基础设施安全动态
(一)CNCERT发布《2020年我国互联网网络安全态势综述》报告
第二章 国外关键信息基础设施安全动态
(一)美国国土安全部将发布首个管道网络安全法规
(二)多家工业系统供应商正在评估OPC UA漏洞对其产品影响
(三)蓝牙两大核心规范存在安全漏洞
(四)英国保险公司One Call遭受DarkSide勒索软件攻击
(五)美国保险公司CNA Financial支付4000万美元勒索赎金
(六)Zeppelin勒索软件重出江湖
(七)远程访问木马STRRAT伪装成勒索软件窃取数据
(八)FBI警告Conti勒索软件攻击16个美国医疗及紧急服务机构
(九)瑞士制药公司Siegfried遭受网络攻击致生产中断
(十)音响设备制造商Bose遭受勒索软件攻击
(十一)富士通ProjectWEB平台遭黑客入侵,泄露日本政府数据
(十二)日本电商平台Mercari受到Codecov供应链攻击影响,泄露大量信息
(十三)印度尼西亚2.7亿公民社保数据惨遭泄露
(十四)印度航空公司泄露450万乘客个人信息
(十五)澳大利亚维珍航空因第三方IT系统故障取消多个航班
第一章 国内关键信息基础设施安全动态
(一)CNCERT发布《2020年我国互联网网络安全态势综述》报告
2021年5月26日,国家互联网应急中心(CNCERT)编写的《2020年我国互联网网络安全态势综述》报告(以下简称“2020年态势报告”)正式发布。为全面反映我国网络安全的整体态势,CNCERT自2010年以来,每年发布前一年度网络安全态势情况综述,至今已连续发布12年,对我国党政机关、行业企业及社会了解我国网络安全形势,提高网络安全意识,做好网络安全工作提供了有力参考。
2020年,全球突发新冠肺炎疫情,抗击疫情成为各国紧迫任务。不论是在疫情防控相关工作领域,还是在远程办公、教育、医疗及智能化生产等生产生活领域,大量新型互联网产品和服务应运而生,在助力疫情防控的同时也进一步推进社会数字化转型。与此同时,安全漏洞、数据泄露、网络诈骗、勒索病毒等网络安全威胁日益凸显,有组织、有目的的网络攻击形势愈加明显,为网络安全防护工作带来更多挑战。
2020年态势报告以CNCERT宏观网络安全监测数据与工作实践为基础,综合各类安全威胁、事件信息,网络安全事件应急处置以及网络安全威胁治理实践等内容。报告主要分为三个部分:
一是总结2020年我国互联网网络安全状况。报告总结了我国在网络安全法律法规建设完善、网络威胁治理等所取得的重要成果。重点从APT攻击、数据安全、安全漏洞、恶意程序、网络反诈、工业控制系统安全等六个方面对全年突出的网络安全状况特点进行了梳理。
二是预测2021年网络安全热点。报告提出六点预测,认为APT攻击威胁、个人信息保护、供应链安全、关键信息基础设施安全、远程协作安全风险、大数据安全等将成为2021年网络安全领域值得关注的热点。
三是梳理网络安全监测数据。报告从攻击来源、攻击对象、攻击规模等维度,通过丰富的宏观安全监测数据统计分析,对恶意程序、安全漏洞、拒绝服务攻击、网站安全、云平台安全、工业控制系统安全、区块链安全等七个方面进行了梳理。
本文版权归原作者所有,参考来源:CNCERT http://t.hk.uy/ktZ
第二章 国外关键信息基础设施安全动态
(一)美国国土安全部将发布首个管道网络安全法规
据《华盛顿邮报》报道,美国国土安全部(DHS)将发布有史以来第一套管道网络安全法规。
此前,Colonial Pipeline遭受勒索软件攻击,导致运营系统中断5天,引发恐慌性购买,导致美国东南部出现燃料短缺。Colonial公司向勒索软件组织Darkside支付了440万美元的赎金,以重新控制其系统和数据。
据《华盛顿邮报》报道,一名国土安全部高级官员表示,近日将发布一项安全指令,要求管道公司向联邦当局报告网络安全事件。该指令将由国土安全部下属的运输安全管理局发布。
这一指令将在几周后出台一套更丰富的法规。预计这些规则将更详细地列出管道运营商必须采取哪些措施来保护期系统免受网络攻击。黑客入侵后的行为也将受到监管,遭受网络攻击的公司将被要求遵守一套最佳实践。这些强制性法规将取代之前由国土安全部发布的自愿网络安全指南。
