关键信息基础设施安全动态周报【2019年第13期】
发布时间:
2019-11-07
来源:
作者:
访问量:
49
目 录
第一章 国内关键信息基础设施安全动态简讯
(一)《中华人民共和国密码法》正式通过
(二)我国多个重要单位遭受印度APT组织Bitter攻击
(三)sodinokibi勒索病毒大量攻击中韩企业
第二章 海外关键信息基础设施安全动态简讯
(一)印度核电站网络发现朝鲜恶意木马Dtrack
(二)黑客大赛Pwn2Own将包含工业控制系统
(三)美国犹他州首例风能及太阳能电网遭受网络攻击
(四)南非约翰内斯堡再次遭到勒索软件攻击
(五)亚马逊AWS遭受DDoS攻击
(六)格鲁吉亚遭遇大规模网络攻击
(七)法律案件管理软件平台TrialWorks遭受勒索软件攻击
(八)Adobe Creative Cloud泄露750万条用户数据记录
(九)意大利银行UniCredit泄露300万客户数据
第一章 国内关键信息基础设施安全动态简讯
(一)《中华人民共和国密码法》正式通过
2019年10月26日,我国首部密码法获十三届全国人大常委会第十四次会议26日表决通过,将自2020年1月1日起正式施行。
作为我国密码领域的综合性、基础性法律,该法案将有效规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平。《密码法》的颁布,将对加快我国密码产业科学发展产生积极意义:
1、进一步加强党对密码工作的绝对领导,确保党的主张通过立法程序成为国家意志;
2、实现依法管理,为全面推进密码工作的法制建设打下基础;
3、切实维护国家网络与信息安全,有效防范和打击密码违法犯罪活动;
4、规范密码市场秩序,坚持发展与安全并重,为我国密码产业科学发展提供法律保障。
本文版权归原作者所有,参考来源:新华社
(二)我国多个重要单位遭受印度APT组织Bitter攻击
2019年10月27日,推特用户@MisterCh0c发布消息称发现了一款木马控制平台的登录地址http://lmhostsvc[.]net/healthne/login.php,10月28日,另一用户@sS55752750回复该信息并配有一张后台页面图片,根据图片发现该后台至少记录了12台被控主机的IP地址、计算机名、用户名、操作系统、被控时间及最后一次上线时间等信息。
核实发现,相关域名属于印度政府背景APT组织Bitter所有,于2019年9月26日已经识别,且近期已捕获该域名相关多个木马样本。通过云沙箱查询发现,相关木马启动后的回传信息如下:
a=vbccsb-PC
b=VBCCSB-PC
c=Windows 7 Ultimate
d=vbccsbvbccsb1a86a5ed-85f2-4731-b953-cd4bb615f8531565536040965860&e=
由此可知与此次曝光平台展示的信息完全一致。而对该后台分析发现,目前记录的18个IP地址中9个属于中国,主要涉及北京、上海、浙江、广西等地,该平台还具备下发木马插件的功能,可对受控主机实施进一步操作,相关信息如下所示:
建议受影响企业高度重视此次事件,并结合内部DNS记录,排查与主控域名存在通信的相关内部主机,对该组织的攻击活动进行持续检测和防范。
本文版权归原作者所有,参考来源:微步
(三)sodinokibi勒索病毒大量攻击中韩企业
近期某威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。中招用户被勒索0.15个比特币(市值7800元人民币),中招企业主要集中在广东、山东、江苏、上海、北京等地,主要受害企业包括IT公司、科研和技术服务机构,以及传统制造企业。
钓鱼邮件伪装成以“偿还债务”、“支付汇款建议”为主题,并在附件中添加包含勒索病毒的压缩文件,中文版为“您的账号.zip”、韩文版为“송장 10.2019.zip”,解压后分别为“付款发票.xls.exe”、“10 월 송장.xls.exe”,都是伪装成表格文件的sodinokibi勒索病毒。从钓鱼邮件内容格式、主题和投递的样本类型来看,此次针对中国和韩国的攻击为同一来源。
sodinokibi勒索病毒出现于2019年4月底,早期使用web服务相关漏洞传播。病毒主要特点为对使用到的大量字串使用RC4算法进行加密,使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程,加密后修改桌面背景为深蓝色并创建勒索文本-readme.txt,被该病毒加密破坏的文件暂时无法解密。
