关键信息基础设施安全动态周报【2020年第39期】
发布时间:
2020-09-30
来源:
作者:
访问量:
83
目 录
第一章 国内关键信息基础设施安全动态
(一)CNCERT发布《2020年上半年我国互联网网络安全监测数据分析报告》
第二章 国外关键信息基础设施安全动态
(一)卡巴斯基称工业系统成为RDP攻击目标
(二)法国物流企业CMA CGM遭受勒索软件攻击
(三)美国多州911服务中断
(四)CISA确认联邦机构遭受黑客攻击
(五)乌克兰国家警察局官网遭受网络攻击
(六)美国医疗保健提供商UHS遭受勒索软件Ryuk攻击
(七)匈牙利银行及电信服务遭受强大DDOS攻击
(八)NIST发布针对勒索软件的《数据完整性恢复指南》
(九)新加坡加密货币交易平台KuCoin遭受黑客攻击被盗1.5亿美元
(十)McAfee申请纳斯达克上市
第一章 国内关键信息基础设施安全动态
(一)CNCERT发布《2020年上半年我国互联网网络安全监测数据分析报告》
为全面反映2020年上半年我国互联网在恶意程序传播、漏洞风险、DDoS攻击、网站安全等方面的情况,CNCERT对上半年监测数据进行了梳理,并形成监测数据分析报告。
监测发现暴露在互联网上的工业设备达4,630台,涉及国内外35家厂商的可编程逻辑控制器、智能楼宇、数据采集等47种设备类型。其中存在高危漏洞隐患的设备占比约41%。监测发现电力、石油天然气、城市轨道交通等重点行业暴露的联网监控管理系统480套,其中电力262套、石油天然气118套、城市轨道交通100套,涉及的类型包括政府监管平台、远程监控、资产管理、工程安全、数据检测系统、管网调度系统、OA系统、云平台等。其中存在信息泄露、跨站请求伪造、输入验证不当等高危漏洞隐患的系统占比约11.1%。暴露在互联网的工业控制系统一旦被攻击,将严重威胁生产系统的安全。
境内工业控制系统的网络资产持续遭受来自境外的扫描嗅探,日均超过2万次。经分析,嗅探行为源自于美国、英国、德国等境外90个国家,目标涉及境内能源、制造、通信等重点行业的联网工业控制设备和系统。大量关键信息基础设施及其联网控制系统的网络资产信息被境外嗅探,给我国网络空间安全带来隐患。
我国根云、航天云网、OneNET、COSMOPlat、奥普云、机智云等大型工业云平台持续遭受来自境外的网络攻击,平均攻击次数114次/日,同比上升27%,涉及远程代码执行、拒绝服务、Web漏洞利用等,工业云平台承载着大量接入设备、业务系统,以及企业、个人信息和重要数据,使其成为网络攻击的重点目标。
CNVD、CVE、NVD及CNNVD四大漏洞平台新增收录工业控制系统产品漏洞共计323个,其中高中危漏洞占比达94.7%。漏洞影响的产品广泛应用于制造业、能源、水处理、信息技术、化工、交通运输、商业设施、农业、水利工程、政府机关等关键信息基础设施行业,漏洞涉及的产品供应商主要包括ABB、万可、西门子、研华、施耐德、摩莎、三菱、海为、亚控、永宏等。
本文版权归原作者所有,参考来源:CNCERT http://dwz.date/cFdy
第二章 国外关键信息基础设施安全动态
(一)卡巴斯基称工业系统成为RDP攻击目标
卡巴斯基9月24日发布了《2020年上半年工业自动化系统威胁态势》报告,该报告显示,自2020年2月至5月,针对工业计算机上RDP的攻击次数稳步增加,COVID-19大流行显然导致了一些恶意行为者通过暴力攻击远程桌面协议(Rdp)而越来越多地针对工业系统的攻击。
该报告发现,针对RDP密码的暴力攻击在2月份和5月份分别占其保护的0.16%和0.33%,6月份这一比例有所下降,但仍保持在高于平均水平。
在COVID-19大流行期间,越来越多的工业组织使用RDP来远程访问和管理资源。
