关键信息基础设施安全动态周报【2020年第49期】
发布时间:
2020-12-11
来源:
作者:
访问量:
128
目 录
第一章 国内关键信息基础设施安全动态
(一)富士康遭受勒索软件DoupelPaymer攻击被勒索3400万美元
第二章 国外关键信息基础设施安全动态
(一)西门子及施耐德电气解决了其ICS产品中存在的多个严重漏洞
(二)三菱电机HMI及张力控制器存在越界读取漏洞
(三)通用电气100多款医疗设备存在严重漏洞
(四)温哥华地铁遭受勒索软件Egregor攻击
(五)瑞士直升机制造商Kopter遭受勒索软件LockBit攻击
(六)欧洲药品管理局遭受网络攻击
(七)33个漏洞影响数百万个OT及IoT设备
(八)知名网络安全公司FireEye遭受国家黑客攻击
(九)美国国会可能通过网络安全立法《国防授权法案》
(十)美国和澳大利亚将共享网络作战培训平台
(十一)美国大巴尔的摩医疗中心遭受勒索软件攻击
(十二)美国得克萨斯州市政计算机遭受勒索软件攻击导致服务大量中断
(十三)NSA警告俄罗斯国家黑客利用新型VMware漏洞窃取数据
(十四)挪威指责俄罗斯黑客组织APT28攻击议会
(十五)工业网络安全公司Dragos获得1.1亿美元C轮融资
第一章 国内关键信息基础设施安全动态
(一)富士康遭受勒索软件DoupelPaymer攻击被勒索3400万美元
感恩节周末11月29日前后,富士康位于墨西哥的工厂遭受了勒索软件DoupelPaymer攻击。该工厂位于墨西哥奇瓦瓦市的华雷斯(Ciudad Juárez)。黑客声称,在加密目标系统之前,他们窃取了未加密的文件。
富士康为美国、加拿大、中国、芬兰和日本的大公司生产电子产品。该公司生产的产品包括黑莓、iPad、iPhone、iPod、Kindle、任天堂3DS、诺基亚设备、小米设备、PlayStation 3、PlayStation 4、Wii U、Xbox 360、Xbox One,以及几个CPU插座,包括一些主板上的TR4 CPU插座。富士康在全球拥有80多万名员工,2019年营收达到1720亿美元。
DoppelPaymer勒索软件在他们的泄密网站上公布了属于富士康的文件,泄露的数据包括通用的商业文件和报告,但不包含任何财务信息或员工的个人信息。
从勒索文件可以看出,DoppelPaymer勒索软件运营商要求支付1804.0955比特币(约合34,686,000美元)的赎金。黑客声称已经加密了大约1200台服务器,并从富士康窃取了100 GB的数据。勒索软件攻击后,墨西哥工厂设施的网站瘫痪,攻击者声称破坏了大约20-30TB的数据。
DoppelPaymer勒索软件的受害者名单很长,其中包括Bretagne电信公司、Compal、加州托伦斯市、乔治亚州霍尔县、纽卡斯尔大学和墨西哥石油公司。
参考来源:SecurityAffairs http://dwz.date/d5MC
第二章 国外关键信息基础设施安全动态
(一)西门子及施耐德电气解决了其ICS产品中存在的多个严重漏洞
西门子及施耐德电气12月8日发布了多个影响其ICS产品的的潜在严重漏洞的补丁和缓解措施。
西门子发布了六条新公告,并更新了之前的十八条公告,新公告涉及的产品包括SICAM、SIMATIC、SIPLUS、LOGO! 8、SENTRON、SIRIUS、以及XHQ products。
西门子修复了LOGO! 8和SIPLUS设备中的八个漏洞,其中包括一个严重漏洞,该漏洞可以使具有网络访问权限的攻击者能够完全控制目标设备。西门子还开始为SIPLUS、SIMATIC ITC、SIMATIC WinCC、SIMATIC HMI Panel产品发布补丁,以修复卡巴斯基去年在TightVNC开源虚拟网络计算(VNC)系统中发现的多个漏洞。这些漏洞为高危或严重漏洞,可将其用于任意代码执行或DoS攻击。西门子还更新了其XHQ Operations Intelligence产品,以解决信息泄露、XSS、SQL注入、及CSRF漏洞,其中有些漏洞为高危漏洞。
西门子还发布了一份通知,告知客户其某些产品受到最近披露的Amnesia:33影响。Amnesia:33包含33个漏洞,影响四个开源TCP/IP堆栈。研究人员发现了33个安全漏洞,并发现它们会影响150个供应商的数百万个IoT和OT设备,但西门子表示,其SENTRON PAC设备和SIRIUS 3RW5通信模块仅受Amnesia:33中的一个漏洞影响,可以被利用进行DoS攻击。
施耐德电气12月8日共发布了九条新公告,并更新了之前的几份公告。大多数新公告解决了Schneider Modicon工业控制器中发现的漏洞。工业网络安全公司Claroty的研究人员发现了这些漏洞之一,并于12月8日发表了一篇博客文章,描述了其发现。上个月,Schneider和Claroty披露了几个加密漏洞,使黑客可以控制某些Modicon PLC。