安全专家提醒用户务必小心处理来历不明的邮件,推荐修改系统默认的文件查看方式,选择查看已知文件类型的扩展名,就可以简单识别那些伪装成doc、xls文档图标的危险程序。根据某威胁情报中心数据,在一天之内攻击者使用伪造的近1000个邮箱地址针对国内目标发送超过5万封钓鱼邮件,此次邮件传播的Sodinokibi勒索病毒受害最严重地区为广东、山东、江苏、上海、北京等地。
本文版权归原作者所有,参考来源:嘶吼
第一章 海外关键信息基础设施安全动态简讯
(一)印度核电站网络发现朝鲜恶意木马Dtrack
2019年10月30日,印度核电公司(NPCIL)证实,一家印度核电站Kudankulam核电站(KNPP)的网络感染了朝鲜政府支持的黑客的恶意软件。恶意软件样本包括KNPP内部网络的硬编码凭据,这表明该恶意软件经过专门编译以在电厂的IT网络内部传播和运行。几位安全研究人员认为该恶意软件为Dtrack的一种版本,Dtrack是由朝鲜精英黑客组织Lazarus Group开发的后门木马。
最初,KNPP官员否认他们遭受了任何恶意软件感染,发表声明将这些推文描述为“虚假信息”,并且对发电厂进行网络攻击是“不可能的”
但是今天,KNPP的母公司NPCIL 在另一份声明中承认存在安全漏洞。声明表示,NPCIL系统中的恶意软件识别是正确的。NPCIL表示,该恶意软件仅感染了其管理网络,但未到达其关键的内部网络,该内部网络用于控制发电厂的核反应堆。NPCIL表示这两个网络是孤立的。此外,NPCIL表示他们在9月4日首次发现该恶意软件时就收到了来自印度CERT的通知,并且他们在报告时已对此事进行了调查。
根据俄罗斯反病毒制造商卡巴斯基对Dtrack恶意软件的分析,该木马具有以下功能:键盘记录、检索浏览器历史记录、收集主机IP地址、有关可用网络和活动连接的信息、列出所有正在运行的进程、列出所有可用磁盘卷上的所有文件。
从其功能可以明显看出,Dtrack通常用于侦察目的,并用作其他恶意软件有效载荷的投递器。以前的Dtrack样本通常出现在出于政治动机的网络间谍活动和对银行的攻击中。从历史上看,Lazarus或任何其他朝鲜黑客组织很少攻击能源和工业领域的目标,他们追求的是专有知识产权,而不是破坏。
朝鲜大部分的进攻性黑客努力都集中在深入了解外交关系、追踪逃离朝鲜的前朝鲜公民、或黑客入侵银行和加密货币交易所为平壤政权筹集资金以为其武器和导弹计划筹集资金。KNPP事件看起来更像是意外感染,而不是精心计划的手术。自从卡巴斯基上个月报道说,Lazarus集团已经发现在印度分布Dtrack和AMDtrack版本以瞄准其金融部门以来,情况似乎尤其如此。
天地和兴安全研究院翻译整理,参考来源:ZDNet
(二)黑客大赛Pwn2Own将包含工业控制系统
2020年1月,黑客大赛Pwn2Own将在迈阿密South Beach举行。这一届大赛将首次将工业控制系统ICS及相关协议加入比赛项目。Pwn2Own是世界知名的黑客大赛,此前多将Web浏览器及loT设备作为比赛对象。
白帽黑客将有机会在五个类别中打破ICS安全性,包括:
控制服务器–涵盖服务器解决方案,这些解决方案可跨可编程逻辑控制器(PLC)和其他现场系统提供连接,控制和监视
DNP3网关–涵盖ICS组件之间使用的一组通信协议
工程工作站软件(EWS)–涵盖PLC等主要控制设备以及基于角色的机制
人机界面(HMI)/操作员工作站–涵盖了将操作员连接到工业设备和Web服务器组件的仪表板,这些设备也可能受到基于Web的攻击的影响
OPC统一体系结构(OPC UA)服务器–涵盖了几乎所有ICS产品用于在供应商系统之间发送数据的“ICS世界中的通用转换器协议”
主办方为上述五个类别中的八个目标分配了超过25万美元的奖金。为了全面了解ICS的不同方面,根据系统的广泛使用以及与研究人员和ICS社区的相关性来确定类别。黑客将有机会研究各种漏洞的特定设备,包括导致未经身份验证的崩溃或拒绝服
务(DoS),远程代码执行和信息泄露的漏洞。
趋势科技的零日计划(ZDI)是Pwn2Own背后的漏洞赏金计划,长期以来因奖励发现以前未知的软件漏洞的研究人员而闻名。ZDI 在2018年购买的零日ICS软件漏洞比上一年增加了224%。此外,趋势科技报告发现,2019年上半年披露的大多数漏洞与ICS中使用的软件有关,包括监督控制和数据采集(SCADA)环境中的HMI。HMI是希望破坏业务运营的威胁参与者的主要目标,因为它们被用作管理关键基础架构和监视不同控制系统的中心。
天地和兴安全研究院翻译整理,参考来源:Trend Micro
(三)美国犹他州首例风能及太阳能电网遭受网络攻击
