关键信息基础设施安全动态周报【2020年第33期】
发布时间:
2020-08-21
来源:
作者:
访问量:
123
目录
国外关键信息基础设施安全动态
(一)2020年上半年披露的超过70%的ICS漏洞可远程利用
(二)美国成功举行为期3天的2020网络风暴演习
(三)美军举行首届太空网络攻防赛
(四)Thales产品存在漏洞 可致物联网设备遭受攻击
(五)APT组织Transparent Tribe通过感染USB设备来针对政府和军方
(六)黑客组织TeamTNT使用新型挖矿蠕虫可窃取AWS凭证
(七)美国FBI和NSA联合揭露俄罗斯黑客组织APT28使用的新型恶意软件Drovorub
(八)CISA警告网络钓鱼攻击会传播远程访问木马KONNI
(九)CISA发布警告朝鲜新型恶意软件BLINDINGCAN
(十)美军报告称许多朝鲜黑客在国外活动
(十一)Dispel加入NCCoE合作项目 以保护工业控制系统环境信息和系统完整性
(十二)加拿大政府网站遭黑客攻击 泄露上万用户凭证
(十三)思科披露网络设备中关键静态密码漏洞
(十四)日本科技公司柯尼卡美能达(Konica Minolta)遭受勒索软件攻击
(十五)世界上最大邮轮运营商嘉年华遭受勒索软件攻击
(十六)美国大型酒业企业Brown-Forman遭受勒索软件Sodinokibi攻击 窃取1TB数据
国外关键信息基础设施安全动态
(一)2020年上半年披露的超过70%的ICS漏洞可远程利用
工业网络安全公司Claroty8月19日发布报告称,2020年上半年披露的超过70%的ICS漏洞可以被远程利用,这突显了保护面向互联网的ICS设备和远程访问连接的重要性。
该报告包括Claroty研究团队对国家漏洞数据库(NVD)发布的365个ICS漏洞的评估,以及工业控制系统网络应急响应团队(ICS-CERT)在2020年上半年发布的139个ICS建议,涉及53个供应商。Claroty研究小组发现了该数据集中包含的26个漏洞。这26个漏洞影响的厂商细分如下,这些供应商受影响的大多数产品在全球各行业广泛部署,因此Clatory研究人员把研究重点放在这些上面。
与2019年上半年相比,NVD发布的ICS漏洞从331个增加了10.3%,而ICS-CERT的漏洞从105个增加了32.4%。超过75%的漏洞被指定为高分或严重的通用漏洞评分系统(CVSS)分数。
Claroty研究部副总裁Amir Preminger表示:“人们对ICS漏洞带来的风险有了更高的认识,研究人员和供应商更加注重识别并尽可能有效地补救这些漏洞。我们认识到,迫切需要了解、评估和报告全面的ICS风险和漏洞情况,以使整个OT安全社区受益。我们的调查结果表明,组织保护远程访问连接和面向Internet的ICS设备,并防范网络钓鱼、垃圾邮件和勒索软件,以最大限度地减少和减轻这些威胁的潜在影响,这一点非常重要。”
根据这份报告,NVD发布的超过70%的漏洞可以被远程利用,这进一步证明了这样一个事实,即与网络威胁隔离开的完全隔离的ICS网络已经变得极为罕见。
此外,最常见的潜在影响是远程执行代码(RCE),可能产生49%的漏洞,反映出其作为OT安全研究社区关注的焦点领域的突出地位,其次是读取应用程序数据的能力(41%) ,导致拒绝服务(DoS)(39%)和旁路保护机制(37%)。由于全球迅速向远程劳动力转移,以及为应对COVID-19大流行而更加依赖远程访问ICS网络,进一步加剧了远程利用的重要性。
到目前为止,能源、关键制造以及供水和废水基础设施行业是受2020年上半年ICS-CERT通报中公布的漏洞影响最大的行业。在报告中包括的385个独特的常见漏洞和暴露(CVE)中,能源有236个,关键制造有197个,水和废水有171个。与2019年上半年相比,水和废水经历了最大的CVE增长(122.1%),而关键制造业增长了87.3%,能源增长了58.9%。
Claroty研究团队在2020年上半年发现了26个ICS漏洞,优先考虑可能影响工业运营可用性、可靠性和安全性的关键或高风险漏洞。
该Claroty研究团队专注于ICS供应商和产品,这些供应商和产品拥有庞大的安装基础、在工业运营中扮演着不可或缺的角色,以及那些使用研究人员拥有相当专业知识的协议的供应商和产品。这26个漏洞可能会对受影响的OT网络产生严重影响,因为超过60%的漏洞会启用某种形式的RCE。
参考来源:Claroty http://dwz.date/cdtf
(二)美国成功举行为期3天的2020网络风暴演习
美国国土安全部(DHS)网络安全和基础设施安全局(CISA)8月14日宣布成功完成了为期3天的模拟网络攻防演习,即著名的两年一次的“网络风暴”(Cyber Storm)演习,本次已经是第七届了。这是一项旨在模拟对国家关键基础设施的网络危机带来的影响从而进行应对措施的全国性网络演习。
该演习主要目的是评估网络安全准备情况,并检查安全事件响应流程,过程和信息共享流程。该演习为参与者提供了一个演习环境,可以模拟发现并响应大范围的网络攻击,而不会受到现实世界的攻击影响。三天的时间里,大约有2,000名参与者参加了“网络风暴”,这是全美范围最广泛的网络安全系列演习。