施耐德告知其客户,针对高危及中危的信息泄露、DoS、代码执行、命令执行、帐户凭据公开问题供了修补程序和缓解措施。值得注意的是,与IT系统相比,DoS漏洞对ICS的影响更大,因为ICS可能导致生产中断。
参考来源:SecurityWeek http://dwz.date/d5AW
(二)三菱电机HMI及张力控制器存在越界读取漏洞
根据CISA报告,三菱电机的人机界面GOT及张力控制器中存在越界读取漏洞,成功利用此远程利用漏洞可能使攻击者导致通信性能下降或导致产品的TCP通信功能出现服务拒绝状况。
该漏洞编号为CVE-2020-5675,CVSS评分为7.5分。该产品主要用于关键制造业,并在全球范围内使用。
影响人机界面GOT的型号版本包括:
1、GOT2000系列,GT21型号:GT2107-WTBD所有版本、GT2107-WTSD所有版本、GT2104-RTBD所有版本、GT2104-PMBD所有版本、GT2103-PMBD所有版本。
2、GOT SIMPLE系列,GS21型号:GS2110-WTBD所有版本、GS2107-WTBD所有版本。
影响张力控制器的型号版本包括:LE7-40GU-L所有版本。
目前尚未有已知的专门利用该漏洞的公开攻击活动,但是技能水平较低的攻击者就可以利用此漏洞。三菱电机将在近期发布固定版本。在此之前,三菱要求用户仅从受信任的网络和主机限制对产品的访问。
参考来源:ISS Source http://dwz.date/d5Fz
(三)通用电气100多款医疗设备存在严重漏洞
据医疗网络安全公司CyberMDX 12月8日报道,通用电气医疗保健(GE Healthcare)生产的100多款医疗设备受到严重漏洞影响,该漏洞可能允许攻击者访问或修改受保护的健康信息(PHI)。
如果攻击者获得对医疗服务提供组织(HDO)网络的访问权限,则可能成功利用这些漏洞。如果被利用,这些漏洞可能使攻击者可以以与GE(远程)服务用户特权相当的方式访问受影响的设备。成功的利用可能会泄露敏感数据,例如患者健康信息(PHI),或者可能使攻击者运行任意代码,这可能会影响系统的可用性并允许对PHI进行操作。
该漏洞编号为CVE-2020-25179,为严重漏洞,现已发现影响CT扫描、分子成像、正电子发射计算机断层扫描、X射线、超声波和乳房X光检查设备,以及手术中使用的工作站和成像设备。这份清单包括通用电气的Brivo、Definium、Discovery、Innova、Optima、Odyssey、PETtrace、Precision、Seno、Innovation、Ventri和Xeleris产品。
GE Healthcare表示,“我们不知道有任何未经授权的数据访问,或在临床情况下利用这一潜在漏洞的事件。我们已经进行了全面的风险评估,并得出结论,不存在患者安全问题。维护我们设备的安全性、质量和安全性是我们的最高优先事项。”
CyberMDX研究人员发现的问题与GE Healthcare生产的一种专有管理软件的硬编码凭据有关。这些凭证可以在网上找到,并被更新和维护软件用于验证与GE服务器的连接。对目标设备具有网络访问权的攻击者可以滥用这些全球相同的凭证,以获得对PHI和其他敏感数据的访问权。攻击者还可以修改暴露的数据,在系统上执行任意代码,或导致系统变得不可用。
这些硬编码的凭证只能由GE医疗保健公司更改,用户无权修改,但GE表示,他们正在提供现场协助,以确保凭证的更改以及产品防火墙的正确配置。GE表示,解决该漏洞并不需要补丁,但它建议使用受影响设备的设施遵循网络管理和安全最佳实践。
GE Healthcare指出,由于网络安全和防火墙的原因,在真实的医疗保健环境中,恶意参与者可能不容易到达利用此漏洞所需的系统。即使他们设法利用漏洞,黑客们不太可能获得太多的健康信息,因为只有有限数量的PHI存储在成像设备上,而且只是暂时的,数据通常直接发送到图片存档和通信系统(PACS)并存储在那里。
然而,CyberMDX的研究主管Elad Luz指出,医院网络经常被攻破,尤其是在最近,因此对恶意行动者来说,接入要求可能并不难实现。
参考来源:SecurityWeek http://dwz.date/d6wg
(四)温哥华地铁遭受勒索软件Egregor攻击
12月1日,加拿大城市公共交通网络Translink遭受了勒索软件Egregor攻击,导致Translink用户无法使用地铁卡或者无法在售票亭进行购票。勒索软件Egregor最近非常活跃,此次攻击事件是一周内发起的第二次攻击。
Translink 12月3日通过其首席执行官Kevin Desmond在Twitter上的声明证实,这是“针对我们某些IT基础设施的勒索软件攻击事件,包括通过打印机与Translink进行通信。”
据媒体报道,这次攻击发生在12月1日,导致温哥华的居民和其他公共交通服务的用户无法使用他们的Compass地铁卡,也无法通过该机构的Compass售票亭购买新票。Translink公司的官员两天来一直避免承认此次攻击事件,在之前被当地多家新闻机构追问真实情况时,把该事件说成是技术问题。
