关键信息基础设施安全动态周报【2021年第13期】
发布时间:
2021-04-02
来源:
作者:
访问量:
239
目 录
第一章 国内关键信息基础设施安全动态
(一)台湾威联通QNAP警告用户增强设备安全性以应对暴力攻击
第二章 国外关键信息基础设施安全动态
(一)日本制造业遭受恶意活动A41APT多层加载程序模块Ecipekac攻击
(二)印度工业企业MIDC的服务器遭受SYNack勒索软件攻击
(三)印度船运公司ECU Worldwide遭受勒索软件攻击
(四)伊朗黑客TA453针对美国及以色列医学研究人员发起钓鱼攻击
(五)德国议会议员遭受俄罗斯黑客钓鱼攻击
(六)拜登延长网络攻击制裁行政令
(七)5G网络架构存在漏洞可致信息泄露及Dos攻击
(八)PHP官方Git存储库遭到供应链攻击,代码库被篡改
(九)Linux系统存在两个漏洞可绕过Spectre攻击缓解措施
(十)澳大利亚第九频道IT网络遭受黑客攻击
(十一)英国伦敦Harris教育联合会遭受勒索软件攻击
(十二)Clop勒索软件组织泄露美国教育机构数据
(十三)勒索软件Ziggy退还受害者赎金
(十四)Gartner发布2021年八大网络安全和风险管理趋势
(十五)印度癌症药物制造商FKOL因藏匿数据罚款5000万美元
第一章 国内关键信息基础设施安全动态
(一)台湾威联通QNAP警告用户增强设备安全性以应对暴力攻击
台湾网络设备供应商威联通(QNAP)3月24日在其网站发布安全警告称,有用户报告其设备持续遭受暴力攻击,QNAP敦促其用户立即采取行动以增强其设备的安全性,包括使用强密码、更改默认访问端口、以及禁用管理员帐户。
近日,威联通(QNAP)收到了许多用户报告,称黑客尝试使用暴力攻击登录QNAP设备。黑客尝试使用QNAP设备用户帐户的每种可能的密码组合。如果使用了简单或者可预测的弱密码,如“password”或“12345”,则黑客可以轻松获得对设备的访问权限,从而破坏了安全性、隐私性和机密性。
为了采取措施避免被黑客入侵,QNAP建议用户不要在公共网络上暴露其设备,也应避免将默认网络端口用于公共服务。增强QNAP设备安全性和缓解暴力攻击的其他步骤包括为用户帐户设置复杂(强)密码、启用密码策略以及禁用管理员帐户。
如果不断有未经授权的尝试使用“admin”用户访问NAS,并警告“无法通过用户帐户admin登录”,该如何操作?由于访问尝试是由未经授权的用户在外部执行的,因此无法阻止他们尝试访问NAS,而只能在他们输入不正确的凭据时拒绝他们访问NAS,从而出现“登录失败”警告消息。
同时,还可以采取其他安全预防措施来进一步保护NAS。
1、如果经常遇到使用默认管理员帐户连续不断地未经授权尝试访问NAS,可以禁用该管理员帐户以降低安全风险。
2、此外,还可以配置安全设置以阻止某些IP地址。可以从NAS控制面板>系统>安全性>IP“访问保护”选项卡完成此操作。
参考来源:QNAP http://dwz.date/eCYY
第二章 国外关键信息基础设施安全动态
(一)日本制造业遭受恶意活动A41APT多层加载程序模块Ecipekac攻击
卡巴斯基研究人员3月30日发布技术报告,披露了复杂的恶意活动A41APT的详细信息,该活动部署恶意后门从日本制造业及其海外业务中窃取数据。
卡巴斯基研究人员将该活动称为A41APT,(并不是APT41),并深入研究了APT10(又名Stone Panda或Cicada)使用先前未记录的恶意软件进行的一系列新攻击,这些恶意软件可以提供多达三种有效载荷,包括SodaMaster、P8RAT和FYAnti。
这项长期进行的情报收集行动于2019年3月开始启动,直到2020年11月才发现有活动,当时有报道称与日本有关的公司在全球17个地区成为威胁行为者的攻击目标。卡巴斯基发现的最新攻击发生在2021年1月。感染链利用了多阶段攻击过程,最初的入侵是通过利用未修补的漏洞或被盗凭据通过滥用SSL-VPN发生的。
该活动的核心是一种称为Ecipekac的恶意软件,它通过使用四个文件来加载和解密四个无文件加载器模块,从而遍历四层复杂加载模式,最终在内存中加载最终有效负载。
虽然P8RAT和SodaMaster的主要目的是下载并执行从攻击者控制的服务器中检索到的有效负载,但卡巴斯基的调查并未提供有关在目标Windows系统上交付的确切恶意软件的任何线索。有趣的是,第三个有效载荷FYAnti本身就是一个多层加载程序模块,它经过两个以上连续的层,以部署称为QuasarRAT(或xRAT)的末级远程访问特洛伊木马。
卡巴斯基研究员Ishimaru Suguru Ishimaru表示,“攻击的的运作和植入非常隐蔽,难以追踪威胁者的活动。主要的隐形功能是无文件植入、模糊处理、反虚拟机、以及清除活动轨迹。”
