关键信息基础设施安全动态周报【2020年第47期】
发布时间:
2020-11-27
来源:
作者:
访问量:
119
目 录
第一章 国内关键信息基础设施安全动态
(一)印度又禁止了43款中国移动应用程序
(二)百度两款安卓应用程序因泄露用户信息从Google Play应用商店下架
第二章 国外关键信息基础设施安全动态
(一)罗克韦尔FactoryTalk Linx中存在三个严重漏洞
(二)日本三菱电机再次遭受网络攻击
(三)十月份印度孟买发生电力中断事件,疑似由网络攻击所致
(四)工业电缆制造商Belden遭受网络攻击并泄露数据
(五)特斯拉Model X可在几分钟内被黑客盗走
(六)FBI发布警告称黑客伪造与其相关的诈骗域名
(七)英国成立国家网络部队以打击有组织的犯罪和敌对国家活动
(八)移动应用程序Muslim Pro开发商将用户数据出售给美军
(九)新型窃听攻击方法LidarPhone利用扫地机器人进行窃听
(十)FBI发布关于勒索软件Ragnar Locker的活动警报
(十一)丹麦通讯社Ritzau遭受黑客攻击并拒绝支付勒索赎金
(十二)曼联俱乐部遭受网络攻击
(十三)韩国零售巨头E-Land遭受勒索软件攻击致门店关闭
(十四)巴基斯坦国际航空公司数据库信息在暗网上出售
第一章 国内关键信息基础设施安全动态
(一)印度又禁止了43款中国移动应用程序
根据11月24日印度政府发布的禁令,印度政府以国家安全为由,又禁止了43款中国手机应用程序,包括全球速卖通及淘宝直播。自6月份以来,中国被禁的手机应用程序总数已达220个。
印度电子和信息技术部表示,“这一行动是基于有关这些应用程序参与损害印度主权和完整、国防、国家安全和公共秩序的活动的信息。”
自今年6月以来,印度一直禁止印度公民使用中国移动应用程序。此前,印度和中国士兵在边境发生冲突。造成20名印度士兵死亡,受伤人数超过75人。这起事件发生两周后,印度发布了第一批禁令,其中包括TikTok、UC浏览器、微博和微信等59款中国移动应用程序。今年9月,印度将禁令扩大到另外118款国内移动应用,新增的应用包括百度、支付宝、绝地求生和企业微信。
随着24日发布的最新一轮禁令,中国移动应用被禁的总数现在为220个。此次被屏蔽的应用程序的完整名单如下:
AliSuppliers Mobile App、Alibaba Workbench、AliExpress - Smarter Shopping, Better Living、Alipay Cashier、 Lalamove India - Delivery App、Drive with Lalamove India、Snack Video、CamCard - Business Card Reader、CamCard - BCR (Western)、Soul- Follow the soul to find you、Chinese Social - Free Online Dating Video App & Chat、Date in Asia - Dating & Chat For Asian Singles、WeDate-Dating App、Free dating app-Singol, start your date!、Adore App、TrulyChinese - Chinese Dating App、TrulyAsian - Asian Dating App、ChinaLove: dating app for Chinese singles、DateMyAge: Chat, Meet, Date Mature Singles Online、AsianDate: find Asian singles、FlirtWish: chat with singles、Guys Only Dating: Gay Chat、Tubit: Live Streams、WeWorkChina、First Love Live- super hot live beauties live online、Rela - Lesbian Social Network、Cashier Wallet、MangoTV、MGTV-HunanTV official TV APP、WeTV - TV version、WeTV - Cdrama, Kdrama&More、WeTV Lite、Lucky Live-Live Video Streaming App、Taobao Live、DingTalk、Identity V、Isoland 2: Ashes of Time、BoxStar (Early Access)、Heroes Evolved、Happy Fish、Jellipop Match-Decorate your dream island、Munchkin Match: magic home building、Conquista Online II。