该网络风暴演习提供了一个独特的场所,国家关键基础设施的各个方面(联邦、州和地方实体,以及私营部门所有者和运营商)都可以检查集体的网络事件响应能力,以期确定增长和改进的领域。每次“网络风暴”演习都基于前一个的结论,并用于评估网络响应社区中取得的进展。网络风暴始于2006年,此后每两年进行一次。
CISA基础设施安全助理总监Brian Harrell表示,“我们比以往任何时候都更加紧密地联系在一起,这意味着我们国家的关键基础设施面临着网络攻击带来的更大风险。没有人期望公司或政府机构独自行动,这就是为什么像“网络风暴”这样的演习将所有人聚集在一起讨论和演练我们将如何集体应对网络攻击的原因。每次网络风暴,我们的协调和能力都会得到改善,今年也是如此。”
参考来源:CISA http://dwz.date/cd4R
(三)美军举行首届太空网络攻防赛
在DEF CON 28大会上,举行了名为Hack-a-Sat的首届天基夺旗赛,各参赛队伍以太空卫星为攻击目标。
在今年春季,线上聚集了6,000多名竞争对手,并自发组组成2,000多个团队。在5月参加了一系列挑战之后,到5月24日,八支队伍升至榜首。在DEF CON 28上,他们花了两天的时间完成了五个挑战,并获得了丰厚的回报,包括炫耀的资本、共计10万美元的奖金、以及有机会将解决方案上传到真实存在且可以操作卫星之上,亲自指挥卫星的运作。
八个团队的成员来自世界各地,分别是:Poland Can Into Space、FluxRepeatRocket、AddVulcan、Samurai、Solar Wine、PFS、15 Fitty Tree、1064CBread。8月7日星期五,比赛正式开始,比赛地点为DEF CON大会的太空村。
与其他夺旗赛(CTF)不同,Hack-a-Sat每个团队都有一个物理上的真实卫星。赞助商购买了一系列现成的训练用卫星,这些卫星具有“标准”制导导航和控制系统(GNC)以及定制的基于Artix 7 FPGA和Raspberry Pi的板载板载和有效载荷系统。根据运行该竞赛的团队的说法,两个板均使用了欧洲航天局(ESA)和NASA的代码,选择现成的板是为了快速访问传感器和控制面,而定制板的设计从CTF的角度来看要有趣得多。
物理元素来自“平面卫星”训练卫星,这是电子元件的平台。这些接地的物理模拟器安装在空气轴承上,因此它们可以不受阻力地移动并模拟场景中的各种元素。竞赛实验室还为每个团队配备了移动无线电收发器,以模拟移动通信问题,以及一个虚拟的月球和其他视觉目标。
比赛的场景带来了各种各样的挑战:卫星已被攻击者攻击和破坏,现在失去控制。团队需要重新控制卫星。为此,各团队必须完成五项挑战,其中四项是根据获得解决方案和所需时间的顺序进行评分,另一项是通过/失败两种结果。
挑战0:获得对卫星地面通信站的控制。对手已经获得了访问权,并将其他人拒之门外,因此团队需要通过网络成功侵入目标通信站。
挑战1:尝试与失控卫星取得联系。然后,恢复与卫星的通信。
挑战2:卫星制导导航和控制系统(GNC)“脱机”。团队需要尽快修复它,以阻止卫星旋转。这是一个艰巨的挑战,卫星的物理现实变得很重要:每个固定卫星一天的电池电量都只有这么多,而使用过多电能的解决方案可能会使团队无法解决后续的挑战,只能等待卫星充电一整夜。
挑战3:卫星已停止旋转,但无法与有效载荷模块或成像器通信。这就提出了一个重要的问题:还有什么可能被破坏?团队必须恢复与有效负载模块的通信。
挑战4:恢复有效负载模块的正常运行,然后控制成像器。
挑战5:团队已重新获得控制权,但现在必须通过在实验室中拍摄月球图像来证明这一点。这个挑战是通过/失败,并且由于另外两个原因而很重要。首先,团队必须通过此测试,才有资格在挑战结束时登上领奖台。接下来,将选择一个小组将其解决方案上传到实际卫星,以查看其是否可以获得实际卫星的图像。
要解决这五大挑战,参赛团队需要经历传统通信入侵、深入研究技术文档、了解轨道机械与飞行控制知识,以及利用未记录的输入与输出机制进行硬件破解等多个阶段。在比赛的两天中,每个小时都有一个更新,显示一个排行榜,其中包含各团队对进度(或不足)的评论,以及对挑战和解决方案的解释。
比赛结束时,有六支队伍完成了五轮挑战。未能通过第五轮挑战的Solar Wine队获得了竞赛最高分。但最终登上领奖台的是PFS队,拿到了50000美元的最高资金。Poland Can Into Space的解决方案被选中上传至目标卫星,让卫星成功拍下了月球图像。
奖品由美国空军负责采购、技术与战术事务的副部长Will Roper以及国防数字服务部部长Brett Goldstein亲手颁发。他们的参与,也表明了美国国防部当前对于天基网络安全问题的重视程度。
参考来源:DarkReading http://dwz.date/ccC6
(四)Thales产品存在漏洞 可致物联网设备遭受攻击