NetEnrich威胁情报顾问John Bambenek表示,“美国政府对网络安全监管采取的“马后炮”方式,可能不是保护关键基础设施的最佳方式。向联邦政府通报网络攻击不比发布任何保护性法规重要,但事实是,我们有数千页关于联邦政府安全的政策、法规和研究报告,但它们仍然遭到攻击。在防止未来的事件方面,基于防止最后一次事件的监管方法总是缺乏的。”
Lookout的Hank Schless对这些规定的潜在影响持更为积极的态度,他表示,“实施新法规在打击网络犯罪方面可能非常有效,只要组织真正采取行动与之保持一致。与新法规保持一致需要时间和资源,但这至少应该成为类似公司采取行动的动力。”
参考来源:InfoSecurity http://t.hk.uy/kuh
(二)多家工业系统供应商正在评估OPC UA漏洞对其产品影响
以色列Otorio研究团队负责人Eran Jacob发现了两个OPC UA高危漏洞CVE-2021-27432及CVE-2021-27434,可被利用触发堆栈溢出及泄露敏感信息。多家工业系统供应商正在评估这些漏洞对其产品的潜在影响,目前只有Beckhoff发布了安全建议。
5月13日,美国CISA发布公告称,以色列Otorio研究团队负责人Eran Jacob发现了两个OPC UA漏洞,Otorio是一家专门从事OT安全和数字风险管理解决方案的公司。OPC UA是由OPC Foundation开发的一种机器对机器的通信协议,广泛应用于工业自动化等领域。
CVE-2021-27432是不受控制的递归漏洞,CVSS得分为7.5,可以被利用来触发堆栈溢出,该漏洞会影响OPC UA.NET标准版及旧版。CVE-2021-27434是敏感信息泄露漏洞,CVSS评分为7.2,会影响基于Unified Automation.NET的OPC UA客户端/服务器SDK。
OPC Foundation在三月份发布了一个补丁。影响统一自动化软件的缺陷与使用易受攻击的.NET框架版本有关。根据CISA,CVE-2021-27434与Microsoft在2015年修补的.NET漏洞CVE-2015-6096有关。统一自动化已经通过更新解决了这个问题。
Jacob表示,多家供应商正在评估这些漏洞对他们产品的潜在影响,已通过CISA通知了各供应商,但目前看来只有Beckhoff发布了建议。Beckhoff在5月14日发布的报告中表示,其TwinCAT PLC运行时的组件受到了安全漏洞的影响。
Beckhoff的报告也发表在了德国的CERT@VDE上,这些漏洞可以被未经认证的攻击者利用,导致拒绝服务(DoS)状态,或者通过发送特殊设计的OPC UA包来获取信息。该信息披露问题被公司描述为XML外部实体(XXE)漏洞。
Beckhoff表示,“对于这两种攻击,攻击者在攻击OPC UA服务器时需要使用特制的OPC UA客户端,在攻击OPC UA客户端时分别需要使用特制的OPC UA服务器。为了攻击服务器,攻击者必须能够建立与该服务器的TCP连接。为了攻击客户端,攻击者需要能够使客户端连接到攻击者的服务器。”
Jacob表示,“如果易受攻击的OPC UA服务器可以通过互联网访问,或者易受攻击的客户端可以通过互联网访问由攻击者控制的服务器,就有可能从互联网远程攻击这些漏洞。理论上,对OPC UA服务器执行DoS的攻击者可能会影响控制系统之间的连接,这可能会导致过程失去可见性和控制。此外,从理论上讲,XXE漏洞可能允许从系统中泄漏敏感文件,如不受保护的私钥或配置文件,或者它可以被用来代表被攻击的服务器/客户端执行任意HTTP GET请求。”
参考来源:SecurityWeek http://t.hk.uy/kpv
(三)蓝牙两大核心规范存在安全漏洞
法国情报机构ANSSI的研究人员发现,蓝牙核心规范(Bluetooth Core)和蓝牙网状网络连接技术(Mesh Profile)规范中存在多个漏洞,攻击者可利用这些漏洞在配对过程中冒充合法设备,并在脆弱设备的无线范围内实施中间人(MitM)攻击。所有支持这两