参考来源:ZDNet http://dwz.date/du3f
(二)百度两款安卓应用程序因泄露用户信息从Google Play应用商店下架
据Palo Alto Networks UNIT42研究人员11月24日发布的研究报告,百度的两款应用程序百度地图及百度搜索包含收集用户信息的代码,会泄露用户敏感信息及跟踪用户位置,故这两款应用程序已于10月底从Google Play官方应用商店下架。
据Palo Alto Networks称,数据收集代码位于百度Push SDK中,用于显示两个应用程序内的实时通知。Palo Alto Networks两位识别数据收集行为的研究人员Stefan Achleitner和Chengcheng Xu表示,代码收集了手机型号、MAC地址、运营商信息和IMSI(国际移动用户身份)号码等详细信息。
Achleitner和Xu表示,虽然所收集的某些信息“相当无害”,但诸如IMSI代码之类的某些数据“可以用于唯一地识别和跟踪用户,即使该用户切换到另一部电话也是如此”。
研究人员表示,虽然在向Google报告问题后,谷歌针对安卓应用的政策并未特别禁止收集个人用户详细信息,但Google Play应用商店安全团队证实了他们的发现,并在这两款百度应用中“发现了其他未指明的违规行为”,最终导致这两款应用程序于10月28日从官方商店下架。
百度发言人在一封电子邮件中表示,虽然最初的Palo Alto Networks报告中心的数据收集行为引发了Google团队的调查,但数据收集行为并不是这两个应用被从Play商店中删除的原因,因为百度已获得用户的许可,可以从用户那里收集此类信息。
尽管如此,谷歌团队还发现了其他问题,百度团队表示正在努力解决。截至目前百度搜索应用已恢复到Play商店中。百度表示,百度开发者修复了报告的问题后,百度地图应用也将卷土重来。在下架之前,这两个应用的下载量总计超过600万。
但是除了百度推送SDK,Palo Alto Networks团队还说,他们还在中国广告技术巨头MobTech开发的ShareSDK中发现了类似的数据收集代码。
Achleitner和Xu表示,该SDK已被37,500多个应用程序使用,该SDK还允许应用程序开发人员收集数据,例如电话型号信息、屏幕分辨率、MAC地址、Android ID、广告ID、运营商信息和IMSI(国际移动订户身份)以及IMEI(国际移动设备识别码)代码。
Achleitner和Xu表示:“对Android恶意软件的分析表明,恶意应用程序经常使用SDK(例如百度Push SDK或ShareSDK)来提取和传输设备数据。尽管这些SDK可能是出于合法目的而开发的,例如在社交媒体上推送通知和共享内容,它们经常被恶意应用程序的开发人员滥用。”
总而言之,这不仅是安卓生态系统的一个常规问题,而且对于整个在线应用程序世界也是一个常规问题,许多应用程序在没有专门禁止此类行为的法规的情况下不受限制地收集敏感的用户详细信息。
参考来源:ZDNet http://dwz.date/dumz
第二章 国外关键信息基础设施安全动态
(一)罗克韦尔FactoryTalk Linx中存在三个严重漏洞
CISA 11月24日发布资讯报告称罗克韦尔 FactoryTalk Linx中存在三个严重漏洞,分别为输入验证错误漏洞及两个缓冲区堆溢出漏洞,漏洞编号分别为CVE-2020-27253、CVE-2020-27251及CVE-2020-27255。成功利用这些漏洞可能导致拒绝服务情况、远程执行代码或泄漏信息,这些信息可以用来绕过地址空间布局随机化(ASLR)。
FactoryTalk®Linx包含在大多数FactoryTalk软件中,作为主要数据服务器,将Allen‑Bradley控制产品的信息传输到控制系统。FactoryTalk Linx是为通讯提供驱动的软件,负责实现控制系统和硬件产品直接的数据传输。受影响的产品版本为6.11及更低版本。
CVE-2020-27253为输入验证错误漏洞,CVSS评分为8.6,此漏洞可能允许未经身份验证的远程攻击者精心制作恶意数据包,从而导致设备上的服务拒绝状况。