IBM的X-Force安全研究团队发现,Thales为物联网设备制造的通信模块中存在潜在的严重漏洞,数百万设备可能会受到影响。Thales在六个月前发布了补丁。
该漏洞的跟踪记录为CVE-2020-15858,于2019年9月发现,并于2020年2月进行了修补。最初在Thales的Cinterion EHS8 M2M模块中发现,该模块可在IoT设备中实现安全的3G和4G通信。后来还发现会影响同一产品线中的其他十个模块。
受影响的模块存在于数百万个IoT产品中,包括医疗、电信、能源和汽车行业中使用的产品。
该漏洞与产品运行Java代码有关,该Java代码可以包含诸如加密密钥,密码和证书之类的信息。有权访问目标IoT设备的攻击者可以利用此漏洞绕过安全机制并访问此信息,然后可以使用该信息来控制设备或访问包含该设备的网络。IBM表示,在某些情况下,可以通过模块本身提供的通信功能进行远程利用。
攻击的影响取决于目标物联网设备的用途。攻击者可以例如将医疗设备作为目标并操纵读数,甚至篡改设备(例如胰岛素泵)提供的治疗。
IBM描述的另一种理论攻击场景是针对能源和公用事业领域的。攻击者可能会入侵智能电表并操纵读数,从而导致产生较少或较大的电费。
IBM在博客中说道,“通过控制网络访问大量此类设备后,恶意行为者还可能关闭整个城市的电表,造成大范围停电,需要进行单独维修,甚至更严重地损坏电网本身。”
虽然该补丁已经发布了几个月,但Thales指出,将其推广到某些产品(例如医疗设备或工业控制系统(ICS))可能并非易事。补丁可以通过USB连接进行更新,也可以通过无线方式进行交付,具体取决于设备的功能。
参考来源:SecurityWeek http://dwz.date/cdtr
(五)APT组织Transparent Tribe通过感染USB设备来针对政府和军方
8月20日卡巴斯基发表博客文章表示,APT组织Transparent Tribe参与了针对政府和军事人员的运动,卡巴斯基研究人员披露了一种旨在感染USB设备并传播到其他系统的新工具。Transparent Tribe专注于监控和间谍活动,为了实现这些目标,该组织正在根据预期目标不断发展其工具包。
据安全公司Proofpoint此前追踪,该APT组织至少从2013年开始运作,此前曾与针对印度政府和军方的攻击有关。最近该APT组织已将重点转移到了阿富汗,然而,研究人员记录了它在近30个国家中的存在。Transparent Tribe(透明部落)也被称为PROJECTM或MYTHIC LEOPARD,被描述为参与“大规模间谍活动”的“多产”组织。
攻击链以一种典型的方式开始,即通过鱼叉式网络钓鱼电子邮件。欺诈性邮件与包含嵌入宏的恶意Microsoft Office文档一起发送,该宏部署组的主要有效负载,即Crimson Remote Access特洛伊木马(RAT)。
如果受害者不愿使用该方案并启用宏,则自定义.NET木马程序将启动并执行各种功能,包括连接到命令和控制(C2)服务器以进行数据泄露和远程恶意软件更新、窃取文件、截屏 、并且破坏用于音频和视频监视的麦克风和网络摄像头。
卡巴斯基表示,该木马还能够从可移动媒体、密钥日志和收集存储在浏览器中的凭据中窃取文件。 该木马有两个版本,分别在2017年,2018年和2019年底进行了编译,这表明该恶意软件仍在积极开发中。
Transparent Tribe还利用了其他.NET恶意软件和一个名为Peppy的基于Python的特洛伊木马程序,但新的USB攻击工具特别受关注。
USBWorm由两个主要组件组成,一个是用于可移动驱动器的文件窃取程序,另一个是用于跳转到易受攻击的新机器的蠕虫功能。
如果将USB驱动器连接到受感染的PC,则会在可移动驱动器上静默安装该特洛伊木马程序的副本。该恶意软件将列出驱动器上的所有目录,然后将木马的副本埋在驱动器的根目录中。然后将目录属性更改为“隐藏”,并使用伪造的Windows直接图标来诱使受害者在尝试访问目录时单击并执行有效负载。
研究人员表示:“这会导致所有实际目录都被隐藏起来,并被使用相同目录名的恶意软件副本所取代。”
在2019年6月至2020年6月期间,检测到200多个Transparent TribeCrimson组件样本。本月初,卡巴斯基记录了CactusPete发起的正在进行的活动,该APT组织也被称为Karma Panda,在进行网络间谍和数据窃取时,已经在多个国家被跟踪。
参考来源:ZDNet http://dwz.date/cd79
(六)黑客组织TeamTNT使用新型挖矿蠕虫可窃取AWS凭证
网络安全公司Cado Security近日揭露,其研究人员发现黑客组织TeamTNT所使用的新型挖矿蠕虫,多了一项用来窃取存放在Docker及Kubernetes系统上AWS凭证的功能,这些Docker及Kubernetes系统可能因为缺乏密码保护,或是配置错误,而成为TeamTNT蠕虫的目标。
TeamTNT蠕虫首次现身是在今年的5月,当时趋势科技分析,这是一个锁定Docker传输端口的分散式阻断服务攻击(DDoS)僵尸网络,而且也会植入恶意挖矿程序。