2019年10月31日,E&E News报道了美国首例再生能源提供商sPower遭受网络攻击的事件。sPower是位于美国犹他州的可再生能源提供商,该公司是有史以来美国首家遭受网络攻击的太阳能及风能提供商,及首家因网络攻击与发电设备失联的电网运营商。
E&E News是一家针对能源与环境专业人士的新闻媒体,今年4月首次报道了该该网络攻击细节,并在9月追踪报道了该事件的原因,今日透露了该公司的名称——sPower。
根据《信息自由法》(FOIA)的要求,该网站已提交给能源部备案。今年3月5日,攻击者利用Cisco防火墙中的漏洞使设备崩溃。断开sPower的风力和太阳能发电装置与公司主要指挥中心之间的连接。攻击似乎也并非针对性。这些文件显示,在最初的攻击使未打补丁的防火墙崩溃之后,黑客没有继续进行攻击,也没有破坏sPower的网络。
sPower表示,他们通过修补过时的设备来减轻入侵。sPower发言人没有立即就此事件的更多细节发表评论。
天地和兴安全研究院翻译整理,参考来源:ZDNet
(四)南非约翰内斯堡再次遭到勒索软件攻击
近日,黑客组织Shadow Kill Hackers勒索了南非最大城市约翰内斯堡,要求约翰内斯堡政府提供4个比特币作为赎金,否则他们将窃取的政府数据上传到互联网上。勒索者的最后期限是当地时间10月28日下午5点。
黑客在勒索通知中表示:“你的服务器和数据已被黑客入侵。我们在城市内部有许多后门。我们可以控制城市的所有事物。我们还掌握了所有密码和敏感数据,比如金融和个人信息。”这条信息出现在政府工作人员电脑的登录页面上。
约翰内斯堡政府立即做出反应,关闭了所有IT基础架构,例如网站、支付门户和其他电子服务,并通过该市的官方Twitter
帐户确认了攻击行为。
最初,员工认为只有他们的电脑勒索软件攻击的受害者,但后来发现政府的服务器也被攻击。此外,黑客组织在Twitter上发布截图,显示他们可以访问该市的Active Directory服务器,
甚至声称他们是在停用DNS服务器后关闭了该网站的人。
在约翰内斯堡市政府的Twitter帐户上发布的更新中说,关键系统正在恢复中,并且呼叫中心,网站和电子服务平台暂时保持离线状态。但是,电子转帐和第三方支付服务可用于市政帐户支付,建议客户推迟对区域服务中心的访问。截至2019年10月28日08:30,约翰内斯堡市政府表示不会支付赎金,并且将尝试自行恢复系统的全部功能。
天地和兴安全研究院翻译整理,参考来源:Bleeping Computer
(五)亚马逊AWS遭受DDoS攻击
2019年10月23日,亚马逊网络服务(AWS)在其官方
Twitter上表明他们遭受了一次重大的DDoS攻击,导致一些客户无法访问其AWS S3存储。用户间歇性地无法访问遭受攻击的Amazon基
础架构在线服务。
根据公司状态页面,黑客将AWS DNS服务器作为目标,使大量网络流量泛滥。攻击持续了约8个小时,在太平洋夏令时间10:30 AM到6:30 PM之间,但是一些DNS名称受到攻击 问题 从下午5:16开始。该公司报告了Route 53和外部DNS提供商间歇性的DNS解析错误,并且还向用户通知了正在进行的DDoS攻击。
AWS发给用户的通知写到:我们正在调查偶发DNS解析错误的报告。AWS DNS服务器当前受到DDoS攻击。我们的DDoS缓解措施正在吸收大量此类流量,但是这些缓解措施目前还标记了一些合法的客户查询。我们正在积极研究其他缓解措施,并跟踪攻击源以将其关闭。受此事件影响的Amazon S3客户可以更新其访问S3的客户端的配置,以在提出减轻影响的请求时指定其存储桶所在的特定区域。
尝试访问AWS服务的用户将被跳转到其状态页面。攻击还影响了许多公司,包括Digital Ocean,后者在访问Droplet内的S3 / RDS资源时遇到了问题。
该公司在10月22日的事件状态页面上写到:我们的工程团队将继续监视影响所有地区对S3 / RDS / ELB / EC2资源的可访问性的问题。目前所有受影响的系统均已恢复,并已发布事件报告。
天地和兴安全研究院翻译整理,参考来源:Security Affairs
(六)格鲁吉亚遭遇大规模网络攻击
2019年10月28日,格鲁吉亚遭受了大规模网络攻击,超过15000个网站遭到攻击被迫离线。这次袭击认为是该国历史上最大的一次袭击,影响了当地多个政府机构、银行、法院、报纸和电视台。
本地网络托管服务提供商Pro-Service已挺身而出,对这一问题负责,他承认黑客破坏了其网络并关闭了客户网站,实际上导致了今天的停机。Pro-Service负责人表示攻击发生在清晨,并且在当地时间晚上8点之前,工作人员已经恢复了受灾站点的一半以上。