参考来源:TheHackerNews http://dwz.date/eDdv
(二)印度工业企业MIDC的服务器遭受SYNack勒索软件攻击
印度工业公司MIDC服务器近日遭受了黑客攻击,勒索软件SYNack通过加密存储在孟买MIDC总部中的信息,影响了这些服务器上的应用程序和数据库服务器。据消息人士透露,黑客的勒索要求为50亿卢比。
恶意软件还感染了MIDC(印度马哈拉施特拉邦工业发展公司,Maharashtra Industrial Development Corporation)各个办公区的一些台式电脑。攻击者附上了一张赎金纸条,上面写着攻击的细节以及需要采取的步骤,以便他们解密信息。尽管如此,MIDC给出的一份声明表示,赎金说明中没有直接提及任何金额。黑客攻击事件发生后,包括孟买总部在内的该州16个地区性工作场所都被关闭。
所有工业区、企业家、政府部门和MIDC确定的不同计划的总数据可在在线系统上访问。自从3月21日黑客攻击之后,整个工作就停止了。MIDC与警方接洽后,网络犯罪警方开始对黑客事件进行调查。
MIDC发布的一份声明写道,“3月21日,星期天凌晨2:30左右,我们收到了自动警报,我们的应用程序被关闭。经过当天的进一步分析,勒索软件攻击得到证实。MIDC的应用程序托管在ESDS云和和本地服务器上,ESDS云由ESDS、云服务提供商管理,本地服务器由MIDC内部团队管理。我们拥有Trend Micro防病毒许可证,用于端点安全监控。勒索软件的细节已与趋势科技分享,以作进一步分析。作为一项紧急措施,MIDC系统与网络断开连接,以遏制病毒的传播。不同应用服务器的备份文件存储在云DC的不同网段上,没有受到感染。根据网络安全专家的建议,目前正在采取几项措施控制病毒传播,并将影响降至最低。”
参考来源:EHackingNews http://dwz.date/eCJT
(三)印度船运公司ECU Worldwide遭受勒索软件攻击
勒索软件组织Mount Locker 3月28日在其泄露网站发帖称,其从船舶运输公司ECU Worldwide窃取了2 TB数据,但尚未公开任何数据。此前ECU Worldwide母公司印度AllCargo物流公司2月16日曾披露其遭受了网络攻击事件,影响了ECU在线平台并导致电子邮件系统中断。
ECU是一家无船承运人(NVOCC),专门从事拼箱货(LCL)货物的运输,今年二月曾遭受网络攻击。该公司所有者印度AllCargo物流公司在2月16日向印度国家证券交易所提交的信件中承认了这一“网络事件”。作为印度最大的上市公司之一,AllCargo物流没有直接对勒索软件组织的帖子发表评论,也没有透露攻击中是否有任何数据被盗。
AllCargo发言人Alok Roy在给FreightWaves的电子邮件中表示,“我们将继续努力监控我们的系统和流程,并将采取任何必要措施,无论是合法的还是其他措施,以保护客户的数据和利益。”AllCargo表示,此事件影响了其某些在线平台和ECU的电子邮件系统。2月份,The Loadstar报告称,这次攻击给无法与公司沟通的客户造成了广泛的麻烦。
Roy在一封电子邮件中表示,“尽管我们最初确实不得不暂时使系统关闭,但自事件发生以来,我们的系统已经运行了一段时间,并且我们的业务处于最佳水平。”
像Mount Locker这样的勒索软件组织通常威胁受害者,如果不支付赎金将公开窃取的数据,以迫使受害者支付可能高达数百万美元的赎金。尽管Mount Locker尚未提供任何证据证明它已窃取任何数据,但它有良好的记录来应对威胁。受害者包括英国建筑业巨头Amey,有超过100 GB的数据泄漏。
ECU的业务性质涉及与全球的托运人、远洋运输公司、以及卡车和仓储公司进行广泛的数字通信。根据该公司的网站,ECU在全球拥有广泛的业务,在180多个国家/地区设有300多个办事处。ECU在美国有重要的业务,根据美国海关和边境保护局的数据,在过去的12个月中,该公司转移了超过38,000批货物到美国。
虽然尚不清楚什么数据被泄露,但先前对运输受害者的攻击已导致涉及客户信息的大量泄漏。黑客通常还通过发送复杂的网络钓鱼电子邮件来攻击受害者的客户,这些电子邮件看起来是合法的,但是包含恶意软件。
参考来源:AmericanShipper http://dwz.date/eDmh
(四)伊朗黑客TA453针对美国及以色列医学研究人员发起钓鱼攻击
网络安全公司Proofpoint 3月30日报告称,伊朗威胁行为者TA453冒充以色列知名物理学家,针对美国和以色列的专门从事遗传、神经学和肿瘤学研究的高级医学专业人士发起网络钓鱼活动。