卡巴斯基去年观察到,工业组织对远程管理工具(RAT)的使用稳步减少,直到2020年2月才开始稳定,专家认为这也可能是大流行病的结果,因为组织需要保持远程访问系统的能力。
卡巴斯基在该报告中表示,“我们认为,使用RDP的ICS计算机所占百分比的增加可能表明大多数新的RDP会话均由IT和信息安全服务授权。实际上,在所有其他条件相同的情况下,配置和控制RDP服务的安全操作可能比任何其他RAT应用程序更容易。由于需要在大流行中远程执行与生产相关的任务,因此,允许新的RDP装置是一种妥协。”
被攻击的ICS计算机中检测到(并阻止)暴力破解RDP密码的百分比增加似乎微不足道,但应记住,任何此类攻击,如果成功,将立即为攻击者提供对工程计算机和ICS系统的远程访问,不应低估这种袭击所造成的危险。
卡巴斯基表示,在2020年上半年阻止了对其保护的32.6%的集成电路设备的攻击,与2019年下半年相比减少了6.6个百分点。
参考来源:SecurityWeek http://dwz.date/cEXF
(二)法国物流企业CMA CGM遭受勒索软件攻击
法国海运和物流巨头CMA CGM S.A.9月28日披露其遭受了恶意软件攻击,该公司网络边缘的一些服务器受到了影响,迫使CMA CGM的IT团队切断了对某些应用程序的互联网访问,以阻止恶意软件传播到其他网络设备。
CMA CGM在160多个国家拥有755个办事处、750个仓库和110000多名员工,在200多条航线上运营着480多艘船舶的船队。
该公司网站发布的声明表示,“CMA CGM Group目前正在处理影响外围服务器的网络攻击。一旦检测到安全漏洞,就会中断对应用程序的外部访问,以防止恶意软件传播。”在后来发布的更新中,该公司表示仍无法访问其IT应用程序,IT团队正在努力解决该事件,以保证业务连续性。
虽然最初的声明称,CMA CGM网络仍可用于预订和运营请求,但现在敦促客户就所有预订与当地CMA CGM当地代理联系。该公司表示:“我们的内部专家和独立专家正在进行调查。将在一天内发布最新信息。”
该公司副总裁乔尔·根蒂尔(JoëlGentil)在一份声明中表示:“不包括CEVA物流公司的CMA CGM集团目前正在应对外围服务器的网络攻击。现在,我们已经确定了这个问题,我们已经中断了对系统的访问,以防止恶意软件传播。现在,我们的信息系统正在恢复。”
Lloyd's List的一份报告称,该公司的某些中国办事处受到了Ragnar Locker勒索软件的攻击。Ragnar Locker勒索软件首次检测到是在2019年12月下旬,其运营商以瞄准托管服务提供商(MSP)使用的软件以防止检测和阻止攻击而闻名。
目前无法独立确认CMA CGM的网络确实受到勒索软件攻击的影响。
参考来源:BleepingComputer http://dwz.date/cFnU
(三)美国多州911服务中断
9月28日,美国至少14个州的紧急服务部门报告其911线路中断。包括亚利桑那州、加利福尼亚州、科罗拉多州、特拉华州、佛罗里达州、伊利诺伊州、印第安纳州、明尼苏达州、内华达州、北卡罗来纳州、北达科他州、俄亥俄州、宾夕法尼亚州和华盛顿州的警察局报告了这些问题。受影响的州报告说911电话和SMS服务失去连接,但未提供有关中断源的任何技术详细信息。
明尼阿波利斯警察局在中断开始时在Twitter上写道:“注意:911线路的电话和短信在全国范围内不可运营。”中断同时影响了所有紧急服务,受影响最严重的县在30至60分钟内恢复了911服务。
中断的原因可能来自微软的家乡华盛顿州雷德蒙德市,该市也报告了类似的电话线路中断,并将事件归咎于“更大的Microsoft 365中断”事件。