规范的蓝牙设备都会受到影响,容易受到假冒攻击和AuthValue泄露。
研究人员发现了一个影响蓝牙核心规范2.1到5.2中BR/EDR安全简单配对中的Passkey认证、蓝牙核心规范4.1到5.2中BR/EDR安全连接配对和蓝牙核心规范4.2到5.2中LE安全连接配对的漏洞。专家们发现,处于MITM位置的攻击者能够使用一系列精心设计的响应来确定配对发起者在每一轮配对过程中所选择的随机生成的密钥。一旦构成Passkey的比特在同一配对会话中被识别出来,攻击就可以与应答者完成验证配对过程。
成功完成身份验证过程后,将对攻击者而不是发起者进行身份验证,从而允许攻击者扮演加密的、经过身份验证的对等体的角色。通过这种方式,攻击者无法成功地与发起者配对,从而避免了对发起者和响应者配对过程进行完全透明的MITM攻击。
要成功进行这种攻击,攻击设备需要处于发起配对或绑定的两个脆弱蓝牙设备的无线范围内,在配对请求和响应中BR/EDR IO能力交换或LE IO能力导致选择Passkey配对过程。
蓝牙技术联盟(Bluetooth SIG)发布了关于这些漏洞的安全公告,卡内基梅隆CERT协调中心(CERT/CC)也发布了一份公告,其中包括受影响的供应商名单,如Cisco、Microchip、Red Hat、Intel和Android。
参考来源:SecurityAffairs http://t.hk.uy/ktp
(四)英国保险公司One Call遭受DarkSide勒索软件攻击
英国保险公司One Call披露其于5月13日遭受了勒索软件攻击,导致核心IT系统中断,并迫使该公司关闭了服务器。
该公司在其网站上发布的消息显示,“自5月13日以来一直与网络专家合作以恢复受影响的系统。实时聊天服务和客户门户已备份,并将在新的安全环境中运行。调查此事件的取证专家证实,此次攻击事件是由勒索软件造成的。IT团队已关闭服务器来减轻攻击带来的影响。我们一直在恢复系统,因此选择优先考虑支持现有客户,因此不接受加入新客户。该公司已经通知了相关监管机构,并对引起的后果深感歉意。”
据One Call称,已经恢复了对现有保单持有人的正常服务,客户可使用实时聊天或客户门户网站与公司联系。
英国当地报纸Doncaster Free Press首次公开披露了攻击One Call的是勒索软件,DarkSide勒索软件组织应该对此次事件负责。
该报道表示,“黑客在屏幕上显示了一条信息,指出如果他们没有收到1500万英镑的赎金,他们将公开所有拥有的数据,其中包括所有客户数据,例如密码和银行详细信息。”
该报道称,攻击者能够破坏该公司的数据库,从而可能泄露了客户的个人和银行详细信息、密码、电子邮件地址、政策和其他信息。该报道还称,工作人员还指责One Call掩盖了此次攻击的程度。
参考来源:computing http://t.hk.uy/hNZ
(五)美国保险公司CNA Financial支付4000万美元勒索赎金
据彭博社报道,美国大型保险公司CNA Financial支付了4000万美元的勒索赎金,以恢复对系统的访问。4000万美元的勒索赎金是迄今为止最高的勒索金额,2020年为3000万美元,2019年为1500万美元。
CNA Financial在遭受攻击后两周才支付赎金。在遭受网络攻击期间,员工无法访问公司系统,机密数据被盗。
CNA表示,于3月21日检测到了一起“复杂的网络安全攻击”,导致网络中断,并影响了某些CNA系统。CNA 5月12日表示,第三方网络取证专家正在调查此事件,勒索软件组织似乎在3月21日之前进行了所有活动,此后一直未进入CNA环境。
CNA感染的是Phoenix Locker勒索软件,是Hades勒索软件的变体,该软件由网络犯罪组织Evil Corp使用。
起初,CNA无视黑客组织的要求,没有与该勒索软件联系,选择自行恢复文件。但是一周之后,CNA决定与黑客进行谈判,最初的勒索金额为6000万美元。随后一周CNA支付了赎金。