而今,TeamTNT蠕虫不只将危害范围扩大到Kubernetes系统,也新增了窃取AWS凭证的功能,把在Docker与Kubernetes系统中找到的AWS凭证传送到黑客服务器上。
此外,Cado Security警告,绝大多数的挖矿蠕虫都是从不同的挖矿程式东拼西凑而成,在新版TeamTNT蠕虫现身之后,相信其它的挖矿蠕虫也会复制它的AWS凭证窃取能力。
Cado Security建议开发者应该要盘点有哪些系统存放AWS凭证,若非必要应将它们删除;也应利用防火墙规则限制Docker APIs的存取能力,强烈推荐使用白名单机制;检查系统的网络流量是否连至任何的采矿池,或是AWS凭证档案是否曾被输出。
参考来源:iThome http://dwz.date/cd8B
(七)美国FBI和NSA联合揭露俄罗斯黑客组织APT28使用的新型恶意软件Drovorub
近日,国家安全局(NSA)与联邦调查局(FBI)一起披露了一种名为Drovorub的Linux恶意软件。专家表示,这种恶意软件是由俄罗斯黑客组织APT28 (又名Fancy Bear)管理的,其主要动机是在被黑客入侵的网络内部植入后门程序,利用了Linux内核可访问的各种功能。
Drovorub是一把“瑞士军刀”,它使威胁者能够执行多种功能,例如窃取文件并远程控制受害者的计算机。Drovorub是一个包含四个元素的恶意软件系列,分别是:内核模块rootkit、注入、命令和控制(C2)服务器、端口转发工具。
国土安全局表示,“该恶意软件背后的APT黑客已从用户空间实施了各种逃避技术,包括指定的文件和目录,进程和“/proc”文件系统中这些进程的证据,网络端口和会话,以及指定的已加载内核模块(包括自身)。”
借助这项技术,Drovorub-kernel模块执行了各种操作,例如隐藏进程、文件隐藏、套接字隐藏,netfilter隐藏以及从原始套接字接收中隐藏。
Drovorub默默的工作,威胁参与者会在事先通知的情况下执行此恶意软件。该恶意软件通常安装在由威胁参与者管理的环境中。 它利用MySQL数据库来处理加入的代理和客户端,还控制所有新代理和客户端的身份验证、任务分配和注册。一旦将其安装在服务器中,客户端或受害者就可以从服务器获取命令。
它使文件可以在威胁参与者和受害者之间传输。该恶意软件还具有一些额外的功能,例如端口转发和远程ROOT Shell。该恶意软件的关键功能是它控制客户端的隐藏,然后从用户空间处理文件和网络端口。发生这种情况的原因是客户端包装了内核模块,以实现对两者的隐藏功能。
此外,除非UEFI安全启动在完全或彻底模式下启用,否则此恶意软件具有很高的技能,因此它仍然隐藏在受感染的系统中,并且可以在重新启动后幸免。
专家认为,Drovorub恶意软件主要包含四个元素,这些元素被归结为一个特定的事物,如上图所示的组件及功能。
国家安全局的安全专家已经确认,他们正在调查整个事件。但是,在无法修复之前,安全人员建议用户遵循并实施他们提供的缓解措施,因为缓解措施旨在阻止Drovorub的解决方案。
该方案包括:应用Linux更新;系统管理员应定期检查并运行其计算机系统供应商提供的软件的最先进版本,以利用软件改进和最先进的安全检测与缓解防护措施的优势;防止不受信任的内核模块;建议所有系统所有者将系统配置为仅存储带有引人注目的数字签名的模块,因为这会使威胁参与者将不良处置的内核模块导入系统更具挑战性。
NSA和FBI都在尽最大努力确定这种Linux恶意软件,他们已经确认将尽快解决此问题,在此之前,他们强烈建议用户正确地采取缓解措施。
参考来源:GBHackers http://dwz.date/ccHV
(八)CISA警告网络钓鱼攻击会传播远程访问木马KONNI
网络安全和基础结构安全局(CISA)8月14日发布警报,网络参与者正在使用包含Microsoft Word文档和恶意Visual Basic应用程序(VBA)宏代码的电子邮件来部署KONNI恶意软件。KONNI是一种远程管理工具(RAT),恶意网络参与者使用该工具来窃取文件、捕获击键、获取屏幕快照以及在受感染的主机上执行任意代码。
KONNI至少从2014年开始活跃,但三年多来却未引起注意,仅被用于高度有针对性的攻击,包括针对联合国、联合国儿童基金会和与朝鲜有关联的实体的攻击。安全研究人员还确定了Konni和DarkHotel之间的联系。
一旦安装到受害者的计算机上,该威胁就可以渗出大量信息、记录击键、截图、从Chrome、Firefox和Opera等浏览器窃取剪贴板内容和数据,并执行任意代码。该警告称,发送Microsoft Word文档的电子邮件包含旨在获取和安装Konni恶意软件的恶意Visual Basic Application(VBA)宏代码。
CISA解释表示,宏代码的设计目的是改变字体颜色,诱使受害者启用内容,检查系统架构是32位还是64位,并构造和运行命令行来下载额外的文件。使用证书数据库工具CertUtil下载远程文件。然后从远程位置下载文本文件,由CertUtil解码,并另存为批处理(.bat)文件,该文件在删除文本文件后执行。