9月28日,微软报告称,在最近的基础架构变更导致Office.com、Outlook.com、Teams、Power Platform和Dynamics365等服务中断之后,微软报告了一次大规模停机。该公司今天早些时候通过roll back有问题的更改来解决此问题。但是,Microsoft中断仅影响Office和与电子邮件相关的服务。
其他消息来源显示,911中断可能根本与Microsoft Office 365中断无关,并且很可能起源于PSAP(公共安全应答点)提供商。PSAP是电话系统,911(或112)紧急呼叫在到达实际紧急服务呼叫中心之前被终止。它是911流量的中转点,这解释了为什么不同州的多个紧急服务出现问题。根据Twitter上的报道,一家名为Intrado的PSAP提供商很可能是今天911事件的原因。
参考来源:ZDNet http://dwz.date/cFtq
(四)CISA确认联邦机构遭受黑客攻击
网络安全和基础设施安全局(CISA)9月24日表示,黑客已从联邦机构获得访问权限并窃取数据。被黑客入侵的联邦机构名称、入侵日期、关于入侵者的任何细节如行业代号或国家隶属关系,都没有披露。
CISA官员发布的深入的事件响应(IR)报告中详细介绍了入侵者的每一个步骤,从而揭示了该黑客行为。该报告揭示了入侵者如何通过不同的渠道访问联邦机构的内部网络,例如利用Microsoft Office 365帐户的受害凭据、域管理员帐户以及该机构的Pulse Secure VPN的凭据服务器。
CISA表示,攻击者登录到Office 365帐户,以查看和下载主题行中带有“互联网访问”和“ VPN密码 ”的帮助电子邮件附件。尽管已经具有对该机构网络的特权访问权,但攻击者仍在搜索这些文件,并且很可能是试图找到可以攻击的网络其他部分。攻击者还访问了本地Active Directory,他们在其中修改了设置并研究了该机构内部网络的结构。
为了快速返回联邦机构的网络,黑客安装了SSH隧道和反向SOCKS代理,自定义恶意软件,并将他们控制的硬盘驱动器作为本地安装的远程共享连接到该机构的网络。
CISA分析师说:“装载的文件共享使攻击者可以在操作过程中自由移动,同时为取证分析留下的文件更少。”
此外,攻击者还在网络上创建了自己的本地帐户。通过分析法医证据,CISA表示,黑客使用此帐户浏览了本地网络,运行PowerShell命令,并将重要文件收集到ZIP存档中。CISA表示,无法确定攻击者是否窃取了ZIP档案,但这最终很可能会发生。此外,CISA表示,黑客在联邦机构网络上安装的恶意软件“能够克服该机构的反恶意软件保护,并且inetinfo.exe(恶意软件)梦游被隔离”。
尽管如此,调查人员表示,他们是通过CISA的入侵检测系统EINSTEIN来检测到入侵的,该系统可以从有利的位置监视联邦民用网络,并能够绕过本地的反恶意软件解决方案来补偿攻击者。
参考来源:ZDNet http://dwz.date/cE5V
(五)乌克兰国家警察局官网遭受网络攻击
乌克兰国家警察局官方网站于9月23日遭受了网络攻击,导致该网站暂时关闭。国家警察局在Facebook帖子中承认了这一事件,并透露这位未知的黑客在不同地区警察部门运营的某些网站上发布了不正确的信息。
Facebook的帖子说:“9月23日11点45分,有人发现对国家警察官方网站的未经授权的干扰。对此,一些地区警察局的互联网页面上共享了不可靠的信息。乌克兰国家警察局网站暂时断开,我们的专家正在致力于故障排除。对于暂时的不便,我们深表歉意。”
目前,尚不清楚究竟发生了什么,以及安全性得到增强的国家警察网站是如何被破坏的。 然而,这并不是乌克兰知名平台首次遭受严重的网络攻击。几年前,乌克兰能源部网站遭到比特币勒索软件攻击,而其邮政服务、能源部门、核电厂和机场也遭到恶意软件攻击。