虽然官方并没有表示Egregor要对这次攻击负责,而且该勒索软件运营商也没有认罪,但伴随着攻击而来的勒索信却指出了该组织是罪魁祸首。
另一家本地新闻媒体Global BC的记者乔丹-阿姆斯特朗4日凌晨在推特上发布了一张勒索信的照片,称是“从TransLink的打印机上打印出来”的。阿姆斯特朗表示,“据消息,TransLink并不打算支付赎金。但我们采访的一位网络安全专家说,这是一种复杂的新型勒索软件攻击,并且许多受害者确实都支付了赎金。”
勒索信显示,黑客威胁称要向媒体以及客户和合作伙伴公布从Translink盗取的数据,这样此次攻击就会被广为人知,这也是Egregor的一个特点。该恶意软件采用的策略是在加密所有文件之前,先将企业信息进行窃取,并威胁其将会把数据进行公布。
据报道,该组织也是目前唯一已知的勒索软件,在运行后会导致企业的打印机不断打印出勒索信。同样的事情也发生在11月中旬对南美零售商Cencosud的攻击中,这一攻击被记录在Twitter上的视频中。
Desmond表示,Translink将继续调查此次攻击,并减少攻击造成的所有损失。同时,Compass自动售票机和交通站的感应支付门的服务已经恢复。
Egregor这个名字指的是一个神秘的术语,意在表示一群人的集体能量或力量,该组织自9月和10月首次在网络上被发现以来一直活动很频繁。早些时候,在Kmart的攻击中对连接到公司网络的设备和服务器进行了加密,造成后端服务瘫痪。10月,Egregor还声称攻击了游戏巨头Ubisoft,窃取了10月29日发布的《Watch Dogs: Legion》的源代码。它还单独对游戏创作者Crytek进行了攻击,该作者与Arena of Fate和Warface等游戏作品的创作有关。
Egregor最近也成为头条新闻,因为它声称对10月15日首次发生的Barnes&Noble网络攻击事件负责。这家书店曾在发给客户的电子邮件通知中警告说,它被黑客攻击了,导致黑客未经授权非法访问了Barnes & Noble公司的某些系统。
参考来源:ThreatPost http://dwz.date/d6pQ
(五)瑞士直升机制造商Kopter遭受勒索软件LockBit攻击
瑞士直升机制造商Kopter遭受了勒索软件LockBit攻击,攻击者侵入了其内部网络并加密公司文件,并发布在暗网的泄密网站上。
Kopter Group是一家总部位于瑞士的公司,成立于2007年,于2020年4月被意大利航空航天和国防公司莱昂纳多收购。该公司专注于设计中小型民用直升机,如SH09直升机。
在Kopter拒绝支付赎金后,LockBit将被盗文件发布在暗网上的泄密网站上。勒索软件组织在泄密网站上公布的文件包括内部项目、商业文件以及各种航空航天和国防工业标准。
LockBit勒索软件运营者表示,他们已经通过一个保护不当的VPN设备访问了直升机制造商Kopter的网络。在一封电子邮件中,LockBit勒索软件的运营商表示,他们上周入侵了Kopter的网络,利用了一个使用弱口令且没有启用双因素身份验证(2FA)的VPN设备。
Kopter尚未公开披露该勒索软件感染事件。
参考来源:SecurityAffairs http://dwz.date/d5Kw
(六)欧洲药品管理局遭受网络攻击
欧洲药品管理局(EMA)目前正在研究针对Covid-19的几种疫苗的授权发布,12月9日宣布其成为网络攻击的受害者。其与辉瑞/BioNTech相关的文件被黑客入侵。
这家总部位于阿姆斯特丹的欧洲机构表示:“EMA成为了网络攻击的目标。该机构在与警方密切合作的情况下,迅速展开了全面调查。”但该机构没有具体说明攻击发生的具体时间,也没有说明是谁实施的。EMA控制着所有27个欧盟成员国的药品,最迟将于12月29日发布关于有条件授权辉瑞/BioNTech疫苗的决定,该疫苗已在英国、巴林和加拿大获得批准。
辉瑞集团随后宣布,与其疫苗授权申请相关的文件在网络攻击期间遭到黑客攻击,但“BioNTech和辉瑞的系统都没有受到与该事件有关的攻击”。
针对新兴市场的网络攻击发生之前,近几个月来,针对西方实验室和制药公司的黑客攻击和黑客企图与新冠肺炎疫情有关,发出了一系列警告。
根据世界卫生组织(WHO)的数据,到目前为止,51种候选疫苗正在进行人体测试,其中13种处于最后测试阶段。
EMA将在1月12日之前公布对Moderna疫苗的裁决。欧洲药品监管机构还在审查牛津大学、AstraZeneca以及强生开发的其他疫苗。
参考来源:SUD OUEST http://dwz.date/d6yK
(七)33个漏洞影响数百万个OT及IoT设备
ForeScout研究人员12月8日发表研究结果《AMNESIA:33》表示,主要互联产品供应商使用的几套互联网通信协议存在33个漏洞,可能会影响数百万台IoT、OT及IT设备。其中四个漏洞是严重漏洞,攻击者可以利用这些漏洞远程控制从智能冰箱到电网工业网络交换机等各种设备。