CISA还解释表示,Konni可以从受感染的计算机收集的信息包括IP地址、用户名、正在运行的进程列表,以及有关操作系统、连接的驱动器、主机名和计算机名的详细信息。
CISA已经发布了与Konni相关的MITRE ATT&CK技术列表,以及Snort签名,供防御者用于检测Konni漏洞。要防范此威胁,用户和管理员应确保其系统是最新的,应在其设备上运行最新的防病毒解决方案,应避免打开来自未知来源的电子邮件附件,并应实施与用户权限、密码、允许的服务、软件下载和用户行为监控相关的策略。
参考来源:SecurityWeek http://dwz.date/cdBb
(九)CISA发布警告朝鲜新型恶意软件BLINDINGCAN
美国网络安全和基础设施安全局(CISA)8月19日发布安全警报,包含有关朝鲜政府黑客今年部署的一种新型恶意软件BLINDINGCAN的详细信息。
信息安全社区的消息人士表示,这种新的恶意软件是在针对活跃在军事国防和航空航天领域的美国和外国公司的攻击中发现的,这些攻击被记录在McAfee(North Star Operation)和ClearSky(Operation DreamJob)的报告中。
这些攻击遵循了同样的模式,朝鲜黑客伪装成大公司的招聘人员,以便接近目标公司的员工。目标员工会被要求进行面试,在此过程中,他们通常会收到恶意的Office或PDF文档,朝鲜黑客将利用这些文档在受害者的电脑上部署恶意软件。这些攻击的最终有效载荷是该CISA警报的焦点,CISA称之为BLINDINGCAN的远程访问特洛伊木马(RAT)(在ClearSky报告中称为DRATzarus)。
CISA专家表示,朝鲜黑客利用恶意软件进入受害者的系统进行侦察,然后“收集关键军事和能源技术的情报”。
这要归功于BLINDINGCAN广泛的技术能力,这使得RAT能够:
·检索有关所有已安装磁盘的信息,包括磁盘类型和磁盘上的可用空间量
·获取操作系统(OS)版本信息
·获取处理器信息
·获取系统名称
·获取本地IP地址信息
·获取受害者的媒体访问控制(MAC)地址。
·创建,启动和终止新进程及其主线程
·搜索,读取,写入,移动和执行文件
·获取和修改文件或目录时间戳
·更改进程或文件的当前目录
·从受感染的系统中删除恶意软件和与恶意软件关联的工件
该CISA警报包括泄露指标和其他技术细节,可以帮助系统管理员和安全专业人员制定规则,扫描他们的网络,以寻找泄露的迹象。 这是美国政府第35次就朝鲜恶意活动发出安全警报。自2017年5月12日以来,CISA在其网站上发布了31个朝鲜恶意软件家族的报告。
近年来,与中国、伊朗和俄罗斯组织一道,朝鲜政府黑客一直是针对美国的四个最活跃的威胁者之一。美国一直试图通过对来自这些国家的黑客进行刑事指控,或公开呼吁超出情报间谍活动范围的黑客活动来阻止攻击。
今年4月初,美国国务院加大了遏制北韩黑客入侵的力度,设立了 500万美元的奖励计划,奖励任何关于朝鲜黑客、他们的下落或他们目前的活动的信息。在上个月发布的一份报告中,美国陆军透露, 许多朝鲜的黑客都是从国外而不是从朝鲜,白俄罗斯,中国,印度,马来西亚和俄罗斯等国家/地区进行活动的。
参考来源:ZDNet http://dwz.date/cd98
(十)美军报告称许多朝鲜黑客在国外活动
美国军方在近日发布的一份报告中表示,朝鲜至少有6000名黑客和电子战专家在其队伍中工作,其中许多人在白俄罗斯、中国、印度、马来西亚和俄罗斯等国开展海外活动。
这份332页名为“朝鲜战术”的报告,是美军用来训练军队和军事领导人的战术手册,美军上个月首次公开了这本手册。该报告包含了关于朝鲜人民军(KPA)的大量信息,如军事战术、武器库、领导层结构、部队类型、后勤和电子战能力。
虽然这份报告的绝大多数内容涉及经典的军事战术和能力,但报告也揭示了朝鲜秘密的黑客部队。美国陆军表示:“大多数电子战和网络空间战行动都是在网络战制导部队内进行的,也就是通常所说的第121局。”
这一评估与情报和网络安全团体之前的报告相同,后者还将朝鲜所有的黑客与121局联系起来,121局是朝鲜情报机构侦查总局(Reconnaissance General Bureau)的一个部门,是国防委员会(National Defense Commission)的一部分。
美国军方表示,随着朝鲜扩大其网络空间活动,第121局近年来呈倍增长。根据这份报告,第121局从“2010年至少1000名精英黑客”发展到今天的6000多名成员。这个数字与韩国国防部公布的类似数据一致,国防部数字显示,朝鲜在2013年有3000名网络战人员,这个数字后来翻了一番,到2015年达到6000人。然而,美军目前认为其6000这个数字并不完全准确。