勒索软件组织可能会在网络中侦察和潜伏,以便在加密开始之前悄悄地窃取信息,以便进行双重勒索攻击,拒绝支付赎金以解密其系统的公司将面临数据在网上泄露的风险。
CNA对哪些数据被窃取没有披露,但表示,“我们不认为存储大多数保单持有人数据(包括保单条款和承保范围)的记录系统、索赔系统和承保系统受到影响。”
在支付了赎金后,CNA已恢复了系统并已全面投入运营。CNA发言人在一份声明中表示,其不会对赎金发表评论,并补充说CNA在处理网络攻击时“遵守了所有法律、法规和已发布的指南”。
此外,该公司还向联邦调查局和外国资产控制办公室(OFAC)进行了咨询。但是这可能不足以安抚美国立法者或执法机构,因为他们不鼓励向网络攻击者支付费用,这只会使勒索软件部署成为一项有利可图的业务。
参考来源:ZDNet http://t.hk.uy/hSE
(六)Zeppelin勒索软件重出江湖
Zeppelin勒索软件从去年秋天开始沉默了一段时间,并于上个月底恢复了活动,在黑客论坛上宣传该恶意软件的最新版本,为网络罪犯的勒索软件业务提供了完全独立性。
Zeppelin勒索软件也名为Buran,起源于VegaLocker家族,是一种基于Delphi的勒索软件即服务(RaaS),于2019年在俄罗斯黑客论坛上发现。
然而,Zeppelin勒索软件的开发者在地下论坛上出售了该软件,让购买者可以决定如何使用该恶意软件。开发人员还与恶意软件的某些用户建立了某种个人合作关系。
这与传统的RaaS操作有些许不同。在传统的RaaS操作中,开发人员通常会寻找合作伙伴入侵受害者网络,窃取数据,并部署文件加密恶意软件。然后双方分摊支付的赎金,开发者获得较小的部分(高达30%)。
威胁预防和避免损失公司AdvIntel发现,Zeppelin勒索软件的开发人员已在三月份恢复了他们的活动。他们宣布“对软件进行了重大更新”,同时进行新一轮的销售。AdvIntel研究负责人Yelisey Boguslavskiy在一份情报中表示,当前的Zeppelin版本的价格为2300美元。
在这次重大更新之后,Zeppelin开发人员于4月27日发布了该恶意软件的新变体,在功能方面几乎没有变化,但增强了加密的稳定性。他们还向老客户保证,该恶意软件将持续运行,并且长期用户将受到特殊待遇。
Zeppelin是市场上为数不多的不采用纯RaaS模型的勒索软件业务之一,也是其中最受欢迎的勒索软件业务之一,它受到网络犯罪界知名人士的推荐。
Boguslavskiy解释了Zeppelin开发人员的工作方式,称他们与购买了该恶意软件的紧密合作伙伴共同中致力于“更广泛的运营范围”。
AdvIntel警告称,尽管缺乏典型的RaaS模型组织,但Zeppelin可能使抵御勒索软件威胁更加困难,因为访问恶意软件使其他开发人员可以窃取其产品的功能。
AdvIntel表示,Zeppelin的用户是个人购买者,他们不会使攻击复杂化,而是依靠常见的初始攻击媒介,如RDP、VPN漏洞和网络钓鱼等。
此外,Zeppelin运营商没有像大多数RaaS组那样具有泄漏网站,他们专注于加密数据,而不是窃取数据。
AdvIntel建议监视和审核外部远程桌面和VPN连接,以有效防御Zeppelin勒索软件威胁。即使没有复杂的RaaS操作,Zeppelin勒索软件仍令人担忧,因为这种软件的攻击难以检测,尤其是在使用新的下载程序时。
参考来源:BleepingComputer http://t.hk.uy/hUF
(七)远程访问木马STRRAT伪装成勒索软件窃取数据
微软安全情报研究人员发现,STRRAT是一个远程访问木马,但是该恶意软件伪装成勒索软件,窃取受害者的数据。
基于Java的STRRAT RAT利用大规模垃圾邮件活动分发,但是该恶意软件表现出类似于勒索软件的行为,在文件中添加.crimson文件扩展名,然而实际上并没有对文件进行加密。
微软研究人员表示,此次活动的幕后攻击者利用泄露的电子邮件帐户来发送垃圾邮件,其中包含一个伪装成PDF附件的图片。打开图片后,恶意代码将连接到域并下载STRRAT RAT。