ForeScout的这项名为《AMNESIA:33》的研究聚焦于四个开源TCP/IP协议栈中的33个漏洞。TCP/IP代表“传输控制协议/网际协议”,用于计算机之间的通信。开源的TCP/IP协议栈是世界各地设备的基本连接组件。
这是今年第二次出现一系列可能影响大量设备的TCP/IP协议栈漏洞。研究人员称,这33个漏洞和那些TCP/IP协议栈的开源元素都让最新的发现特别麻烦。
ForeScout表示目前还没有黑客利用这些漏洞。不过,如果攻击者利用这些漏洞,他们就可以访问受影响设备上的数据或功能,具体取决于产品。
报告称:“TCP/IP协议栈中的安全漏洞可能是极其危险的,因为这些组件中的代码可能被用来处理到达设备的每个传入的网络数据包。这意味着,TCP/IP堆栈中的某些漏洞允许利用设备,即使设备只是位于网络上而不运行特定应用程序。”
ForeScout表示,由于TCP/IP协议栈是开源的,它们“不属于一家公司”,这“意味着一个漏洞往往会轻易地在多个代码库、开发团队、公司和产品之间悄悄传播,这给补丁管理带来了巨大的挑战。”ForeScout估计,150家信息技术、运营技术和物联网供应商容易受到《AMNESIA:33》影响,尽管研究人员很难有把握地了解全部情况。
ForeScout该项目首席研究员艾丽莎·科斯坦特表示,“这些易受攻击的堆栈是开源的,实际上这些易受攻击的堆栈被用于各种不同的设备,由不同的供应商提供。”
参考来源:CyberScoop http://dwz.date/d6rT
(八)知名网络安全公司FireEye遭受国家黑客攻击
美国知名网络安全公司FireEye 12月8日表示,拥有“世界级能力”的外国政府黑客侵入其网络,并窃取了FireEye用来调查其数千名客户的防御系统的攻击性工具,这些客户包括联邦、州和地方政府以及顶级全球企业。
FireEye首席执行官凯文·曼迪亚(Kevin Mandia)在一份声明中表示,黑客“主要是寻求某些政府客户的相关信息”,但他没有透露这些客户的名字。目前也没有迹象表明他们从该公司的咨询或漏洞应对业务或其收集的威胁情报数据中获取了客户信息。
FireEye是一家主要的网络安全公司,它对索尼和Equifax的数据泄露做出了回应,并帮助沙特阿拉伯挫败了一场石油行业的网络攻击;在全球数字冲突迅速发展的世界中,它在将俄罗斯确定为众多攻击的主角方面发挥了关键作用。
Mandia和FireEye的发言人都没有说公司是何时发现了黑客行为,也没有说谁应该对此负责。但许多网络安全人士怀疑是俄罗斯。FireEye的Mandia表示,他得出的结论是,“一个拥有顶级进攻能力的国家”是此次攻击的幕后黑手。
Rendition Infosec总裁,前国家安全局黑客Jake Williams说:“我确认为我们对这次行动的了解与一名俄罗斯国家威胁者是一致的。无论是否访问客户数据,对于俄罗斯来说仍然是一个巨大的胜利。”
被盗的“红队”工具,相当于现实世界中的恶意软件,在坏人手中可能是危险的。FireEye表示,没有迹象表明它们被恶意使用。但网络安全专家表示,经验丰富的民族国家黑客可能会对它们进行修改,并在未来针对政府或行业目标使用它们。
这是自2016年一个名为“影子经纪人”的神秘组织发布了一批从美国国家安全局窃取的高级黑客工具以来,美国网络安全界遭受的最大打击。美国认为,朝鲜和俄罗斯利用被盗工具发动了毁灭性的全球网络攻击。
美国网络安全和基础设施安全局(CISA)警告称,“未经授权的第三方用户”可能同样会滥用FireEye被盗的红队工具。
FireEye总部位于加州米尔皮塔斯,是一家上市公司。该公司在声明中表示,已经制定了300项对策,以保护客户和其他人不受这些措施的影响,并将立即发布这些对策。
FireEye一直处于调查国家支持的黑客组织的前沿,其中包括试图侵入美国负责选举的州和地方政府的俄罗斯组织。俄罗斯军方黑客在2015年和2016年的寒冬对乌克兰的能源网络发动了攻击。它的威胁猎人还帮助包括Facebook在内的社交媒体公司识别恶意行为者。
约翰霍普金斯大学(Johns Hopkins)的网络冲突学者托马斯•里德(Thomas Rid)表示,如果克林姆林宫是这次黑客攻击的幕后主使,那么它可能是想了解FireEye对俄罗斯政府支持的全球行动,反间谍活动中了解些什么。或者,它可能寻求报复美国政府的措施,包括指控俄罗斯军事黑客干预2016年美国大选和其他涉嫌犯罪。里德表示,FireEye毕竟是美国政府的亲密合作伙伴,“曝光了许多俄罗斯的行动”。
FireEye表示,它正在与美国联邦调查局(FBI)以及微软(Microsoft)等合作伙伴合作调查这次攻击。微软也有自己的网络安全团队。曼迪亚说,黑客使用了“我们或我们的合作伙伴过去没有见过的一种新颖的技术组合”。
FBI网络部门助理主任马特·戈汉姆(Matt Gorham)表示,黑客的“高度熟练程度符合一个国家的情况”。美国政府“专注于将风险和后果强加给恶意网络行为者,因此他们在一开始试图入侵之前会三思而后行。”这包括美国网络司令部所说的“防御前进”行动,比如渗透到俄罗斯和其他对手的网络。