参考来源:HackRead http://dwz.date/cE4t
(六)美国医疗保健提供商UHS遭受勒索软件Ryuk攻击
全球最大的医院和医疗保健服务提供商之一Universal Health Services(UHS)9月27日早遭受了勒索软件Ryuk攻击,导致美国的医疗机构系统关闭。因UHS的设施无法运行,一些患者已被转移到附近的其他医院。
UHS是美国财富500强企业,提供医院和医疗服务,2019年收入为113.7亿美元。该公司目前在美国和英国运营着400多家医疗机构,拥有9万多名员工。
根据UHS员工的报告,美国一些UHS医院的系统,包括来自加利福尼亚州、佛罗里达州、德克萨斯州、亚利桑那州和华盛顿特区的医院重新启动后,开始显示赎金记录。作为对事件的回应,IT人员关闭了其系统,以避免威胁的传播。
网上流传的一些报告显示,勒索软件在加密文档的文件名中添加了“.ryk”扩展名,这一情况证实了Ryuk勒索软件的感染。Ryuk勒索软件运营商在今年早些时候非常活跃,在3月份,他们以医院为攻击目标,尽管这些组织正在参与抗击冠状病毒大流行的斗争。
参考来源:SecurityAffairs http://dwz.date/cEYZ
(七)匈牙利银行及电信服务遭受强大DDOS攻击
匈牙利金融机构及电信基础设施9月24日遭受了强大的DDoS攻击,发生了短暂中断,是匈牙利有史以来最大的网络攻击之一。据据电信公司Magyar Telekom透露,攻击来自俄罗斯、中国及越南的服务器,攻击中的数据流量是通常DDoS事件的10倍。
该公司发布的一份声明表示,“这意味着,无论是规模还是复杂性,这都是匈牙利有史以来最大的黑客攻击之一。俄罗斯、中国和越南的黑客试图对匈牙利的金融机构发动DDoS攻击,试图使Magyar Telekom的网络不堪重负。”
分布式拒绝服务攻击(DDoS)能够破坏匈牙利一些银行的服务,导致Magyar Telekom在首都布达佩斯某些地区的服务暂时中断。匈牙利OTP银行在一份声明中也证实了网络攻击,该银行证实为其服务的电信系统在9月24日遭受了DDoS攻击。
参考来源:SecurityAffairs http://dwz.date/cDG3
(八)NIST发布针对勒索软件的《数据完整性恢复指南》
美国国家标准技术研究院(NIST)发布了一份网络安全实践指南,企业可以使用该指南从数据完整性攻击中恢复,例如破坏性的恶意软件和勒索软件攻击,恶意的内部人员活动或员工的简单错误导致修改或破坏公司数据(电子邮件、员工记录、财务记录和客户数据)。
勒索软件是目前影响企业的最具破坏性的祸害之一。虽然检测勒索软件攻击的早期预警信号是理想的,以尽量减少其影响或完全阻止它,但仍然有太多成功的入侵,组织必须从中恢复。
该特殊出版物(SP)1800-11《数据完整性:从勒索软件和其他破坏性事件中恢复》可帮助组织制定从影响数据完整性的攻击中恢复的策略(并能够相信任何恢复的数据都是准确、完整、并且没有恶意软件),从此类事件中恢复并维持运营,并管理企业风险。
其目标是监视和检测广泛使用的以及自定义应用程序中的数据损坏,并确定以何种方式更改/损坏数据,何时、由谁更改操作的影响,是否同时发生其他事件。最后,建议各组织如何将数据恢复到上次已知的良好配置,并确定正确的备份版本。
“多个系统需要协同工作,以防止、检测、通知和从破坏数据的事件中恢复。该项目探讨了有效恢复操作系统、数据库、用户文件、应用程序和软件/系统配置的方法。本文还探讨了审核和报告问题(用户活动监视,文件系统监视,数据库监视和快速恢复解决方案),以支持恢复和调查。”