TA453又名Charming Kitten、Phosphorus、APT35、Ajax Security Team、ITG18、NewsBeef、以及Newscaster,至少自2011年以来一直活跃,主要针对中东、英国和美国的激进分子、新闻记者和其他实体。
TA453在历史上一直与伊斯兰革命卫队的收集重点保持一致,主要针对持不同政见者、学者、外交官和新闻工作者。Proofpoint将此次活动命名为BadBlood,原因此次活动的攻击目标为医务人员,但是与该组织的常规活动有所不同。尽管此次攻击活动可能代表着TA453总体攻击目标的转变,但也有可能是特定短期情报收集要求的结果。BadBlood与威胁研究者日益关注的医学研究的不断发展趋势保持一致。
作为该活动的一部分,在2020年12月,TA453使用了一个伪装成以色列著名物理学家的Gmail帐户,发送恶意电子邮件,其中包含指向一个伪造的微软登录页面的链接,试图获取Outlook凭据。一旦受害者输凭据,就会显示一个良性的OneDrive文档。
Proofpoint指出,在美国和以色列不同研究机构工作的多达25名高级专业人员成为此次攻击的目标,但针对以色列人的攻击也可能也是该地区地缘政治紧张局势加剧的结果。
该活动的动机尚不清楚,但TA453可能试图收集与遗传、肿瘤学和神经学研究有关的医学信息。攻击者也有可能对患者信息感兴趣,或者对以后的网络钓鱼活动利用目标帐户感兴趣。
Proofpoint表示,“尽管这次运动可能代表着TA453整体目标的转变,但也有可能是一个异常值,反映了赋予TA453的特定优先情报任务。”
在调查过程中,研究人员发现了许多可以归因的伪造品,包括战术、领域、基础设施组件和诱饵文件,并发现网络钓鱼活动与针对传统TA453目标的攻击是同时进行的。
Proofpoint总结表示,“虽然将遗传学、神经病和肿瘤学方面的医学专家作为目标可能不是TA453攻击目标的持久转变,但它确实表明TA453收集重点至少是暂时的改变。BadBlood与全球医学研究的不断发展趋势相一致,而这一趋势越来越受到间谍活动的关注和威胁。”
参考来源:SecurityWeek http://dwz.date/eDsC
(五)德国议会议员遭受俄罗斯黑客钓鱼攻击
据德国明镜周刊报道,德国议会的多名议员疑似遭受了俄罗斯黑客发起的钓鱼攻击。威胁行为者给德国政客的私人邮箱发送钓鱼邮件,攻击者疑似是俄罗斯黑客组织Ghostwriter,该组织在俄罗斯军事特勤局GRU的控制下工作。
据明镜周刊报道,“联邦议院再次成为俄罗斯黑客的攻击目标。联邦议院至少有7名成员的计算机遭到了攻击。据称,Ghostwriter组织的攻击是通过网络钓鱼邮件发起的,向政客的私人电子邮件地址发送,冒充成可信赖的发件人,目的是劫持整个账户。”
目前尚不清楚攻击者是否能够在入侵过程中窃取敏感数据。德国联邦议会(Bundestag)7名议员和德国地区议会31名议员遭到袭击,其中大部分是基民盟/社民党和社民党的成员。
德国联邦议院发言人Frank Bergmann在记录中表示,此次攻击没有影响德国联邦议院的基础设施。一旦袭击被发现,德国当局通知了受影响的政客。明镜周刊还报道说,根据政府的说法,这些威胁行为者的目标还包括汉堡和不来梅的政治活动家。
去年8月,FireEye研究人员报告称,GhostWriter组织发起了一场造谣活动,该活动至少于2017年3月开始,并且与俄罗斯的安全利益保持一致。与其他虚假宣传活动不同,GhostWriter不会通过社交网络传播,相反,该活动背后的威胁行动者滥用了新闻网站的受害内容管理系统(CMS)或欺骗的电子邮件帐户来传播假新闻。
攻击者过去常常用假内容替换网站上现有的合法文章,而不是创建新帖子。攻击者散布了虚假的内容,包括伪造的新闻文章、引述、信件和其他旨在表现为来自目标国家军事官员和政治人物的文件。根据专家的说法,该运动主要针对联盟中特定国家的受众,包括立陶宛、拉脱维亚和波兰。
Ghostwriter运营商专注于散布虚假的引述,例如错误地归因于北约eFP战斗小组指挥官的引述,这段引语被用来宣扬驻扎在拉脱维亚的21名加拿大士兵感染了COVID-19的说法。
参考来源:SecurityAffairs http://dwz.date/eA5B
(六)拜登延长网络攻击制裁行政令
3月29日,美国总统拜登致信美国众议院和参议院,要求延长针对网络攻击而实施的制裁行政命令。
时任总统巴拉克·奥巴马于2015年发布的13694号行政命令,允许当局能够封锁从事“重大恶意网络活动”的实体的财产。2017年1月上任的前总统唐纳德·特朗普也于2017年、2018年、2019年和2020年延长了该行政命令。
拜登在信中写道,“全部或大部分来自美国境外的人员所发起或由其指挥的重大恶意网络活动,继续对美国的国家安全、外交政策和经济构成非同寻常和非常大的威胁。因此,我确定,有必要继续执行针对重大恶意网络活动的13694号行政命令所宣布的国家紧急状态。”这几乎与特朗普在任期间的信完全相同。