美国参议院情报委员会的弗吉尼亚州民主党参议员马克·华纳(Mark Warner)对FireEye迅速披露入侵事件表示赞赏,称该案件“显示了阻止决心坚定的民族国家黑客的难度。”
网络安全专家阿尔佩罗维奇(Dmitri Alperovitch)表示,FireEye等安全公司是最大的攻击目标,卡巴斯基(Kaspersky)和赛门铁克(Symantec)等该领域的知名公司过去也曾遭到攻击。
Crowdstrike的联合创始人兼前首席技术官Alperovitch表示,“每个安全公司都受到民族国家行为者的攻击。这已经进行了十多年。红队工具的发布虽然令人严重担忧,但并不是世界末日,因为威胁行为者总是创造新的工具。如果他们的客户数据遭到黑客攻击和泄露,情况可能会更糟。”Alperovitch还引用了其他网络安全公司的黑客攻击,如2011年的RSA安全公司和两年后的Bit9公司,这些黑客攻击都导致了用户数据的泄露。
FireEye成立于2004年,于2013年上市,几个月后收购了总部位于弗吉尼亚州的Mandiant Corp,该公司将针对美国公司的多年网络攻击与中国一个秘密军事单位联系在一起。该公司去年约有3400名员工,营收为8.892亿美元,但净亏损2.574亿美元。该公司去年的8800名客户包括超过一半的福布斯全球2000强企业,包括电信、技术、金融服务、医疗保健、电网运营商、制药公司和石油和天然气行业的公司。黑客攻击的消息传出后,该公司股价周二在盘后交易中下跌超过7%。
参考来源:SecurityWeek http://dwz.date/d6wZ
(九)美国国会可能通过网络安全立法《国防授权法案》
美国国会计划本周通过一项可能是有史以来最重要的网络安全立法《国防授权法案》(NDAA)。
今年的年度国防政策法案,即《国防授权法案》(NDAA),充满了将重塑联邦网络安全官僚机构的条款。它将在白宫设立一个国家网络主管,并加强国土安全部的网络安全和信息安全局(CISA)等改革。
网络空间日光浴室委员会联合主席、缅因州议员Angus King表示,“我可以肯定地说,这是有史以来通过的最重要的网络安全立法。”
该委员会执行董事马克·蒙哥马利(Mark Montgomery)称,这是国会将通过的“最实质性”网络立法。奥巴马政府时期的国防部网络安全官员,现在是安全厂商AttackIQ的网络安全战略和政策高级主管乔纳森·里伯(Jonathan Reiber)也完全同意这个观点。
众议院预计将在12月8日对该法案进行投票,随后将由参议院审议。此后仍然存在一个障碍:那就是总统唐纳德·特朗普的否决威胁,它希望国会撤销社交媒体对他人在其网站上发布的内容的法律保护。
但目前尚不清楚特朗普是否会对他的威胁采取行动。即使他这样做,国会也可能会拥有投票权,以否决票获得通过,尽管根据特朗普决定的时间,它可能会将这项立法的最后通过推迟到明年。
总体而言,日光浴委员会在国防法案中得到了26条建议,其中有34条是今年提出的,52条是国会可以采取行动的。它总共提出了80多项建议,尽管其中有些建议不是针对国会的,例如行政部门可以自行制定的建议。
蒙哥马利表示,该委员会审查的研究表明,“议程”委员会通常会在大约三年的时间内完全完成其建议的31%。众议院军事委员会和日光浴室委员会的众议员吉姆·兰格文(Jim Langevin,DR.I.)表示:“我对NDAA中纳入的日光浴室建议中的许多规定感到很兴奋。”
白宫国家网络总监职位是最大的。但还有其他几乎一样大。CISA是主要受益者。这项立法将赋予国土安全部的网络代理机构有权在发现关键基础设施安全漏洞但无法追踪所有者时向互联网服务提供商发出行政传票。它还将授权CISA在联邦政府网络内进行威胁搜索,并在CISA内成立联合网络规划办公室。
兰格文表示,设立这一办公室是必要的,因为这种计划目前仅在“临时”基础上进行,例如由国家安全局和美国网络司令部成立的“俄罗斯小组织”工作队来应对俄罗斯的影响。
该法案将指示行政部门在发生灾难性网络攻击时进行“经济连续性”计划,以保持商品和服务的畅通。它将命令网络司令部的网络任务部队进行部队结构评估,以确定上一次在2013年确定的要求是否合适。
这项立法中还包含关于网络的主要条款,这些规定不是日光浴室委员会的工作。其中一项提议将指将指示CISA主管为每个州聘请一名网络安全主管。目标是加强各州与联邦政府之间的网络协调。
而且这是有史以来第一次,该立法的整个章节专门讨论网络安全问题。有太多的安全条款,仅该部分中的安全性条款就占据了整整两页的内容,但是还有一些安全性方面的内容分散在整个页面中。
参考来源:CyberScoop http://dwz.date/d5Hg
(十)美国和澳大利亚将共享网络作战培训平台
美国国防部12月4日宣布,已与澳大利亚国防部(ADF)共同签署了网络培训能力专项协议,将把ADF的网络作战经验与意见并入美国网络司令部(USCYBERCOM)旗下的持续网络培训环境(PCTE)中,并与ADF共同分享这一虚拟网络作战培训平台。