尽管如此,军方官员说,他们已经对121局内部各师进行了估算,这些数字似乎直到上个月才公布。 美国陆军官员称,121局由四个主要分部组成,其中三个负责网络战,一个负责电子战。 第一个分支是网络安全界称之为Andariel Group,是一种高级持续威胁(APT),一个用来描述国家赞助的黑客组织的代号。 美国陆军官员称,Andariel Group大约有1600名成员,其任务是通过对敌方计算机系统进行侦察,并对网络的漏洞进行初步评估来收集信息。这个组织绘制了潜在攻击的敌方网络图。
第二局121分局是网络安全界追踪的Bluenoroff集团。美国军方官员称,这个APT大约有1700名黑客,“他们的任务是通过长期评估和利用敌人的网络漏洞进行金融网络犯罪。”
第三个分支机构是网络安全部门称之为Lazarus Group,这是安全行业现在广泛使用的笼统术语,用以描述任何形式的朝鲜黑客。美国陆军官员说,他们没有Lazarus Group下属分部成员的确切数字,但这个组织通常“通过将敌人网络漏洞武器化,并在政权指示下运送有效载荷,制造社会混乱。”
第四局是电子战干扰团,由3个军营(2000至3000人)组成,负责干扰电子设备。这是一个典型的军事单位,美国陆军官员认为这是在开城、海加和金刚的军事基地之外运作的部队。
然而,另一方面,军方官员表示,这三个网络战分区的组织较为松散,他们的许多成员被允许从国外旅行和行动,这些国家包括白俄罗斯、中国、印度、马来西亚和俄罗斯。
虽然美军的报告没有详细说明平壤政权为何让军事黑客出国旅行,但此前有报道和法庭文件对这些细节进行了探讨,平壤政权利用其黑客建立空壳公司,在建立外国服务器基础设施时,同时还是洗钱活动的中介实体。
2019年9月,美国财政部揭露并制裁了其中一些公司,声称这些公司与121局的黑客组织Andariel,Bluenoroff和Lazarus有关联。当时,美国官员表示,平壤政权正在利用其三个国家支持的黑客组织侵入银行、加密货币交易所和其他机构,窃取资金,这些资金后来被洗回朝鲜,政府官员将把同样的资金用于武器和导弹项目。
联合国的一份报告估计,2017年1月至2018年9月期间,朝鲜黑客从亚洲至少五家加密货币交易所窃取了约5.71亿美元,他们黑客活动的总利润可能远远超过20亿美元。
然而,虽然美国军方的报告承认朝鲜黑客参与了金融网络犯罪,但军方官员更进一步,将整个朝鲜政府描述为一个犯罪网络,金政权参与的活动范围很广,还包括毒品交易、假冒和人口贩运,而不仅仅是各种形式的网络犯罪。
参考来源:ZDNet http://dwz.date/cdvq
(十一)Dispel加入NCCoE合作项目 以保护工业控制系统环境信息和系统完整性
2020年8月18日,Dispel宣布他们将于国家标准与技术研究所(NIST)国家网络安全卓越中心(NCCoE)合作,以保护工业控制系统环境中的信息和系统完整性。依赖工业控制系统(ICS)来监视和控制生产供公众消费的商品的物理过程的制造组织,正面临越来越多的网络攻击。
在这个新项目中,NCCoE将与NIST工程实验室(EL)和行业合作者一起,重点介绍组织如何通过利用以下网络安全功能来采取全面的方法来保护制造业内的IC:行为异常检测、安全事件和事件监控、ICS应用程序白名单、恶意软件检测和缓解、更改控制管理、用户身份验证和授权、访问控制最低权限以及文件完整性检查机制。
该项目的目标是演示一个示例解决方案,该解决方案可在依赖ICS的制造环境中保护数据完整性不受破坏性恶意软件、内部威胁和未经授权软件的影响。NCCoE将把安全特征映射到NIST网络安全框架、国家网络安全教育框架倡议以及NIST特别出版物800-53“联邦信息系统和组织的安全和隐私控制”,并将为制造商提供基于标准的安全控制。此外,NIST将在两个不同但相关的现有实验室环境中实施列出的每项功能:基于离散的制造机床和类似于化学制造行业正在使用的过程控制系统。该项目将产生一份免费的NIST网络安全实践指南。
Dispel与CyberX、Dragos、Greentec USA、ForeScout Technologies、OSIsoft、Radiflow、Tenable、TDI Technologies和VMware一起支持NCCoE。
NCCoE是一个协作中心,行业组织、政府机构和学术机构在这里共同努力,解决企业最紧迫的网络安全挑战。通过此协作,NCCoE开发模块化、易于适应的示例网络安全解决方案,演示如何使用商用技术应用标准和最佳实践。
公用事业公司和制造商使用Dispel安全远程访问他们的工业控制系统。专为工业环境而建,每天从纽约、奥斯汀、弗吉尼亚州和东京的办公室为超过120万人和合作伙伴提供服务。
参考来源:TylerMorningTelegraph http://dwz.date/cdub
(十二)加拿大政府网站遭黑客攻击 泄露上万用户凭证
加拿大政府8月15日透露,黑客针对该国政府所提供的身份验证服务(GCKey)及国税局(CRA)帐号发动网络攻击,估计有9千多个GCKey帐号与5千多个CRA帐号遭攻击被破解,目前已紧急关闭这些帐号并重新要求用户取得凭证。