研究人员发现,STRRAT 1.5版比以前的版本更加模糊和模块化。该恶意软件支持多种功能,例如收集浏览器密码、运行远程命令和PowerShell、以及记录击键。
STRRAT RAT于2020年6月首次被G DATA发现,并记录了其功能。G DATA研究人员表示,“该RAT专注于通过键盘记录窃取浏览器和电子邮件客户端的凭据以及密码。它支持以下浏览器和电子邮件客户端:Firefox、Internet Explorer、Chrome、Foxmail、Outlook、Thunderbird。”
G DATA研究人员发现,该恶意软件只是通过添加.crimson扩展名来重命名文件。“所谓的“加密”只是通过添加.crimson扩展名来重命名文件。这可能仍然适用于勒索,因为无法再通过双击打开此类文件。Windows通过扩展名将正确的程序与打开文件相关联。如果扩展名被删除,则文件可以照常打开。RAT的客户端中没有赎金记录。攻击者可以使用show-msg命令显示他们喜欢的任何内容。服务器有可能提供赎金记录模板。”
参考来源:SecurityAffairs http://t.hk.uy/jxJ
(八)FBI警告Conti勒索软件攻击16个美国医疗及紧急服务机构
美国FBI 5月20日发布警报称,在过去一年里,其发现了至少16起针对美国医疗保健及急救网络的Conti勒索软件攻击,包括执法机构、紧急医疗服务机构、911调度中心和市政当局。
全球有400多个组织成为Conti勒索软件攻击的目标,其中290多个位于美国。与大多数勒索软件一样,Conti通常会窃取受害者的文件,并对服务器和工作站进行加密,以强迫受害者支付赎金。勒索信件指示受害者通过在线门户网站与攻击者联系并完成交易。如果不支付赎金,则被盗的数据将被出售或发布到由Conti控制的公共网站。赎金数额差异很大,估计是为受害者量身定做的。最近的赎金要求高达2500万美元。
针对应急服务人员的网络攻击可能会延迟对实时数字信息的访问,从而增加应急响应者的安全风险,并且可能危及依赖于不中断服务呼叫的公众。无法访问执法网络可能会妨碍调查能力,并且可能引起投诉。攻击医疗网络可能会延迟访问重要信息,从而可能影响患者的护理和治疗,包括取消程序、重新安排到未受影响的设施、以及损害受保护的健康信息。
Conti通过武器化的恶意电子邮件链接、附件或被窃取的远程桌面协议(RDP)凭据获得对受害者网络的未经授权的访问。Conti使用嵌入式Powershell脚本对Word文档进行武器化处理,首先通过Word文档释放Cobalt Strike,然后将Emotet放到网络上,从而可以部署勒索软件。在部署Conti勒索软件之前,主要是使用动态链接库(DLL)进行分发,平均在受害网络中观察到参与者的时间为平均四天到三周。攻击者首先使用网络上已经可用的工具,然后根据需要添加工具,例如Windows Sysinternals和Mimikatz,以在升级和加密数据之前提升特权并在网络中横向移动。在某些情况下,如果需要其他资源,攻击者也会使用Trickbot。一旦Conti部署了勒索软件,就可以留在网络中,并使用Anchor DNS发出信号。
如果受害者在勒索软件部署后的两到八天没有响应勒索要求,那么Conti通常会使用一次性使用的互联网协议语音(VOIP)号码呼叫受害者,也可以使用ProtonMail与受害人进行交流。有些时候受害者可以与攻击者协商赎金金额。
参考来源:美国医院协会 http://t.hk.uy/jyJ
(九)瑞士制药公司Siegfried遭受网络攻击致生产中断
瑞士制药公司斯福瑞(Siegfried)5月23日披露,其IT网络已成为恶意软件的攻击目标。该公司立即采取广泛措施,以确保其员工和设施的安全,并避免进一步的损害。现已经确定了根本原因,并已经开始恢复系统。
2021年5月21日晚,内部监控系统发现了Siegfried IT网络上的恶意软件攻击。作为紧急措施,斯福瑞关闭了各个地点的工厂生产、中断了网络连接、并对所有IT系统进行深入调查,该调查仍在进行中。所有员工和生产设施的安全始终得到保障。除了西班牙的两个工厂在隔离网络上运行外,其他地点的生产都有不同程度的中断。