USCYBERCOM是美国国防部11个统一作战司令部之一,下辖陆军网络司令部、海军网络司令部、空军第24航空队与海军陆战队的网络空间司令部。
PCTE是一个模拟实际防御能力的网络培训平台,专门用来磨练网络战术、技术与程序。PCTE在今年2月推出了首个稳定版,它是个分散式、安全且可重新配置的培训环境,可同时进行各种不同且独立的培训环境,模拟同时发生的网络攻击行动。
过去美国与联盟国家在合作发展网络培训时,都是针对只用一次的特定场景,而且可能需要耗费数个月的程序,而现在PCTE则将提供一个合作的培训环境,让全球的网络国防军力随时都能开发及重复使用既有的内容与培训。
负责国防输出的美国陆军助理副部长Elizabeth Wilson表示,此一美澳之间的协议是个里程碑,这是美国陆军与联盟国家第一个只限于网络的合作协议,它们将共同对抗已知与潜在的威胁。
在该协议之下,美国与澳洲除了将分享黑客信息之外,也将共同防御网络攻击,执行必要的培训以捍卫双方利益,此一协议为期6年,价值2.15亿美元。
本文版权归原作者所有,参考来源:iThome http://dwz.date/d6pg
(十一)美国大巴尔的摩医疗中心遭受勒索软件攻击
美国马里兰州大巴尔的摩医学中心12月6日遭受了勒索软件攻击,该攻击影响了计算机系统和操作。目前尚不清楚攻击该医学中心的是那种勒索软件,该事件导致原定于12月7日进行的一些手术被取消。
该医学中心发布的计算机网络事件更新显示,“在2020年12月6日星期日上午,大巴尔的摩(GBMC)HealthCare检测到一个勒索软件事件,该事件影响了信息技术系统。虽然我们的许多系统都出现故障,但GBMC HealthCare有健全的流程来维护安全有效的患者护理。一些定于12月7日星期一进行的手术可能会受到影响。所有可能需要重新安排手术的病人都已经联系过了。对于给患者、医生和医疗保健合作伙伴带来的不便,我们深表遗憾。”
GBMC Healthcare运营着几家机构,包括大巴尔的摩医学中心、Gilchrist、大巴尔的摩健康联盟、GBMC Health Partners。大巴尔的摩医疗中心(GBMC)拥有342张床位,每年处理超过2.3万人次的入院和超过5.2万人次的急诊室就诊。GBMC证实,它正在根据流程和政策对这起事件做出回应。
不幸的是,勒索软件攻击在美国变得越来越频繁,9月份,全球最大的医院和医疗服务提供商之一通用医疗服务公司(UHS)在感染了Ryuk勒索软件后,关闭了美国医疗机构的系统。10月下旬,FBI、DHS、CISA以及卫生与公众服务部发布了联合警报,警告医院和医疗保健提供者注意来自俄罗斯的勒索软件攻击。
参考来源:SecurityAffairs http://dwz.date/d6nt
(十二)美国得克萨斯州市政计算机遭受勒索软件攻击导致服务大量中断
12月6日,美国得克萨斯州Texarkana市的城市计算机遭受了勒索软件攻击,导致Bowie县及Miller县网络中断。
据鲍伊县第202区法院法官约翰·蒂德威尔称,法院大楼的计算机与其他机构一起经受了网络中断。勒索软件通常是一种加密受害者文件的恶意软件。然后,攻击者向受害者要求赎金,以便在付款后恢复对数据的访问。
据德克萨斯州Texarkana市新闻稿称,2020年12月6日星期日上午7:30左右,Texarkana水务公司信息技术部门注意到,为德克萨斯州Texarkana市、Arkansas市、Bowie县提供服务的网络上存在可疑活动,系统和服务严重中断。目前9-1-1服务没有受到影响。
虽然该事件仍在发展中,但以下事实可以确认:
1、服务于这些实体的网络受到的是勒索软件攻击;
2、勒索软件在被检测到之前在网络上存在多长时间还不得而知,但是已经确认该勒索软件在2020年11月26日之前存在;
3、发生了数据泄露事件,但是目前没有证据表明个人信息已被泄露;
4、此事件不会导致供水务中断;
5、目前正在对此事进行调查,并且为了保护该过程的完整性,目前不会发布某些信息;
6、修复PC和系统的过程正在进行中。此事件的范围尚不清楚。
向这些办公室寻求服务的居民都应注意,等待时间可能会更长,流程可能会更改,并且某些服务可能暂时不可用。目前,尚无解决这些问题的预期时间表。有关特定部门或办公室的更多信息,可在正常工作时间致电相关办公室。
参考来源:TXK Today http://dwz.date/d543
(十三)NSA警告俄罗斯国家黑客利用新型VMware漏洞窃取数据
美国国家安全局(NSA)警告称,俄罗斯国家支持的威胁行为者正在利用最近修补的VMware漏洞,在易受攻击的服务器上部署网Web Shell来窃取敏感信息。