CVE-2020-27251为缓冲区堆溢出漏洞,CVSS评分为9.8,此漏洞可能允许未经身份验证的远程攻击者发送恶意端口范围,这可能导致远程执行代码。
CVE-2020-27255为缓冲区堆溢出漏洞,CVSS评分为5.3,此漏洞可能允许未经身份验证的远程攻击者发送恶意的集合属性请求,这可能导致敏感信息泄漏,此信息公开可能导致地址空间布局随机化(ASLR)的绕过。
罗克韦尔自动化建议受影响的FactoryTalk Linx用户更新可用的软件版本,以解决相关风险。此外,用户可以迁移到在PCDC上可用的v6.20版本。
罗克韦尔自动化建议无法更新以下缓解措施或解决方法的用户进一步降低风险。鼓励用户在可能的情况下,将这些与一般安全指南结合起来,同时采用多种策略:
1、以“用户”(而不是“管理员”)身份运行所有软件,以尽量减少恶意代码对受感染系统的影响。
2、使用Microsoft AppLocker或其他类似的白名单应用程序可以帮助降低风险。
3、确认遵循了最小权限用户原则,并且仅根据需要授予用户/服务帐户对共享资源(如数据库)的访问权限。
4、使用受信任的软件、软件修补程序、防病毒/反恶意软件程序,并仅与受信任的网站和附件进行交互。
5、尽量减少所有控制系统设备和/或系统的网络暴露,并确认无法从互联网访问这些设备和/或系统。
6、将控制系统网络和设备定位在防火墙后面,并将它们与业务网络隔离。
7、当需要远程访问时,请使用安全方法,如虚拟专用网络(VPN),认识到VPN可能存在漏洞,应将其更新为可用的最新版本。还要认识到VPN只和连接的设备一样安全。
参考来源:CISA http://dwz.date/duqD
(二)日本三菱电机再次遭受网络攻击
三菱电机公司官员11月20日表示,其再次遭受了新一轮网络攻击,该攻击可能导致与其商业伙伴有关的信息泄漏。
据《朝日新闻》报道,“公司官员在11月20日称,他们正在检查与之进行业务往来的8,653个账户,以确定是否与其他方的银行账户有关的信息以及其他信息是否泄漏。”
在遭受攻击后,该公司安装了改进的防御系统,以防止未来遭受攻击,该公司还创建了一个新部门,直接向公司总裁报告,以实施新的网络安全措施。
据当地媒体报道,此次网络攻击事件很可能是由一个APT组织策划的,因为三菱电机在支持日本国家安全和基础设施方面发挥着重要作用。
三菱电机证实,黑客破坏了承包商运营的云存储系统后,与数千个银行帐户相关联的信息已泄露。该公司确认该事件发生在16日星期一,并且业务合作伙伴持有的8,635个银行帐户已遭到泄露。该事件泄露的数据包括帐户持有人的姓名、地址和电话号码。
三菱电机一直是黑客的攻击目标,在2018年,一个涉嫌与中国有关的网络间谍组织通过利用趋势科技OfficeScan的零日漏洞攻击了该公司的服务器。大约在八个月前,即2019年6月28日,该漏洞才被检测到,延迟的原因是攻击者删除了活动日志导致调查的复杂性增加。入侵事件发生在2019年6月28日,该公司于2019年9月启动了调查。三菱电机仅在两家当地报纸《朝日新闻》和《日经新闻》报道了安全漏洞后才披露了这起安全事件 。国防部门、铁路和电力供应机构的高度机密信息已被盗。
这两家媒体将该网络攻击归因于一个与中国有联系的网络间谍组织Tick,又名 Bronze Butler。至少从2012年起,黑客组织就一直将攻击目标对准了日本重工业、制造业和国际关系。据专家称,该组织疑似与中国有关,主要窃取机密数据。
参考来源:朝日新闻 http://dwz.date/dtAB
(三)十月份印度孟买发生电力中断事件,疑似由网络攻击所致
10月13日,印度孟买市区发生了大规模严重停电事件,导致交通管理系统部分中断,铁路交通瘫痪,也影响了证券交易所的工作。基础电力服务在两个小时内得以恢复,而其他电力服务在12个小时内分阶段恢复。印度政府经过一个月的调查认为,该事件可能是由黑客造成的。
据印度Mumbai Mirror报道称,“据国家警察网络小组进行的一项调查显示,上个月孟买大都会地区(MMR)的停电事件可能是一次涉及外国实体的复杂破坏企图的结果。”据Mumbai Mirror称,该事件可能是由网络攻击引起的,网络警察已经找到证据表明这一假设。自2月份以来,外国黑客似乎一直试图入侵该国的电力公司。
据《今日印度》报道,参与调查的专家在负载调度中心发现了恶意软件,该中心负责确保电网运行、监控电网运行、以及电力调度。“据报道,停电的主要原因是位于塔恩区的Padgha负荷调度中心跳闸,该中心为孟买、塔内和马维孟买地区配电。”可疑登录已追溯到新加坡和其他南亚国家。