NIST的美国国家网络安全卓越中心(NCCoE)在创建解决方案来应对这一网络安全挑战时,使用了特定的商用组件和开源组件,但指出,每个组织的IT安全专家应选择最适合自己的产品。考虑它们将如何与已经使用的IT系统基础结构和工具集成。
NCCoE针对几个测试案例(勒索软件攻击、恶意软件攻击、用户修改配置文件、管理员修改用户的文件、数据库或数据库架构已被管理员或脚本错误更改)测试了设置。
参考来源:HelpNetSecurity http://dwz.date/cEyB
(九)新加坡加密货币交易平台KuCoin遭受黑客攻击被盗1.5亿美元
新加坡加密货币交易平台KuCoin 9月26日遭受黑客入侵,根据KuCoin所公布的黑客帐号,黑客至少盗走了价值超过1.5亿美元的加密货币,主要是ERC-20 ,以及部份的比特币及其它货币。
KuCoin执行长Johnny Lyu表示,该公司是在上周六9月26日凌晨的2点51分收到风险管理系统的警报,显示有一帐号的以太币交易异常,之后又监控到更多以太币及ERC-20的可疑交易,到3点01分时,则直接收到该站热钱包的交易异常警报,于是他们立刻组织了专门处理此事的团队,也在3点20分紧急关闭支付服务器,却发现依然出现异常交易的情况。
于是KuCoin从4点20分开始将热钱包的资产转移到冷储存中,并于4点25分展开调查,在凌晨5点时联系20家加密货币交易平台,以将可疑的地址列入黑名单,共同追踪受到影响的资金。
目前KuCoin尚未公布损失金额,但多家媒体查看KuCoin所列出的黑客地址,估计黑客至少已盗转了价值1.5亿美元的加密货币。
根据KuCoin的初步调查,此一攻击行动始于该平台热钱包密钥的泄露,而他们已弃用原有的热钱包,也已着手部署全新的热钱包,并升级风险管理系统。Lyu强调,有鉴于该平台在2018年就建立了保险基金,可承担此次的安全意外,因而不会影响用户的权益。至于Lyu也无法确定能否追回被盗转的加密货币,仅说正与主要的加密货币交易商、安全机构及国际执法机关联手解决此事。
参考来源:iThome http://dwz.date/cFcV
(十)McAfee申请纳斯达克上市
McAfee 9月28日向美国证券交易委员会(SEC)提交注册声明显示,该公司正计划重返公开市场,已申请在纳斯达克上市,股票代码为MCFE。据SEC文件显示,McAfee发行规模为1亿美元。
2019年夏天,有关McAfee重返公开市场的报道浮出水面,知情人士告诉《华尔街日报》,首次公开募股(IPO)至少可以筹集10亿美元,公司估值超过50亿美元。
在提交给SEC的文件中,McAfee将发行规模定为1亿美元,但Renaissance Capital research分析师估计,这笔交易可能帮助该公司筹集至多20亿美元资金。
McAfee于2010年以76.8亿美元的价格被英特尔收购,2014年英特尔宣布McAfee将成为英特尔的安全产品。然后,在2016年,英特尔决定TPG Capital收购了51%的股份后,McAfee将再次成为一家独立公司。TPG和Thoma Bravo在SEC档案中被列为McAfee的赞助商。
McAfee声称其产品可保护超过6亿台设备,其解决方案已被财富100强公司中的86%使用。该公司声称其净收入从2011年的19亿美元增加到2019年的26亿美元。2020年上半年,其净收入为14亿美元,净收入为3,100万美元。
参考来源:SecurityWeek http://dwz.date/cFFE
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,工控安全,工业网络安全,关键信息基础设施,安全周报
相关信息
2022-09-16
2022-09-09
2022-09-02