GCKey为加拿大政府替当地民众所设计的单一身份验证服务,经过身份验证的使用者可获得一组GCKey凭证,用以存取30种政府服务,在3,800万的加拿大人口中,已有1,200万拥有GCKey凭证。至于CRA帐号则是独立的凭证,专门用来存取加拿大国税局的服务,GCKey并无法存取CRA服务。
加拿大政府表示,黑客是藉由凭证填充攻击来窃取GCKey及CRA凭证,利用先前已泄露的资料,再加上使用者习惯在不同的服务上使用同样密码的特性,取得了9,041个GCKey凭证与5,500个CRA凭证,且已企图利用这些凭证存取相关服务。
在察觉攻击事件后,加拿大政府也规劝使用者于不同的服务,不要采用同样的密码。
参考来源:iThome http://dwz.date/cdDN
(十三)思科披露网络设备中关键静态密码漏洞
近日Cisco披露了影响其ENCS 5400-W系列和CSP 5000-W系列设备的严重漏洞,因其软件包含具有默认静态密码的用户帐户。
在内部测试期间,Cisco发现其虚拟广域应用服务(VWAAS)与Cisco Enterprise NFV基础设施软件(NFVIS)捆绑在一起,这些设备的映像具有固定密码的用户帐户。
NFVIS帮助客户虚拟化Cisco网络服务,例如其集成服务虚拟路由器、虚拟WAN优化、虚拟ASA,、拟无线LAN控制器和下一代虚拟防火墙。默认密码意味着没有凭据的远程攻击者可以使用管理员权限登录易受攻击设备的NFVIS命令行界面。如果受影响的设备运行的是带有NFVIS捆绑映像版本6.4.5或6.4.3d及更早版本的vWAAS,则受影响设备的客户需要应用思科的更新。
目前没有解决办法,所以更新是客户填补该漏洞的唯一方法,该漏洞的严重程度评级为9.8(满分10分),并被跟踪为CVE-2020-3446。
思科列出了四种条件,攻击者可以根据这些条件连接到NFVIS CLI,具体取决于客户如何配置设备:
l 受影响的ENCS 5400-W系列设备上CPU的以太网管理端口。如果配置了路由IP,则可以远程访问此接口。
l 受影响的CSP 5000-W系列设备上四端口I350 PCIe以太网适配器卡上的第一个端口。如果配置了路由IP,则可以远程访问此接口。
l 到vWAAS软件CLI的连接和一个有效的用户凭据,以便首先在vWAAS CLI上进行身份验证。
l 与ENCS 5400-W系列或CSP 5000-W系列设备的Cisco集成管理控制器(CIMC)接口的连接,以及一个有效的用户凭证,该凭证首先需要对CIMC进行身份验证。
思科还发布了两个更高级别的公告,可以通过安装最近发布的软件更新来解决。多个漏洞会影响Cisco的Video Surveillance 8000系列IP摄像机,并且可能允许未经身份验证的攻击者与易受攻击的摄像机位于同一广播域中,将其脱机。 漏洞位于开放系统互连(OSI)网络模型中的Cisco发现协议,第2层或数据链路层协议中。
思科在针对漏洞CVE-2020-3506和CVE-2020-3507的通报中解释道:“攻击者可以通过向目标IP摄像机发送恶意的Cisco发现协议数据包来利用这些漏洞。成功的利用可能使攻击者在受影响的IP摄像机上执行代码,或使其意外地重新加载,从而导致拒绝服务(DoS)状态。”
如果Cisco摄像机运行的固件版本低于1.0.9-4,并且启用了Cisco发现协议,则它们会受到攻击。同样,客户需要应用思科的更新来保护该型号,因为没有解决办法。
此错误由奇虎360 Nirvan团队的Chen Chen报告给Cisco。但是,思科指出,它不知道有任何利用此漏洞的恶意活动。
第二个高度重要的通报涉及影响Cisco Smart Software Manager本地或SSM本地的权限提升漏洞,漏洞编号为为CVE-2020-3443,严重程度评分为8.8分。
在内部测试中,思科发现经过身份验证的远程攻击者可以将其权限提升为管理角色,并以更高的权限执行命令,从而授予攻击者对设备的完全访问权限。
该漏洞影响早于版本8-202004的所有思科本地SSM版本。它还会影响所有6.x Cisco Smart Software Manager附属版本。这些都是同样的产品。客户需要安装思科的更新,因为没有可用的解决方法。
在修补严重和高度严重漏洞的同时,该公司还发布了对另外21个中等严重漏洞的修复。
参考来源:ZDNet http://dwz.date/cd5U
(十四)日本科技公司柯尼卡美能达(Konica Minolta)遭受勒索软件攻击
日本跨国技术公司柯尼卡美能达(Konica Minolta)在7月30日遭受了勒索软件攻击,对其服务造成了近一周的影响。
从2020年7月30日开始,客户开始报告访问该公司的产品供应和支持站点时出现的辅助功能问题。该公司表示,“柯尼卡美能达MyKMBS客户门户暂时不可用。我们正在努力解决这一问题,并对由此可能给您带来的不便表示歉意。如果您需要立即服务,请拨打我们的全球客户服务电话1-800-456-5664(美国)或1-800-263-4410(加拿大)。”
停机持续了整整一周,一些柯尼卡美能达打印机也显示“服务通知失败”错误。