“一位不愿透露姓名的消息人士称,自2月份以来,黑客一直在试图针对该国的电力公司。今年6月,称来自中国的非国家组织发动了4万多起黑客攻击,利用一种恶意软件访问并加密了目标私人和公共实体的敏感数据。Jammu以及Kashmir的一家电力供应商也遭受了黑客攻击。”
据媒体推测,这些攻击是由出于经济动机的外国黑客发起的,他们对印度公用事业公司发起了多次攻击,包括网络钓鱼活动、勒索软件和DDoS攻击,以及BGP劫持。此类事件非常危险,电网是关键基础设施,网络攻击可能会影响参与应对疫情流行的医院和研究机构。
参考来源:Mumbai Mirror http://dwz.date/dtAK
(四)工业电缆制造商Belden遭受网络攻击并泄露数据
全球领先的专业网络解决方案供应商百通公司(Belden)11月24日宣布,其已采取果断措施来调查和解决一起数据泄露事件,该事件涉及未经授权的访问和复制某些现员工和前员工数据以及有关某些业务合作伙伴的有限公司信息。
Belden IT专业人员最近检测到涉及某些公司服务器的异常活动。该公司立即启动了网络安全事件响应计划,部署了内部IT专家团队,并聘请了领先的第三方网络安全鉴定专家和其他顾问来识别和减轻此事件的影响。
取证专家确定,Belden是公司外部的一个复杂攻击的目标,攻击者访问了有限数量公司文件服务器。该问题不会百通制造厂的生产、质量控制或运输,工厂都在正常运行。
尽管调查仍在继续,但该公司认为,它已经停止了对其服务器上的个人和商业伙伴公司数据的进一步未经授权的访问。百通目前正在与监管和执法人员合作调查此事,还聘请了外部法律顾问来帮助公司通知全球各地的相关监管机构。
被访问和被盗的个人信息可能包含以下信息:姓名、生日、政府签发的身份证号码(如社会保险/国民保险)、Belden工资单上的北美员工的银行帐户信息、家庭住址、电子邮件地址和其他与就业有关的一般信息。与该公司的一些业务合作伙伴相关的有限公司信息包括银行账户数据,对于美国合作伙伴而言还包括纳税人识别号。
公司总裁兼首席执行官Roel Vestjens表示,“在百通,安全始终是至关重要的,我们非常重视对个人和公司信息隐私的威胁。对于此事件可能造成的任何复杂性或不便,我们深表歉意,并为可能受到影响的个人提供帮助。”
百通已开始通知可能受到影响的个人,并正在采取措施提供免费的监视和支持服务,以使受影响的个人更加安心。百通正在积极联系受到影响的业务合作伙伴。
除了不断发展强大的网络安全实践和支持外,百通还致力于利用所有可用的手段来保护其运营以及员工,客户和业务信息。
百通是美国网络和工业电缆产品制造商,在全球各大洲设有办事处,生产用于交通、石油和天然气以及其他行业的光缆和网络设备。
参考来源:Belden http://dwz.date/duf8
(五)特斯拉Model X可在几分钟内被黑客盗走
比利时鲁汶大学(KU Leuven)计算机安全和工业密码学(COSIC)研究人员Lennert Wouters博士发现了特斯拉Model X无钥匙进入系统中的重大安全漏洞,可在几分钟内就偷走特斯拉Model X,该攻击方法所需的设备仅需200美元。对此特斯拉发布了无线软件更新以缓解这些问题。
这是多年来Wouters对Tesla发起的第三次攻击,Wouters分贝在2018年及2019年分别对特斯拉发起过攻击。根据11月23日发布的报告,Wouters表示,第三次攻击之所以有效,是因为Tesla Model X密钥卡的固件更新过程中存在漏洞。
该漏洞可通过从旧款Model X车辆中回收的电子控制单元(ECU)进行攻击,该电子控制单元可在eBay等网站或出售特斯拉二手车零部件的任何商店或论坛上轻松获得。
Wouters表示,攻击者可以修改旧版的电子控制单元,以诱骗受害者的遥控钥匙,使其相信该电子控制单元属于其配对车辆,然后通过BLE(蓝牙低能耗)协议对遥控钥匙进行恶意固件更新。Wouters表示,“由于这种更新机制没有得到适当的保护,因此能够以无线方式破坏密钥卡并对其进行完全控制。随后我们可以获得有效的解锁消息来稍后解锁汽车。”
具体攻击步骤如下:
1、攻击者接近特斯拉Model X车辆车主。攻击者需要与受害者保持5米的距离,以使较旧的改装ECU唤醒并诱捕受害者的遥控钥匙卡。
2、然后,攻击者将恶意固件更新推送到受害者的密钥卡上。这部分需要大约1.5分钟的时间来执行,但射程也可以达到30米,这使攻击者可以与目标Tesla车主保持距离。