信中表示,除非总统在宣布紧急状态周年日之前的90天内延长紧急状态,否则国家紧急状态将自动终止。考虑到该行政命令自奥巴马发布以来每年都在延长,因此明年可能需要再次延长。
参考来源:TheWhiteHouse http://dwz.date/eDQS
(七)5G网络架构存在漏洞可致信息泄露及Dos攻击
对5G架构的最新研究发现,其网络切片和虚拟化网络功能中存在一个安全漏洞,可利用该漏洞来允许移动运营商5G网络上不同网络切片之间的数据访问和拒绝服务攻击。AdaptiveMobile于2021年2月4日与GSM协会分享了其研究结果,随后将这些漏洞统称为CVD-2021-0047。
5G是当前4G宽带蜂窝网络技术的演进版本,基于服务架构(SBA),该架构提供了模块化框架来部署一组互连的网络功能,从而允许消费者能够发现并授权其访问过多的服务。网络功能还负责注册用户、管理会话和用户配置文件、存储用户数据、以及通过基站(gNB)将用户(UE或用户设备)连接到互联网。此外,SBA的每个网络功能都可以提供特定的服务,但同时也可以向另一个网络功能请求服务。
协调5G网络的核心SBA的方法之一是通过切片模型。顾名思义,该想法是将原始网络体系结构“分割”成多个独立的虚拟网络,这些虚拟网络被配置为满足特定的业务目的,这反过来又决定了该切片所需的服务质量(QoS)要求。
此外,核心网络中的每个切片均由一组逻辑网络功能(NF)组成,这些网络功能可以专门分配给该分切片或在不同切片之间共享。换句话说,通过创建优先考虑某些特性(例如大带宽)的独立切片,网络运营商可以制定针对特定行业的定制解决方案。
例如,移动宽带切片可用于促进娱乐和与互联网相关的服务,物联网(IoT)切片可用于提供针对零售和制造业的量身定制的服务,而独立的低延迟片可被指定用于关键任务需求,例如医疗保健和基础设施。
AdaptiveMobile在对5G核心网络切片的安全性分析中表示,“5G SBA提供了许多安全功能,其中包括从前几代网络技术中学到的经验教训。但另一方面,5G SBA是一个全新的网络概念,它将网络开放给新的合作伙伴和服务。所有这些都带来了新的安全挑战。”
这种架构不仅带来了新的安全隐患,这些问题源于对支持传统功能的需求,而且还源于从4G迁移到5G所带来的“协议复杂性的大幅增加”,以及在此过程中为众多攻击打开了大门,其中包括:
1、通过强制使用切片区分符对特定切片执行恶意访问,未授权攻击者将能够通过其他切片访问到同类特定切片中的信息,例如获取访问与移动管理功能(AMF)、用户设备的位置信息等。切片区分符是网络运营商为区分相同类型的切片而设置的可选值。
2、通过利用遭受入侵的切片,针对另一网络功能执行拒绝服务(DoS)攻击。
攻击能够成功,因为存在设计缺陷,即没有检查以确保信令层请求中的切片身份与传输层中使用的切片身份相匹配,从而允许通过恶意网络功能连接到5G运营商SBA的对手获得控制权核心网络以及网络切片。值得注意的是,信令层是特定于电信的应用层,用于在位于不同切片中的网络功能之间交换信令消息。
作为应对对策,除部署信令层保护解决方案以防止利用层间缺失相关性的数据泄漏攻击之外,AdaptiveMobile建议通过在不同切片、核心网络和外部合作伙伴之间以及共享和非共享网络功能之间应用信令安全过滤器,将网络划分为不同的安全区域。
尽管当前的5G架构不支持这种保护节点,但该研究建议增强服务通信代理(SCP)以验证消息格式的正确性,在层和协议之间匹配信息并提供与负载相关的功能以防止DoS攻击。
研究人员表示,“这种过滤和验证方法可以将网络划分为安全区域,并可以保护5G核心网络。这些安全网络功能之间的攻击信息相互关联,可以最大程度地防御复杂的攻击者,并可以更好地缓解和加快检测速度,同时最大程度地减少误报。”
参考来源:TheHackerNews http://dwz.date/eDde
(八)PHP官方Git存储库遭到供应链攻击,代码库被篡改
在最新的软件供应链攻击中,官方PHP Git存储库遭到黑客攻击,代码库被篡改。
3月28日,两个恶意提交被推送到PHP团队在git.php.net服务器上维护的php-src Git存储库中。考虑到PHP仍然是服务器端编程语言,为互联网上超过79%的网站提供动力,这一事件令人震惊。在恶意提交中,攻击者在上游发布了一个神秘的更改,“fix-typo”,借口这是一个小的排版更正。
然而,看看添加的第370行(其中调用了Zend_eval_string函数),代码实际上在运行这个被劫持的PHP版本的网站上植入了一个后门,用于获取轻松远程代码执行(RCE)。