美国国防部情报机构表示:“美国国家安全局鼓励国家安全系统(NSS)、国防部(DoD)和国防工业基地(DIB)网络管理员优先考虑缓解受影响服务器上的漏洞。”当被要求提供更多有关这些攻击目标的信息时,美国国家安全局表示它“不会公开分享外国恶意网络活动受害者的详细信息。”NSA敦促“任何使用受影响产品的组织都应该立即采取行动,应用供应商发布的补丁。”
美国国家安全局也避免提供有关这些攻击开始日期的更多信息,称“我们不会提供任何特定信息来源的细节,这样我们才能继续履行我们对国家的重要作用,包括开发和分享像这份报告这样的技术指导。”
VMware在两周前公开披露该漏洞后,于12月3日发布了安全更新,以解决该安全漏洞,并提供了一种临时解决方案,可以完全移除攻击媒介并防止利用漏洞。
CVE-2020-4006最初被评为严重漏洞,但在发布补丁程序并共享该漏洞需要“配置者管理员帐户的有效密码”后,VMware已将其最高严重级别降至“重要”。VMware解释说:“此帐户是受影响产品的内部帐户,并且在部署时设置了密码。恶意攻击者必须拥有此密码才能尝试利用CVE-2020-4006进行攻击。”
受影响的VMware产品版本的完整列表包括:VMware Workspace One Access 20.01, 20.10 (Linux)、VMware Identity Manager (vIDM) 3.3.1 up to 3.3.3 (Linux)、VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2 (Linux)、VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1 (Windows)、VMware Cloud Foundation 6 4.x、VMware vRealize Suite Lifecycle Manager 7 8.x。
无法立即部署修补程序的管理员可以使用临时解决方法来阻止CVE-2020-4006攻击。此处提供了有关如何在Linux和Windows服务器上实施和恢复解决方法的信息。NSA说:“在能够完全修补系统之前,这个变通方法应该只是一个临时修复。此外,审查和强化联合身份认证提供程序的配置和监视。”
在利用CVE-2020-4006进行的攻击中,NSA观察到威胁因素与运行易受攻击的VMware产品的设备的基于Web的公开管理界面连接,并利用命令注入渗透到组织的网络中以安装Web Shell。
部署Web Shell后,攻击者使用SAML凭据窃取敏感数据,以访问Microsoft Active Directory联合身份验证服务(ADFS)服务器。成功利用跟踪为CVE-2020-4006的漏洞,还使攻击者能够在受到感染的设备上执行Linux命令,这可以帮助他们获得持久性。
使用基于网络的指示器检测这些攻击是不可行的,因为恶意活动是在通过TLS加密隧道连接到Web管理界面之后进行的。但是,在服务器上的/opt/vmware/horizon/workspace/logs/configurator.log中找到的'exit'语句后跟3位数字,例如'exit 123',表明该设备可能已发生利用活动。
此漏洞的安全风险较低,因为此密码必须在部署时设置,强烈建议选择唯一且强的密码。限制对受影响产品的基于Web的管理界面的访问进一步降低了成功攻击的风险。当怀疑存在漏洞时,NSA建议检查服务器日志中是否有任何利用漏洞的迹象,检查和更新身份验证服务配置,并对安全凭据服务实施多因素身份验证。
NSA没有透露俄罗斯支持的利用VMware命令注入漏洞进行攻击的APT组织的名称。然而,在过去的几个月里,至少有一个这样的黑客组织一直在积极攻击美国州、地方、地区和部落(SLTT)政府组织的网络。FBI和CISA在10月份发布的一份联合公告中表示,从2020年9月开始,俄罗斯政府支持的黑客组织Energy Tic Bear侵入并泄露了美国政府网络的数据。
参考来源:BleepingComputer http://dwz.date/d5NE
(十四)挪威指责俄罗斯黑客组织APT28攻击议会
挪威警察特勤局(PST)12月8日称,俄罗斯军事黑客组织APT28很可能是入侵了挪威议会电子邮件账户的攻击者。
挪威议会(Stortinget)窃听案是在今年9月1日披露的。当时,Stortinget主管玛丽安表示,黑客进入了议会的电子邮件系统,并访问了Stortinget员工和政府选举官员的收件箱。关于黑客攻击的细节没有在9月公布,但是在10月的后续行动中,挪威外交大臣Ine EriksenSøreide表示,最初的线索表明该攻击很可能是由俄罗斯黑客发起的,莫斯科立即否认了这一指控。
第二天,俄罗斯外交部发言人玛丽亚·扎哈罗娃(Maria Zakharova)否认了这些指控,认为这是挪威官员的“有计划的挑衅”,他们企图在“没有证据”的情况下破坏“双边关系”。俄罗斯联邦理事会外交事务委员会负责人康斯坦丁·科萨切夫(Konstantin Kosachev)也对此事发表了评论,称奥斯陆对俄罗斯参与Stortinget骇客的指控是“毫无根据的”。