3、一旦密钥卡被黑客入侵,攻击者就会从密钥卡中提取汽车解锁消息。
4、攻击者使用这些解锁消息进入受害者的汽车。
5、攻击者将较旧的ECU连接到被入侵的特斯拉汽车的诊断连接器,这通常由特斯拉技术人员用来维修汽车。
6、攻击者使用此连接器将自己的智能钥匙与汽车配对,随后他们使用它们启动汽车并驾驶离开。这部分还需要几分钟才能执行。
这种攻击方法的唯一弊端是相对庞大的攻击装备,除非隐藏在背包、书包或其他汽车内,否则很容易发现。尽管如此,攻击设备并不昂贵,仅需要一台带有CAN防护罩的(30美元)Raspberry Pi计算机(35美元)、改装的密钥卡、一个的旧ECU(在eBay上100美元)和一块锂电池(30美元)。
Wouters表示,他于今年夏天初发现了该漏洞,并于8月中旬将其报告给特斯拉的安全团队。在特斯拉本周开始对其所有Model X汽车进行无线软件更新后,Wouters 23日发布了他的研究成果。据Wouters称,已修复此错误的软件更新为2020.48。
参考来源:ZDNet http://dwz.date/dtBD
(六)FBI发布警告称黑客伪造与其相关的诈骗域名
美国FBI 11月23日发布警告,警告公众避免使用与其官方网站www.fbi.gov相似的诈骗互联网域名。该警告涉及数十个网站,未知网络参与者注册了许多与FBI合法网站相似的域名,这表明未来可能发生潜在的欺诈运营活动。
伪造的域名和电子邮件帐户被外国行为者和网络犯罪分子利用,很容易被误认为合法网站或电子邮件。攻击者可以使用欺骗性域名和电子邮件帐户传播虚假信息;收集有效的用户名、密码和电子邮件地址;收集个人身份信息;并传播恶意软件,从而导致进一步的威胁和潜在的财务损失。
网络参与者创建的欺骗性域名的合法域名的特征稍有变化。欺骗性伪造域名可能包含单词的替代拼写,或使用替代顶级域名,例如合法的“[. gov”网站的“[.]com”版本。公众可能会在不知不觉中访问伪造的域名,同时寻求有关FBI任务、服务或新闻报道的信息。此外,网络参与者可能会使用看似合法的电子邮件帐户来诱使公众点击恶意文件或链接。
FBI敦促所有美国公众严格评估他们访问的网站,以及发送到其个人和企业电子邮件帐户的消息,以寻找可靠且经过验证的FBI信息。
FBI建议用户始终检查网站和电子邮件地址的拼写,以确保其操作系统和应用程序始终保持更新,并使用最新的反恶意软件。此外,FBI建议用户除非绝对必要且仅在使用防病毒应用程序扫描文件后才对通过电子邮件接收的文档启用宏,并避免打开来自未知个人的电子邮件或附件。切勿通过电子邮件提供个人信息,应尽可能实施严格的两因素身份验证,并且应使用域白名单来仅允许访问被认为安全的网站。此外FBI还建议用户禁用或删除不再使用或不需要的软件,并验证访问的网站是否具有SSL证书,尽管众所周知威胁参与者也使用加密来提高其网站的合法性。
以下为已识别的与FBI有关的欺诈域名:
参考来源:FBI http://dwz.date/dtD7
(七)英国成立国家网络部队以打击有组织的犯罪和敌对国家活动
英国首相鲍里斯约翰逊19日宣布,英国组建了一支攻击性网络作战部队,致力于在网络空间瓦解英国对手。这支名为国家网络部队(NCF)的部队能够针对对手发起有针对性的行动,从干扰恐怖分子的通信设备和手机到支持英国军事行动。英国政府已经发展这支部队大约两年了。
NCF预计将在未来几年增长到3000人,由来自该国信号情报机构、政府通信总部(GCHQ)、国防部、该国秘密情报局(MI6)和国防科技实验室的人员组成。这支部队与GCHQ的防御性网络部门国家网络安全中心并驾齐驱,目前只有几百名工作人员。
这一声明与英国在世界各地的盟友在网络空间对抗对手的努力不谋而合。例如,美国国防部进攻性网络部队网络司令部就曾试图干扰俄罗斯政府对互联网的访问,防止他们干扰2018年美国中期选举。据《华盛顿邮报》报道,就在上个月,网络司令部还对伊朗进行了网络行动,以保护2020年的总统选举。
澳大利亚信号局(ASD)最近还通过鱼叉式钓鱼运动和其他骗局,对利用冠状病毒大流行的黑客进行了攻击性的网络行动。澳大利亚国防部长Linda Reynolds表示,ASD的活动包括破坏黑客的基础设施,阻止他们获取被盗信息。
据伦敦《泰晤士报》(Times Of London)报道,近几个月来,英国一直在开展网络行动,以应对俄罗斯有关冠状病毒疫苗的虚假信息。英国的攻击性网络力量的宣布不是英国第一次承认它使用攻击性的网络攻击对手。例如,英国与其他一些欧洲国家和美国一起,曾提议向北约提供进攻性的网络能力。就在上个月,英国前国家安全顾问透露,该国针对莫斯科的漏洞开展了一次攻击性网络行动。