PHP开发人员Jack Birchall回应Michael Voříšek表示,“如果字符串以‘Zerodium’开头,这行代码将从useragent HTTP头中执行PHP代码”。该名开发人员最先指出了这一异常现象。
PHP维护人员Nikita Popov表示,“第一次提交是在提交几个小时后发现的,这是提交后例行代码检查的一部分。这些更改显然是恶意的,而且很快就恢复了。”此外,恶意提交是以PHP创建者Rasmus Lerdorf的名义进行的。
但是,与Git这样的源代码版本控制系统一样,这并不令人惊讶,可以在本地签署来自其他任何人的提交,然后将伪造的提交上传到远程Git服务器,在远程Git服务器上,它给人的印象就像它确实是由上面指定的人签署的一样。
据PHP维护人员称,尽管事件的全面调查仍在进行中,但这一恶意活动源于泄露的git.php.net服务器,而不是泄露个人的Git帐户。
作为这次事件后的预防措施,PHP维护人员决定将官方PHP源代码存储库迁移到GitHub。随着这个变化的推进,Popov坚持任何代码的变化都要直接推送到GitHub,而不是git.php.net从这一点开始。那些对PHP项目感兴趣的人现在需要添加到GitHub的PHP组织中。组织成员需要在GitHub帐户上启用双因素身份验证(2FA)。
参考来源:BleepingComputer http://dwz.date/eB6k
(九)Linux系统存在两个漏洞可绕过Spectre攻击缓解措施
赛门铁克网络安全研究人员3月29日披露了基于Linux的操作系统中的两个新漏洞,如果成功利用这两个漏洞,攻击者可能会绕过Spectre等攻击的缓解措施,并从内核内存中获取敏感信息。
赛门铁克威胁团队的研究人员Piotr Krysiuk发现了这些漏洞,漏洞编号为CVE-2020-27170和CVE-2020-27171,CVSS得分为5.5,影响了5.11.8之前的所有Linux内核。针对安全问题的补丁已于3月20日发布,Ubuntu、Debian和Red Hat在各自的Linux发行版中部署了针对漏洞的补丁。虽然CVE-2020-27170可被滥用来泄露内核内存中任何位置的内容,但CVE-2020-27171可用于从4 GB的内核内存范围检索数据。
Spectre和Meltdown首次记录于2018年1月,它们利用现代处理器中的漏洞泄露目前在计算机上处理的数据,从而允许攻击者绕过两个程序之间的硬件强制边界来获取加密密钥。换句话说,这两种侧通道攻击允许恶意代码读取它们通常没有权限的内存。更糟糕的是,这些攻击还可能通过运行恶意JavaScript代码的流氓网站远程发起。
虽然已经设计了隔离对策,并且浏览器供应商已经通过降低时间测量功能的精确度来提供针对计时攻击的保护,但缓解措施一直处于操作系统级别,而不是针对潜在问题的解决方案。
赛门铁克发现的新漏洞旨在利用内核对扩展Berkeley数据包过滤器(EBPF)的支持来提取内核内存的内容,从而绕过Linux中的这些缓解措施。
赛门铁克表示:“在受影响的系统上运行的非特权BPF程序可以绕过Spectre缓解,不受限制地推测性地执行越界加载。这可能会被滥用,通过旁路泄露内存内容。”具体地说,内核(“kernel/bpf/verifier.c”)被发现在指针算法上执行越界推测,从而破坏了Spectre的修复,并为旁路攻击打开了大门。
在现实世界中,非特权用户可以利用这些弱点,从共享同一台易受攻击的计算机的其他用户那里获取机密信息。研究人员称,“如果恶意行为者能够通过前一步获得对可攻击机器的访问权限,比如将恶意软件下载到机器上以实现远程访问,那么这些漏洞也可能被利用。”
这两个漏洞的消息传出几周前,谷歌发布了一段用JavaScript编写的概念验证(PoC)代码,用于在网络浏览器中演示Spectre,并在英特尔Skylake CPU上运行Chrome 88时以每秒1千字节(kB/s)的速度泄露数据。
参考来源:TheHackerNews http://dwz.date/eCeg
(十)澳大利亚第九频道IT网络遭受黑客攻击
澳大利亚广播公司第九频道遭受了网络攻击,造成运营中断,28日早七点至下午一点的新闻节目无法播出。
该公司发给员工的一封电子邮件中表示,“我们希望通知各位,我们的系统遭到网络攻击,中断了第九频道悉尼地区的直播。我们的IT团队日以继夜地工作,正在全面恢复我们的系统,这些系统主要影响到我们的广播和公司业务部门。”
该公司证实,这场史无前例的网络攻击影响了第九频道的IT网络,而其电子邮件系统似乎没有受到影响。
内部工作人员努力工恢复了正常的播出时间,下午6点的新闻节目在墨尔本的演播室定期播出。该广播公司希望在29日上午之前完全恢复所有节目,同时要求其工作人员在家工作。