内部和外部专家在IT基础架构和安全方面的合作正在顺利高效地进行,已经确定了根本原因,并且系统恢复工作已经开始,包括评估信息技术系统何时将再次全面运行。
Siegfried Group是一家全球生命科学公司,在瑞士、德国、西班牙、法国,马耳他、美国和中国设有分支机构。Siegfried在2020年的销售额达到了8.451亿瑞士法郎,目前在三大洲的11个工厂拥有约3500名员工。Siegfried积极为制药业生产制药原料药和中间体,以及药品(包括片剂、胶囊、无菌小瓶、安瓶、药筒和药膏),并提供开发服务。斯福瑞在中国南通建有工厂。
参考来源:Siegfried http://t.hk.uy/hYn
(十)音响设备制造商Bose遭受勒索软件攻击
美国音响设备制造商Bose 5月19日披露,其于3月7日遭受了勒索软件攻击。
Bose在通告中表示,“Bose公司发生了一起复杂的网络事件,导致Bose的整个环境中都部署了恶意软件/勒索软件。2021年3月7日,Bose首次在其美国系统上检测到恶意软件/勒索软件。”
在发现安全漏洞后不久,Bose启动了事件响应程序,并对该事件展开了调查。该公司没有提供有关攻击的细节,如感染其系统的勒索软件家族。
该公司发现,勒索软件运营商获取了与Bose公司6名前新罕布什尔员工有关的内部行政人力资源文件数据,并有可能将其泄露。公开的数据包括员工姓名、社会保险号、薪酬信息以及与人力资源相关的信息。
Bose于2021年4月29日确定,攻击者有可能访问了少量内部电子表格,这些电子表格由人力资源部门维护,这些文件包含有关Bose员工和前员工的某些信息。
Bose还聘请了外部安全专家和取证专家来确定攻击的程度,并恢复受影响的系统。Bose表示他们没有支付任何赎金,并在第三方网络安全专家的支持下,从备份中恢复了加密文件。
在勒索软件攻击中泄露的员工个人信息包括姓名、社会安全号码、薪酬信息和其他人力资源相关信息。Bose还聘请了安全专家来监控暗网中的数据泄露。
Bose宣布将采取措施来加强网络安全并防止未来的攻击:
1、进一步增强了对端点和服务器的恶意软件/勒索软件保护,防范未来恶意软件/勒索软件攻击;
2、对受影响的服务器进行详细的取证分析,以分析影响对受影响的服务器执行详细的取证分析,以分析恶意软件/勒索软件;
3、阻止恶意文件使用期间的攻击端点,以防止进一步传播的恶意软件或数据泄露的企图;
4、加强监控和日志记录,以确定威胁行为体未来的任何行动或类似类型的攻击;
5、在外部防火墙上阻止新识别的与此威胁参与者链接的恶意站点和IP,以防止潜在的泄露;
6、更改所有最终用户和特权用户的密码;
7、更改了所有服务帐户的访问密钥。
参考来源:SecurityAffairs http://t.hk.uy/ksW
(十一)富士通ProjectWEB平台遭黑客入侵,泄露日本政府数据
据报道,富士通ProjectWEB平台遭受了黑客入侵,导致日本多个政府机构的数据被黑客窃取。随即富士通关闭了该平台,目前正在调查攻击的范围。
富士通表示,“我们确认ProjectWEB平台遭受了未经授权的访问,ProjectWEB是一款用于日本项目协作和项目管理软件。富士通目前正在对该事件进行彻底的审查,我们正在与日本当局进行密切协商。为预防起见,我们已暂停使用此软件,并已告知任何可能受影响的客户。”
据日本NHK媒体报道,受影响的政府组织包括国土交通省、内阁秘书处、及成田机场。国土交通省至少有7.6万个员工和商业伙伴的电子邮件地址被泄露,以及该部内部邮件和互联网设置的数据。内阁秘书处的网络安全中心的几个办公室的信息系统数据被盗。成田机场的空中交通管制数据也被盗,这促使日本内阁府的国家网络安全中心就富士通软件的使用发出了警报。
参考来源:NHK http://t.hk.uy/kvj
(十二)日本电商平台Mercari受到Codecov供应链攻击影响,泄露大量信息