与网络司令部和ASD一样,GCHQ此前也承认,英国在过去几年里利用网络行动破坏了ISIS。GCHQ局长Jeremy Fleming表示,这是英国首次“系统地、持续地削弱对手的网络努力,作为更广泛军事行动的一部分”。
NCF的确认是在议会情报和安全委员会(负责监督英国的间谍机构)进行了严厉的评估之后做出的。该委员会在7月份的结论是,英国没有进行认真的调查,以评估俄罗斯干预英国政治的努力。
参考来源:CyberScoop http://dwz.date/du43
(八)移动应用程序Muslim Pro开发商将用户数据出售给美军
据报道,当地移动应用程序Muslim Pro在全球范围内下载量超过9850万次,据称已向美国军方出售了“位置数据”,但是该追踪程序Muslim Pro否认了这一指控,称这只是与合作伙伴共享匿名数据,目前该事件正由新加坡个人数据保护委员会进行调查。
个人数据保护委员会(PDPC)确认其正在对指控进行调查,并向Muslim Pro开发商Bitsmedia寻求更多信息。该监管机构告诉当地媒体:“我们提醒用户要注意他们的权限和个人数据以及使用方法。如有疑问,用户不应下载或使用任何应用程序。”
成立于2009年,总部位于新加坡的Bitsmedia在马来西亚和印度尼西亚设有办事处,Muslim Pro应用程序会跟踪祈祷时间,并有显示前往Mecca的方向等功能,已经被200个国家的用户下载。
据报道,该应用程序已将位置数据出售给X-Mode,这是美国第三方数据聚合商,向其客户出售服务,其中包括美国国防承包商。美国-加拿大新闻媒体Vice Media在报告中爆料说,Muslim Pro是向美国军方出售数据的移动应用程序之一,包括时间戳、电话型号详细信息和Wi-Fi网络的连接位置。Bitsmedia否认了这些指控,并在星期二和星期四发表了两份声明,认为该报告“不正确且不真实”。
Bitsmedia表示其符合欧盟GDPR(通用数据保护法规)和加利福尼亚消费者隐私法案(CCPA)等全球数据隐私法律和法规,称其“收集、处理和使用其用户提供的信息”开发人员在访问其应用程序以“改善我们的服务”并促进其应用程序的“研究与开发”(R&D)工作时访问开发者。这可能包括分析数据以更好地了解用户行为,从而可以“改善其服务的整体功能”。位置数据用于祈祷时间的计算,并有助于规划和设计功能,以及改善整体用户体验。
Bitsmedia开发人员还坚持认为,它不会共享任何敏感的个人信息,例如姓名、电话号码和电子邮件。“与合作伙伴共享的任何数据都是匿名的,这意味着我们的数据不会归因于任何特定的个人。我们采用行业标准的安全措施和保护措施,并选择领先的技术合作伙伴,以确保我们的数据在我们的云基础架构上的安全。我们对收集、存储和处理的个人信息也保持公开和透明。”
虽然它驳斥了Vice Media的主张,但Bitsmedia表示已经终止了与数据合作伙伴包括X-Mode在内的所有关系,并“立即生效”。
该公司表示,它与“选定的技术合作伙伴”合作,以改善其应用程序的质量,并与合作伙伴共享数据,以实现“广告等常见目的”,这是它的主要收入来源。这样做是“完全遵守”所有相关法律的,并实施了“严格的数据治理政策”以保护其用户数据。
Bitsmedia称,它与社交媒体网络和数据分析公司等第三方合作,并在其用户同意下共享数据。它还指出,除了“社区”部分外,Muslim Pro中提供的功能都可以使用,而无需用户登录该应用程序。“这有助于我们收集和处理的数据的匿名性。”
如果它被发现违反了新加坡的个人数据保护法(PDPA),Bitsmedia可能面临 严重的经济处罚,高达其年营业额10%或100万新加坡元。新加坡本月刚刚更新了数据保护法规,以允许本地企业未经事先同意就出于某些目的(例如业务改进和研究)使用消费者数据。修正案还允许对数据泄露处以更严厉的罚款,超过先前100万新加坡元上限。
新加坡通信和信息部长伊斯瓦兰(S. Iswaran)在 讨论修正案的讲话中表示,数据是数字经济中的关键经济资产,因为它提供了有价值的见解,可为企业提供信息并提高效率。 Iswaran表示,它还将增强创新能力并增强产品,并成为具有变革潜力的新兴技术(如AI)的重要资源 。
PDPA的主要变化之一是“同意的例外”要求,该要求现在允许企业出于“合法目的”,业务改进和更广泛的研发范围使用、收集和披露数据。除了用于调查和应对紧急情况外,还包括打击欺诈、增强产品和服务以及开展市场研究以了解潜在客户群的工作。此外,PDPA“视为同意”下定义的进一步修订现在将允许组织与外部承包商共享数据,以履行客户合同。这迎合了“现代商业安排”和包括安全在内的基本目的。