据美国广播公司新闻网报道,一位不愿透露身份的消息人士称,第九频道管理层已通知员工,怀疑是“恶意”网络攻击造成的。同样为第九频道集团所有的《澳大利亚金融评论》也报道说,这家媒体公司很可能是网络攻击的目标,攻击的影响可能持续到28日以后。
该电视台的Alicia Loxley向墨尔本观众证实,该电视台遭到了大规模勒索软件攻击。网络黑客以第九频道为目标,发动了大规模勒索软件攻击,导致其在澳大利亚各地的网络瘫痪。目前还没有人声称对这一漏洞负责,但IT专家正在努力让系统恢复正常。
据TV Blackbox报道,俄罗斯黑客发起的这一攻击旨在阻止周一以俄罗斯总统普京为重点的《正在调查》节目播出。不过,《正在调查》这一集是预先录制好的,将按计划于周一播出。这一情况表明,第九频道是报复行动的受害者,消息人士告诉TV Blackbox,没有勒索金钱,这对于勒索软件攻击来说是非常不寻常的。
参考来源:SecurityAffairs http://dwz.date/eB6j
(十一)英国伦敦Harris教育联合会遭受勒索软件攻击
英国伦敦非营利性教育机构Harris联合会3月27日遭受了勒索软件攻击,IT系统及电子邮件系统受到攻击并加密,目前均已关闭。
哈里斯联合会(Harris Federation)是一家教育慈善机构,管理着50个伦敦及周边地区50所中小学的37000名学生。
在检测到攻击后,Harris还禁用了电子邮件和固定电话系统,所有电话都被重定向到手机。Harris提供的学生设备也已被禁用,以阻止勒索软件传播。
Harris网站上的一份声明显示,“这是一种高度复杂的攻击,将对我们的学术产生重大影响,但要弄清发生事情的确切细节并加以解决将需要时间。”Harris联合会目前正在与国家犯罪局、国家网络安全中心和一家网络安全公司合作调查此事件。
Harris联合会表示,“我们至少是三月份针对学校的第四个攻击目标。”越来越多的英国学校在类似的活动中受到攻击。此前,英国国家网络安全中心3月23日发布最新警报,该警报称自2月下旬以来针对教育机构的针对性勒索软件攻击有所增加。
此次波勒索软件攻击是继去年8月和9月影响英国教育部门的另一次勒索软件攻击之后发生的。其中一个影响的组织是纽卡斯尔大学,该大学受到勒索软件DoppelPaymer的攻击。两周前,联邦调查局针对针对英国和美国12个州的教育机构的Pysa勒索软件活动的增加发布了另一项咨询。
尽管尚无官方详细信息说明谁是该勒索软件背后的幕后黑手,但消息人士指出,此次的攻击者是勒索软件REvil。REvil在本月初袭击了计算机厂商宏基,并要求提供5000万美元的赎金,这是迄今为止已知的最大赎金。
参考来源:BleepingComputer http://dwz.date/eCdS
(十二)Clop勒索软件组织泄露美国教育机构数据
3月29日,Clop勒索软件组织开始发布从美国教育机构窃取的数据截图,包括马里兰大学和加州大学在线的财务文件和护照信息。
这些截图显示,马里兰大学泄露的数据包括联邦税收文件、学费减免文件申请、护士委员会申请、护照和税务摘要文件。泄露的数据包括敏感的个人数据,包括个人的照片和姓名、家庭地址、社保号码、移民身份、出生日期和护照号码。
加州大学默塞德分校也受到了同样的泄露影响。通过Kela的威胁情报套件Darkbeast查看该组织发布的屏幕截图,其中包括个人及其社保号码、退休文件和2019/2020年福利调整请求的列表。此外,泄露的数据似乎包括员工的延迟投保福利申请表和UCPath蓝盾医疗储蓄计划的投保请求。
Clop与一系列针对企业的网络攻击有关。Clop是众多采用“双重勒索”策略的威胁组织之一,在这种策略中,勒索软件可能首先部署在受感染的计算机上,然后网络犯罪分子威胁要在泄密网站上公开公司或敏感的被盗数据集,除非勒索要求得到满足。
本月早些时候,该组织泄露了据称属于迈阿密和科罗拉多大学的数据。同一天,据称属于Shell的记录也被发布在网上。石油巨头Shell透露,本月早些时候,通过侵入Accellion FTA服务器,发生了一次网络攻击。
3月22日,Revil勒索软件组织在一起勒索软件事件后公布了科技巨头宏碁的财务数据。宏碁被要求支付5000万美元的赎金,目前尚不清楚是否支付了任何赎金。该公司没有证实发生了勒索软件攻击,但确实表示发现了IT“异常”。
参考来源:ZDNet http://dwz.date/eCdT
(十三)勒索软件Ziggy退还受害者赎金
在勒索软件Ziggy 2月份宣布关闭后,Ziggy勒索软件管理员表示,他们还会把钱退还给受害者。
这是一个有计划的行动,因为管理员在一个多星期前分享了一个“好消息”,但是并未提供任何细节。