日本电子商务平台Mercari披露,其受到Codecov供应链攻击影响,发生了重大数据泄露事件。
Mercari是一家日本上市公司,也是一家在线市场,已将其业务扩展到美国和英国。截至2017年,Mercari应用程序在全球的下载量已超过1亿次,该公司是日本第一家达到独角兽地位的公司。
知名代码覆盖工具Codecov发生了持续两个月的供应链攻击。在这两个月期间,攻击者修改了合法的Codecov Bash上传工具,以从Codecov客户的CI/CD环境中过滤环境变量,包含密钥、令牌和凭据等敏感信息。Codecov攻击者利用从被篡改的Bash上传程序中获取的凭据,入侵了数百个客户网络。
21日,电子商务巨头Mercari披露了Codecov供应链对其客户数据的攻击所造成的重大影响。该公司已经确认,由于Codecov的入侵,包括财务信息在内的数以万计的客户记录暴露给了外部参与者。
在21日结束调查后,Mercari被泄露的记录包括:
1、在2014年8月5日至2014年1月20日期间,有17085条销售收入转移到客户账户的记录。公开的信息包括银行代码、分行代码、账号、账户持有人(假名)、转账金额。
2、有7966份"Mercari"和"Merpay"的商业伙伴的记录,包括姓名,出生日期,隶属关系,电子邮件地址等。
3、2615份员工记录包括Mercari子公司的员工。截至2021年4月的部分员工姓名、公司邮箱地址、员工身份证、电话号码、出生日期等。过去的雇员,一些承包商,以及与Mercari有联系的外部公司雇员的详细信息。
4、2015年11月至2018年1月登记的217个客户服务支持案例。公开的数据包括客户姓名、地址、电子邮件地址、电话号码和查询内容。
5、6条记录与2013年5月发生的事件有关。
Mercari在下图中说明了这次攻击以及这些数据是如何暴露给第三方参与者的:
在Codecov在4月中旬首次披露后不久Mercari就意识到收到Codecov泄露的影响。4月23日,GitHub还通知Mercari,在Mercari的存储库中发现了与该事件相关的可疑活动。同一天,Mercari开始深入研究,并要求GitHub提供详细的访问日志。
最终,Mercari的工作人员确定,一个恶意的第三方获取并滥用了他们的身份验证凭证,并在4月13日至4月18日期间访问了Mercari的私人存储库。发现这次攻击后,Mercari立即关闭了被破坏的凭证和机密,并继续调查这次入侵的全部影响。4月27日,Mercari发现,存储在这些GitHub存储库中的一些客户信息和源代码被未经授权的外部机构非法访问。
该公司表示,由于调查活动一直在进行,因此不得不等到今天才披露数据泄露。在无法完全识别和纠正任何安全漏洞之前,该公司有遭受进一步的攻击和破坏的风险。Mercari现已经结束了调查,并披露了细节。
参考来源:BleepingComputer http://t.hk.uy/kv3
(十三)印度尼西亚2.7亿公民社保数据惨遭泄露
印度尼西亚政府正在调查一起数据泄露事件,该事件泄露了印尼2.7亿公民的社会保障数据。印尼通信和信息部证实了这一数据泄露事件,但企图淡化这一事件,称只影响了一小部分人员。
一个网名为Kotz的用户在黑客论坛上发布了属于印尼公民的数据样本,随即印尼政府对数据泄露事件展开了调查。泄露的数据包括姓名、公民身份证号、居住地址、以及百万印尼公民的电话号码。Kotz声称拥有一个包含2.7亿公民数据的数据库。
据《海峡时报》报道,通信和信息部发言人Dedy Permadi 21日发表声明称,该部正在调查100002份样本,远远少于Kotz声称的数量。有些数据与印尼全民医疗保健计划的医疗和社会保障局(BPJS Kesehatan)持有的数据“完全相同”,如卡号、家庭信息和支付状况。
印尼政府还宣布已采取措施,防止进一步的数据泄露。通信和信息部已采取预期措施,通过切断下载个人数据的链接,进一步避免数据传播。医疗保健和社会保障局(BPJS Kesehatan)正在调查可能的泄漏来源。
目前尚不清楚攻击者是如何获取公民数据的。