参考来源:ZDNet http://dwz.date/du4s
(九)新型窃听攻击方法LidarPhone利用扫地机器人进行窃听
新加坡五名学术研究人员设计了一种名为LidarPhone的新型窃听攻击方法,可利用商用机器人吸尘器中的激光雷达传感器。
LidarPhone攻击方法依靠从激光反射中提取的声音信号的痕迹来捕捉隐私敏感信息,包括在电话会议期间的讲话。它还可以用来监视受害者的电视习惯,或许还能确定他们的政治取向。
这种攻击方法由新加坡国立大学和马里兰大学学院公园分校的五名研究人员设计,当用于收集语音数字和音乐时,平均准确率分别大约达到了91%和90%的水平。
这种新型的声学侧通道攻击之所以成为可能,是因为真空清洁机器人,配备了激光雷达传感器,通过发射激光光和测量其反射,帮助它测量到不同物体的距离。
研究人员解释说,声音是通过介质振动传播的压力波,它被感应到周围的物体上。因此,细微的物理振动在固体材料中产生。“LidarPhone的基本概念在于,利用真空机器人的激光雷达传感器,感应室内物体的这种感应振动,然后对记录的振动信号进行处理,以恢复声音的痕迹。”
激光传声器也采用同样的方法,基本上LidarPhone将真空吸尘机器人上的激光雷达传感器转换成麦克风。然而,新攻击所面临的挑战包括反射信号的低信噪比(SNR)和由于机器人旋转运动而导致的激光雷达低采样率。
据研究人员称,这种攻击的一些主要局限性包括:当物体不与扬声器直接接触时,声音振动的强度较低:而且机器人在操作时不断移动,因此,在机器人空闲时发动攻击更为合理。
研究人员在小米机器人吸尘机器人上实现了LidarPhone,并得出结论,它可以实现数字和音乐分类的高精度。他们还认为,与最先进的窃听攻击不同,部署监视设备需要物理存在,LidarPhone省去了这一步骤,攻击者只需以某种方式破坏目标真空。
研究人员表示,“LidarPhone允许对手从位于受害者计算机扬声器或电视条形音箱附近的微小振动物体(例如垃圾桶或外卖袋)反射的激光束中获得隐私敏感的语音信息。虽然我们以机器人吸尘器上的激光雷达为例进行研究,但我们的发现可能会扩展到许多其他有源光传感器,包括智能手机飞行时间传感器。”
参考来源:SecurityWeek http://dwz.date/dusq
(十)FBI发布关于勒索软件Ragnar Locker的活动警报
美国联邦调查局(FBI)11月19日发布紧急警报,警告私营行业合作伙伴,自2020年4月以来勒索软件Ragnar Locker的活动激增,该警报内容包括检测与该勒索软件团伙相关联的IoC。
联邦调查局在2020年4月首次观察到勒索软件Ragnar Locker,当时不明身份的人用它加密了一家大公司的文件,获得了大约1100万美元的赎金,并威胁要释放10 TB的公司敏感数据。从那时起,Ragnar Locker被部署攻击越来越多的受害者,包括云服务提供商、通信、建筑、旅游和企业软件公司。FBI正在提供Ragnar Locker勒索软件的详细信息,以帮助理解密码和识别活动。
Ragnar Locker勒索软件背后的威胁参与者首先获得对目标网络的访问权限,然后执行侦察以定位网络资源和备份,试图过滤敏感数据。一旦完成侦察阶段,操作员手动部署勒索软件并开始加密受害者的数据。
Ragnar Locker勒索软件背后的运营商经常改变混淆技术以避免被发现,他们还使用VMProtect、UPX和自定义打包算法来处理恶意代码。操作员还可以使用在目标站点上的自定义WindowsXP虚拟机中部署Ragnar Locker,以避免被检测到。
该警报包含了勒索软件的其他技术细节,并提供了以下减轻威胁的建议:
1、离线备份关键数据。
2、确保关键数据的副本在云或外部硬盘驱动器或存储设备上。这些信息不能从受损的网络访问。
3、确保备份的安全,并确保不能从数据所在的系统中访问数据进行修改或删除。
4、在所有主机上安装并定期更新防病毒或防恶意软件。
5、只使用安全网络,避免使用公共Wi-Fi网络。
6、考虑安装和使用VPN。
7、使用强密码的多因素身份验证。
8、保持电脑、设备和应用程序的补丁和更新。
参考来源:SecurityAffairs http://dwz.date/dsqX
(十一)丹麦通讯社Ritzau遭受黑客攻击并拒绝支付勒索赎金