Ziggy勒索软件已于2月初关闭。在简短的公告中,该操作的管理员表示,他们对自己的所作所为感到“难过”,并且“决定公布所有解密密钥”。2月7日,他们提供了一个包含922个解密密钥的SQL文件,受害者可以使用这些密钥来解锁其文件。管理员还提供了一个解密工具,使该过程变得更加容易,以及不需要互联网连接即可工作的解密器的源代码。
3月19日,Ziggy勒索软件管理员表示,他们还希望将钱退还给支付赎金的受害者。28日,经过一个星期的沉默,这位管理员说他们已经准备好退还赎金。受害者可以通过指定的电子邮件地址ziggyransomware@secmail.pro与管理员联系,并用比特币和计算机ID证明付款,这笔钱将在大约两周内退还至受害者的比特币钱包中。
勒索软件受害者通常会收到一张勒索信,上面有如何联系网络犯罪分子协商付款的说明。通常情况下,支付金额通过协商决定,但以比特币支付。
Ziggy勒索软件管理员接受采访时表示,退款将以付款日当天的价值以比特币计算。在过去的三个月中,比特币的价格一直在上涨,目前其价格已接近55,000美元。Ziggy勒索软件解密密钥公开之日,比特币价格约为39,000美元。在管理员宣布退还钱的五天前,比特币飙升至61,000美元以上。考虑到价格差,管理员以当前的比特币价格获利。
Ziggy勒索软件管理员表示,他们生活在“第三世界国家”,并且他们创建该勒索软件的动机是出于经济原因。他们证实,最近的行动是由于担心执法人员会采取行动。最近的警方活动中断了Emotet和Netwalker勒索软件之类的更大规模的业务,可能对该决定产生了很大的影响。这位管理员还声称,他们必须出售房屋才能偿还Ziggy勒索软件受害者的钱,并且他们计划在退还钱款后转而成为勒索软件猎手。
参考来源:BleepingComputer http://dwz.date/eDvF
(十四)Gartner发布2021年八大网络安全和风险管理趋势
根据全球领先的信息技术研究和顾问公司Gartner的报告,随着新冠疫情加速数字化业务转型并给传统网络安全实践带来挑战,为了能够快速重塑自己所在的企业机构,安全和风险管理领导者必须应对八大趋势。
Gartner研究副总裁Peter Firstbrook先生表示,“第一个挑战是技能缺口。80%的企业机构告诉我们,他们很难找到和雇用安全专业人员,71%的企业机构表示这影响了他们在企业机构内部交付安全项目的能力。”
2021年安全和风险领导人面临的其他主要挑战包括:复杂的地缘政治局势和不断增加的全球法规、工作空间和工作负载从传统网络迁移、端点多样性和地点的迅速增长以及不断变化的攻击环境,尤其是勒索软件和商业电子邮件入侵。
以下八大趋势反映了预计将对行业产生广泛影响并具有巨大变革潜力的商业、市场和技术动态。
趋势一:网络安全网格(Cybersecurity Mesh)
网络安全网格是一种可以在最需要的地方部署控制措施的现代化安全方法。网络安全网格不是让每一个安全工具在“孤岛”中运行,而是通过提供基础安全服务以及集中策略管理和协调,使各工具之间实现互操作性。现在许多IT资产都在传统企业边界之外,而网络安全网格架构使企业机构能够将安全控制措施扩展到分布式资产。
趋势二:身份优先安全机制(Identity-FirstSecurity)
一直以来,“任何用户都可以随时随地访问”(常被称为“身份即新安全边界”)是一个可望而不可及的目标。由于技术和文化的转变,再加上疫情期间大多数人都在远程办公,这一理想已成为现实。身份优先安全机制将身份置于安全设计的中心位置并要求大幅改变传统的局域网边缘设计思路。
Firstbrook先生表示:“SolarWinds被攻击事件表明,我们在身份管理和监控方面做得还不够好。我们在多重认证、单点登录和生物识别认证上花费了大量的资金和时间,但却忽视了通过有效监控身份验证来发现针对这一基础设施的攻击。”
趋势三:继续为远程办公提供安全支持(Security Support forRemote Work is Here to Stay)
Gartner2021年首席信息官议程调查显示,目前有64%的员工能够在家办公。根据Gartner的调查,疫情后至少有30%至40%的人会继续在家办公。为了应对这一转变,许多企业机构需要重新设计适合现代化远程工作空间的政策和安全工具。例如需要将端点保护服务迁移至云端交付的服务。安全领导人还需要重新审视数据保护、灾难恢复和备份政策,确保它们仍然适用于远程环境。
趋势四:对网络敏感的董事会(Cyber-SavvyBoard of Directors)
在Gartner2021年董事会调查中,董事们将网络安全评为仅次于监管合规的企业第二大风险源。现在,大型企业开始在董事会层面成立专门的网络安全委员会,该委员会由具有安全专业知识的董事会成员或第三方顾问领导。
Gartner预测,到2025年40%的董事会将设立专门的网络安全委员会并由一名具备相关资质的董事会成员监督,而现在这一比例还不到10%。