但是在12月8日的PST新闻稿中,挪威的网络安全机构坚持政府10月份的最初指控。PST官员表示,“分析表明,这次行动很可能是由网络参与者APT28或Fancy Bear进行的。该组织与俄罗斯军事情报部门GRU有联系,更具体地说,与第85特勤中心(GTsSS)有联系。”
PST官员表示,APT28黑客入侵了Stortinget电子邮件帐户,并试图转向议会的内部网络,但失败了。调查人员说,由于官员和员工使用了弱电子邮件密码,并且未能使用双因素身份验证来保护帐户,因此Stortinget受到了入侵。由于黑客行为的敏感性,因此无法透露有关入侵的其他详细信息。
PST官员表示,对议会的攻击是APT28大规模运动的一部分,该运动于2019年开始,针对挪威国内外的多个其他目标。虽然PST的新闻稿没有提及其名称,但挪威网络安全机构似乎是指微软最近的一份报告,其中详细介绍了APT28策略的最新变化。
根据这份报告,从2019年9月开始,APT28组开始大规模使用暴力和凭据获取攻击,并开始针对Office365帐户,以访问200多个私人和政府组织的电子邮件帐户。
PST官员表示,尽管将攻击与已知的APT28战术联系起来,但他们无法收集足够的证据来提出正式起诉,就像德国今年早些时候对一名参与2015年德国议会(Bundestag)黑客攻击的APT28成员所做的那样。
APT28组织还以其他名称在网络安全行业中广为人知,包括Sofacy、Fancy Bear、Sednit、Strontium等。它是俄罗斯最活跃的国家赞助黑客组织之一,据信曾参与五角大楼、德国议会、北约、2016年DNC、世界反兴奋剂机构等的黑客攻击。该组织的成员受到许多起诉和国际制裁。
卡巴斯基全球研究与分析团队(GReAT)主任Costin Raiu表示:“尽管PST报告中未提及该活动,但在过去几年中,我们已经研究了针对北欧国家中多个实体的Sofacy业务。重要的是要提到我们观察到的活动不是最近的,可以追溯到2016-2018年。”
卡巴斯基安全研究人员表示,“最近,Sofacy似乎改变了他们的TTP,侧重于收集凭据,然后通过云服务和各种网络设备扩展访问权限,这不是传统的端点感染操作。这使得它们更难以跟踪和检测,尤其是由于缺少定制的软件构件,更难确定属性。”
参考来源:ZDNet http://dwz.date/d5CX
(十五)工业网络安全公司Dragos获得1.1亿美元C轮融资
工业网络安全公司Dragos 12月8日表示,该公司融资了1.1亿美元,这是投资者投入大量资金保护经常成为黑客攻击目标的关键基础设施的最新迹象。
C轮融资由化工制造巨头Koch Industries、跨国电力和天然气公用事业公司国家电网、全球最大石油公司之一沙特阿美和惠普企业(Hewlett Packard Enterprise)的投资部门提供。
工业控制系统(ICS),帮助运营全球工厂和发电厂的坚固计算机系统的安全性。曾经是投资者的一个鲜为人知的领域,但现在却促使一些世界上最富有的公司打开了他们的支票簿。
Dragos首席执行官Robert M.Lee表示,这笔投资表明,这种关键技术的安全性“是一个巨大的市场,是世界上的公司和领导者真正关心的东西”。这还表明,主要行业组织意识到,与政府有关联的黑客在未来几年将是一个持续的威胁。
大约两年前,Dragos在沙特阿拉伯开设了一个新办事处,理由是那里的工业基础设施面临严重威胁。现在,将利用新注入的资金在迪拜、澳大利亚和英国开设办事处,并扩大公司的情报和技术产品。
Lee表示,澳大利亚正在经历一些地缘政治紧张时期,不仅是与中国,还有其他国家。澳大利亚的采矿业和其他行业极可能成为恶意网络活动的目标。除了计划在迪拜设立的Dragos办事处将专注于除沙特阿拉伯外,其他海湾阿拉伯国家的业务。因为其中几个国家曾经多次成为疑似伊朗黑客的目标。
尽管很难量化ICS安全市场的确切规模,但分析师们一致认为,随着埃森哲和Table等咨询和软件公司建立起ICS安全团队,ICS安全市场近年来稳步增长。
与此同时,Dragos自2016年由美国国家安全局退伍军人创立以来,员工数量已从几人扩大到如今的220多人。一年一度的ICS大会(S4)吸引了更多人参加,各公司都希望在这个日益拥挤的市场中脱颖而出。虽然冠状病毒已经让下一代S4暂停,但保护关键基础设施的需求将在疫情爆发后继续存在。
ICS咨询公司Digital Bond的创始人、S4会议主持人Dale Peterson表示,ICS证券市场近年来增长缓慢而稳定,很大程度上是由风险资本投资推动的。“与其说是利润,不如说是承诺。”与独立的ICS产品相比,托管服务和事件响应方面的增长潜力更大。
参考来源:CyberScoop http://dwz.date/d6xJ
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,工业网络安全,关键信息基础设施
相关信息
2022-09-16
2022-09-09
2022-09-02