在一些客户声称他们的柯尼卡联系人表明是漏洞导致了停机之后。
据消息人士透露, 其收到了标题为 !! KONICA_MINOLTA_README !!.txt的勒索记录副本,该公司受到了一种名为RansomEXX的新勒索软件的攻击。勒索软件对文件进行了加密,并在其文件名后附加了扩展名“.K0N1M1N0”。RansomEXX是人工操作的勒索软件,这意味着攻击者在获得对目标网络的访问权限后手动感染了系统。
2020年6月,同样的勒索软件也被用于攻击德克萨斯州交通部。好消息是,与其他勒索软件家族不同,RansomEXX勒索软件似乎没有在加密目标系统之前就泄露数据。
柯尼卡美能达是一家日本跨国技术公司,总部位于东京千代田区丸之内,在全球49个国家设有办事处。该公司生产用于商业印刷市场的商业和工业成像产品,包括复印机,激光打印机,多功能外围设备(MFP)和数字打印系统。这家跨国商业技术巨头拥有近44,000名员工,2019年的收入超过90亿美元。
参考来源:SecurityAffairs http://dwz.date/cdEk
(十五)世界上最大邮轮运营商嘉年华遭受勒索软件攻击
全球最大的游轮运营商嘉年华(Carnival )17日披露,其于8月15日遭受了勒索软件攻击,攻击者“访问并加密了一个品牌的信息技术系统的一部分”,入侵者还从公司的网络下载了文件。
嘉年华表示,其已开始对违规行为进行调查,并通知执法部门,并与法律顾问和事件响应专家进行了接触。根据对事件的初步评估,嘉年华表示,预计袭击者获得了一些客人和员工的个人数据。尽管可能存在潜在的诉讼,该公司表示,预计这一事件不会对其“业务、运营或财务业绩产生实质性影响”。嘉年华没有透露有关事件本身的任何细节,比如用来加密其网络的勒索软件的名称,或者其众多内部网络/品牌中的哪个受到了影响。
如今,嘉年华公司已成为全球最大的邮轮运营商,拥有超过15万名员工和600艘船只,拥有嘉年华邮轮、公主邮轮、荷兰美国邮轮、Seabourn、P&O邮轮(澳大利亚)、科斯塔邮轮、AIDA邮轮、P&O邮轮(英国)和Cunard等多个邮轮品牌。
今年早些时候,也就是3月份,该公司披露了另一起安全漏洞,显示入侵者在2019年4月至6月期间进入了其内部网络,并从那里窃取了一些客人的个人信息。
参考来源:ZDNet http://dwz.date/cdCX
(十六)美国大型酒业企业Brown-Forman遭受勒索软件Sodinokibi攻击窃取1TB数据
Sodinokibi(Revil)勒索软件运营商8月14日宣布,其已侵入美国最大的烈性酒和葡萄酒业务公司之一Brown-Forman的网络,并声称已经窃取了1TB的机密数据,并计划将其拍卖最敏感的信息,并泄露其余信息。其获取的数据包括机密员工信息、公司协议、合同、财务报表和内部消息。
Brown-Forman是烈性酒和葡萄酒行业最大的美国独资公司之一,该公司总部设在肯塔基州路易斯维尔,生产多个世界知名品牌,包括Jack Daniel‘s、Early Times、Old Forester、Woodford Reserve、GlenDronach、BenRiach、Glenglassaugh、Finlandia、Herradura、Korbel和Chambord。
Sodinokibi勒索软件运营商宣布,他们已经花了一个多月的时间检查该公司的基础设施。作为黑客攻击的证据,Sodinokibi勒索软件运营商在他们的泄密网站上发布了多个屏幕截图,显示了据称属于该公司的目录和文件,以及一些员工之间的内部对话。威胁参与者还在2020年7月发布了数据库备份条目的屏幕截图。
通过此公告,Revil运营商的目的是迫使Brown-Forman支付赎金。
Brown-Forman在一份声明中披露了这一事件,并表示能够防止其系统被加密,这表明涉及了勒索软件。该公司只披露了事件的几个细节,包括事件发生的时间,以及黑客是如何获取数据的。该公司向政府报告了这一事件,并聘请了世界一流的第三方数据安全专家来调查此事件,并尽快解决这此问题。目前Brown-Forma没有积极的谈判,但怀疑一些信息已经曝光。
Brown-Forman发言人表示,Brown-Forma是一次网络安全攻击的受害者。在发现攻击后的快速行动防止了公司系统被加密。不幸的是,我们认为包括员工数据在内的一些信息受到了影响。目前公司正在与执法部门以及世界级的第三方数据安全专家密切合作,以尽快缓解和解决这种情况。
如果公司愿意支付赎金,威胁行为者承诺将会删除所有数据副本。Sodinokibi运营商发帖称:“我们仍然相信BROWN-FORMAN的谨慎态度,并在等待他们继续讨论摆脱这种情况的方法。”
参考来源:SecurityAffairs http://dwz.date/cdF4
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,关键信息基础设施,安全周报
相关信息
2022-09-16
2022-09-09
2022-09-02