趋势五:安全厂商整合(Security VendorConsolidation)
Gartner 2020年首席信息调查官效力调查发现,78%的首席信息安全官从其网络安全厂商组合中获得的工具达到16个以上;12%达到46个以上。企业机构中数量众多的安全产品增加了复杂性、集成成本和人员需求。在Gartner最近的一项调查中,80%的IT组织表示,他们计划在未来三年内整合厂商。
Firstbrook先生认为:“首席信息安全官希望整合他们必须使用的安全产品和厂商数量。通过减少安全解决方案的数量,他们可以更加轻松地正确配置这些解决方案并对警报作出响应,进而改善安全风险态势。但购买一个功能广泛的平台可能会带来成本和部署时间方面的不利影响。我们建议关注长期总拥有成本(TCO),以此作为衡量成功的标准。”
趋势六:隐私增强计算(Privacy-EnhancingComputation)
隐私增强计算技术正在不断涌现。这项技术可以在数据被使用时(而不是在数据静止或移动时)保护数据,从而实现安全的数据处理、共享、跨境传输和分析,甚至在不可信环境中也不例外。该技术在欺诈分析、情报、数据共享、金融服务(如反洗钱)、制药和医疗方面的部署量正在增加。
Gartner预测,到2025年50%的大型企业机构将采用隐私增强计算来处理不可信环境或多方数据分析用例中的数据。
趋势七:入侵和攻击模拟(Breachand Attack Simulation)
入侵和攻击模拟(BAS)工具正在不断出现,为企业机构提供持续性的防御态势评估,挑战渗透测试等年度定点评估所提供的有限可视性。如果首席信息安全官在其定期安全评估中加入BAS,他们就可以帮助他们的团队更有效地识别安全态势缺口并更高效地确定安全举措的优先级别。
趋势八:机器身份管理(ManagingMachine Identities)
机器身份管理的目标是为与其他实体(如设备、应用、云服务或网关)交互的机器建立和管理身份信任。现在,企业机构中的非人类实体日益增加,这意味着机器身份管理已成为安全策略中的重要组成部分。
本文版权归原作者所有,参考来源:Gartner http://dwz.date/eDbK
(十五)印度癌症药物制造商FKOL因藏匿数据罚款5000万美元
印度药品制造商费森尤斯·卡比肿瘤学有限公司(FKOL)因在2013年美国食品药品监督管理局(FDA)工厂检查前隐瞒和销毁记录,被判处罚款5000万美元。
在先前向内华达州联邦法院提交的刑事信息中,美国指控FKOL未向FDA调查人员提供某些记录,因此违反了《联邦食品,药物和化妆品法》。作为司法部刑事决议的一部分,FKOL同意承认定罪。美国地方法院法官Jennifer A. Dorsey接受了该公司的认罪,并判FKOL支付3,000万美元的刑事罚款,并额外没收2000万美元,并实施旨在预防、发现并纠正与FKOL生产用于晚期病人的癌症药物有关的违反美国法律的行为。
司法部民事司代理总检察长Brian M. Boynton表示,“通过隐瞒和破坏药品制造记录,FKOL破坏了FDA的监管权,并使易受伤害的消费者处于危险之中。今天的判决使该公司对其过去的行为负责,并试图确保其将完全遵守其对FDA的义务。”
根据法院文件,FKOL在印度西孟加拉邦Kalyani拥有并经营着一家制造厂,该制造厂生产的活性药物成分(API)用于分发给美国的各种抗癌药物。在2013年1月FDA对Kalyani工厂进行检查之前,FKOL工厂管理层指示员工从场所中删除某些记录,,并从计算机中删除其他可能显示FKOL违反FDA要求制造药物成分的记录。Kalyani工厂的员工从工厂中移除了计算机、硬拷贝文档和其他材料,并删除了包含该工厂不合规实践证据的电子表格。
内华达州代理美国律师Christopher Chiou表示,“今天的判决反映了我们办公室和部门的承诺,即对不负责任FDA法规的问责制公司承担风险,损害消费者的健康和安全。我们将与我们的代理合作伙伴一道,继续确保药品制造商完全遵守其维护记录和数据完整性的义务。”
FDA法规事务副专员Judy McMeekin表示,“FDA对药品生产设施的检查有助于确保我们药品的强度、质量和纯度。今天的判决证明,我们将继续积极调查并将那些企图颠覆保护公共健康要求的人绳之以法。”
FDA刑事调查办公室、洛杉矶现场办公室对此案进行了调查。印度中央调查局在调查此事上为美国当局提供了宝贵的帮助。司法部国际事务办公室提供了调查协助。
参考来源:美国司法部 http://dwz.date/eDPF
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,工控安全
相关信息
2022-09-16
2022-09-09
2022-09-02