2020年6月,威胁情报公司Cyble研究人员在暗网中发现了23万印度尼西亚COVID-19患者记录,包括姓名、地址、现住址、电话号码、国籍、诊断日期、结果、结果日期等。
参考来源:SecurityAffairs http://t.hk.uy/krN
(十四)印度航空公司泄露450万乘客个人信息
全球航空业知名IT与电信服务供应商SITA今年3月披露,其旗下专门经营航空公司乘客处理系统的子公司Passenger Service System(PSS)遭到黑客入侵,而印度航空(Air India)直至上周才宣布自己是受害者,约有450万名乘客的资料遭到泄露。
PSS主要提供各大航空公司的乘客处理服务,从到柜台报到至登机,支持生物辨识系统,估计每年有来自各大航空公司的10亿名乘客使用PSS服务。
印度航空表示,他们虽然是在2月25日就收到通知,但一直到5月才确认受到影响的乘客资料,所以才在上周统一公布。受影响的450万乘客是在2011年8月26日至2021年2月3日间注册的,包括乘客的姓名、出生日期、联系方式、护照信息、机票信息、星空联盟、印度航空经常飞行数据以及信用卡数据等详细信息。
SITA PSS在被黑客攻击之后,马上就展开调查,修补受到攻击的服务器,同时与安全专家合作,通知信用卡发行银行,并重设所有密码。
SITA PSS并未公布受到波及的航空公司名单,而是由各大航空公司自行宣布,除了印度航空之外,还包括新西兰航空(Air New Zealand)、国泰航空(Cathay Pacific)、新加坡航空(Singapore Airlines)、北欧航空(SAS,Scandinavian Airline)、济州航空(Jeju Air)、马来西亚航空(Malaysia Airlines)、芬兰航空(Finnair)与汉莎航空(Lufthansa)都是这波供应链攻击的间接受害者,另外全日空与日本航空也在受害者名单之中。
本文版权归原作者所有,参考来源:iThome http://t.hk.uy/kry
(十五)澳大利亚维珍航空因第三方IT系统故障取消多个航班
澳大利亚维珍航空(Virgin Australia)5月21日发表声明称,其航班受到了IT中断影响。造成中断的原因是第三方IT系统Sabre,用于航空公司办理登机手续、登机和航班预订。美国航空、阿拉斯加航空和捷蓝航空也受到了影响。
维珍航空在21日被迫取消了30多个航班,而22日有“少量”航班被取消和延误,原因是该航空公司努力“通过其网络重新定位飞机和机组人员”。
维珍航空发言人在声明中表示,“Sabre是我们用于办理登记、登机和预订机票的第三方IT系统,正在调查中断原因。”
Sabre将故障归咎于其硬件提供商Dell EMC。Sabre表示,“Dell已确认其经历了硬件冗余故障,从而影响了Sabre的系统,包括PSS和签入。目前该问题已解决,Dell正在努力了解发生故障的原因。”
维珍航空于21日下午5:20在Twitter上首次发布声明,声称在中断三个小时后该问题已得到解决。Twitter文章显示,“我们很高兴通知您,全球系统中断已得到解决。对于今天晚上和周末之前旅行的所有客人,感谢您今晚的耐心等待。我们正在努力让您尽快上路”。
维珍航空还向受影响的客户道歉。发言人称,“尽管此事已得到解决,但在国内网络中就感受到了对旅客的影响,我们代表维珍航空对他们周末旅行计划的中断表示歉意。我们正在与Sabre紧密合作,以确保采取必要的措施来防止这些故障再次发生。”
维珍航空使用Sabre来取代该公司以前的Navitaire系统,该系统以前曾一度中断。2011年,由于Navitaire系统故障,该航空公司遭受了11天的中断。维珍航空威胁要采取法律行动后,此事最终在庭外解决。
参考来源:ZDNet http://t.hk.uy/jzX
(如未标注,均为天地和兴工业网络安全研究院编译)
2021年,软件,攻击,勒索,数据,网络,系统,安全,泄露,网络安全
相关信息
2022-09-16
2022-09-09
2022-09-02