丹麦最大的新闻社Ritzau自11月24日遭受黑客攻击后,网络中断了至少一天,并拒绝了黑客的勒索要求。
Ritzau的首席执行官Lars Vesterloekke没有透露赎金的需求有多大,因为“专业攻击”的幕后黑手留下了“一份带有勒索信息的文件”,然而Ritzau并没有按照顾问的指示打开该文件。Ritzau已通过六个实时社交媒体向客户紧急发布了关于该事件的概述。
Vesterloekke表示,“如果按预期进行,那么我们可以在11月26如逐渐恢复正常。由于Ritzau的100台服务器中约有四分之一遭到损坏,此次攻击迫使其编辑系统被迫关闭。”
除了该机构自己的IT部门之外,Ritzau还聘请了一家外部安全公司,专门从事黑客攻击后的清理工作,而其保险公司则在协助专家。目前还不知道此次攻击事件的幕后主使。
自1866年以来,总部位于哥本哈根的Ritzau便为丹麦媒体、组织和公司分发信息并制作新闻。
参考来源:APNews http://dwz.date/dupw
(十二)曼联俱乐部遭受网络攻击
英格兰足球俱乐部曼彻斯特联队11月20日证实其系统遭受了网络攻击。该俱乐部已迅速采取行动来遏制此次攻击,目前正与专家顾问合作调查事件,并最大程度地减少持续的IT网络中断。
尽管这是有组织的网络犯罪分子的一项复杂的行动,但俱乐部已针对此类事件制定了广泛的规程和程序,并为此类事件进行了预演。该俱乐部的网络防御系统发现了此次攻击,并关闭了受影响的系统以控制损害并保护数据。
俱乐部媒体渠道、网站及移动应用程序均不受影响,并且目前没有发现与球迷或客户相关的任何个人数据泄露状况。在老特拉福德进行比赛所需的所有关键系统都保持安全和正常运行,21日对阵西布罗姆维奇的比赛将继续进行。
参考来源:BusinessWire http://dwz.date/dudX
(十三)韩国零售巨头E-Land遭受勒索软件攻击致门店关闭
韩国时装及零售业巨头E-Land 11月22日表示,其遭受了勒索软件攻击,导致其23家零售店在应对攻击期间暂停运营。
E-Land拥有60个零售品牌,主要专注于服装,通过5000家特许零售店销售。此外,E-Land在韩国拥有并经营酒店和餐厅。
23日,E-Land零售公司首席执行官Seok chango - hyun证实了网络攻击,并表示勒索软件是于11月22日上午发生在在E-Land总部。为了防止勒索软件攻击的蔓延,E-Land关闭了一部分IT系统,这影响了其零售网点的运营。Seok表示,客户和其他敏感数据在不同的服务器上加密,是安全的。 根据实施攻击的勒索软件操作,未加密的文件和数据可能被盗。
自2019年11月以来,大多数勒索软件公司越来越多地窃取未加密的文件,并威胁称,如果不支付赎金,就会将其泄露。这种双重勒索的策略是为了向受害者施加压力,以应对政府罚款、数据泄露通知、潜在诉讼和名誉受损的风险。
不幸的是,除非公司公开披露数据被盗,否则员工和客户可能永远不知道是否支付了赎金。如果不支付赎金,被盗数据通常会发布在勒索软件数据泄露网站上,旨在羞辱受害者。目前,还没有任何勒索软件组织声称对E-Land的攻击负责。
参考来源:BleepingComputer http://dwz.date/dutn
(十四)巴基斯坦国际航空公司数据库信息在暗网上出售
据报道,巴基斯坦国际航空公司(PIA)遭受了重大数据泄露事件,其网络访问及数据库在暗网上正以4000美元的价格出售。
据一家媒体报道,以色列公司KELA发现一名威胁参与者以4000美元的价格提供该航空公司的域名管理访问权。KELA跟踪勒索软件的趋势并识别对国际组织和政府机构的威胁。KELA监测到有两个俄罗斯人和一个英国人正在暗网论坛上出售该数据。一周后,攻击者还将会出售该该航空公司网络中的所有数据库。
这些网络罪犯发布了一个样本,据他们称,这些样本包含“所有使用PIA的人的数据,包括姓名、电话号码和护照号”。
KELA表示,攻击者提到正在销售的大约有15个数据库,所有数据库都有不同数量的记录,有些大约有50万条记录,有些大约有6万到5万条记录,但是他们网络中存储的所有记录都包括在内。此外,KELA还透露,自今年7月以来,同一个攻击者已经将38个数据库出售,累计价格至少为11.87万美元。
参考来源:BOL News http://dwz.date/du3B
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,工控安全,工业网络安全,关键信息基础设施,安全周报
相关信息
2022-09-16
2022-09-09
2022-09-02