今日发生在格鲁吉亚的的网络攻击引起了相当大的恐慌,尽
管攻击并非特别复杂。用网络安全术语来说,这是经典的“网站破坏”,这是一种黑客类型,攻击者通常出于特定原因用自己的内容替换网站的原始内容。在今日的黑客攻击中,攻击者在各网站顶部张贴了前格鲁吉亚总统米哈伊尔·萨卡什维利(Mikheil
Saakashvili)的图像, 并配有文字“我会回来”。
根据Imedi电视台新闻负责人Irakli Chikhladze 的Facebook帖子,在袭击发生后,至少有两个电视台(TV Imedi和Maestro电视台)停播了。同时电视频道Pirveli也受到了影响,但没有停播。一些其他报纸网站仍处于离线状态。目前攻击的黑客尚未确定,格鲁吉亚政府已经开始调查此事件。
天地和兴安全研究院翻译整理,参考来源:ZDNet
(七)法律案件管理软件平台TrialWorks遭受勒索软件攻击
2019年10月13日,TrialWorks 成为勒索软件攻击对象,TrialWorks是为律师事务所和律师提供的最高级法律案件管理软件提供商之一。受此事件影响,律师无法访问TrialWorks平台上托管的法律文件。
首先,TrialWorks通知了其客户其数据中心的主机中断。在通知中该公司表示,攻击事件发生在10月13日,目前该问题已得到解决,有关情况将会更新。第二天的一封电子邮件提供了有关事件命名勒索软件的更多详细信息,及遭受勒索软件被迫中断的原因。在邮件中写道:感谢您一直以来的耐心,我们在TrialWorks勒索软件事件发生后不懈地努力恢复了数据访问。该公司正在与多个顶级网络安全公司合作。在确保系统安全之后,该公司将逐渐恢复在线状态,并且只有部分客户有访问权限,直到过程完成为止。然而TrialWorks并未公开公布勒索软件事件,而是通过电子邮件将情况及其处理方式告知客户。
目前尚不清楚该事件的勒索软件,但疑似是REvil / Sodinokib。目前有多起受到REvil / Sodinokib勒索软件攻击的事件,攻击目标多是企业、托管软件提供商、及政府等,因其能够承受巨额的赎金。
受此事件影响,有多家律师事务所被迫要求法院延长提交支持其案件的文件的截止日期。位于SpringHill 的 Whittel&Melton的管理合伙人表示该公司的一位律师被迫要求延期,以便在联邦案件中作出回应,理由是TrialWorks的中断导致该案无法访问关键文件。另外一家位于加利福尼亚Woodland Hills的律师事务所的律师也不得不要求更多的时间,因为他们没有从TrialWorks获得保证,在恢复案件之前将恢复对案件工作文档的访问。申请日期的截止日期已过期。
有些客户在10月17日恢复了访问,而有些客户则等到10月22日才能恢复访问。这种恢复时间不同的原因是,即使支付了赎金并且可用了解密密钥,从勒索软件攻击中恢复也要花费时间,还原的文件数量在操作中起着重要的作用。
TrialWorks首席客户代言人Patrice Gimenez在给客户的电子邮件中说,该公司吸取了教训,并致力于花费所有资源来解决当前问题并防止其再次发生。
天地和兴安全研究院翻译整理,参考来源:Bleeping Computer
(八)Adobe Creative Cloud泄露750万条用户数据记录
2019年10月25日,Adobe发表声明承认Adobe Creative Cloud泄露了用户数据。Adobe Creative Cloud泄露了750万条用户数据。该数据不受任何方式的保护,无需密码允许任何人访问信息。
泄露的用户详细信息包括电子邮件地址、Adobe成员ID(用户名)、国家以及他们使用的Adobe产品。其他信息还包括帐户创建日期,登录的最后日期,该帐户是否属于Adobe员工以及订阅和付款状态。泄露的信息不包括密码或财务信息。尽管所包含的详细信息不是很敏感,但可以将其用于针对暴露数据的客户发起更精心设计的网络钓鱼活动。
目前尚不清楚这些细节会暴露多久,但是发现它的研究员Bob Diachenko估计,任何人都可以免费使用它们大约一周的时间。Diachenko于10月19日向Adobe报告了他的发现,该公司在同一天保护了Elasticsearch数据库。Diachenko通过主动扫描网络以搜索不安全的数据库,发现了Adobe的开放式Elasticsearch服务器。
根据研究人员提供的截图,缓存的大小接近86GB。
Diachenko的截图显示了无需身份验证即可访问的详细信息。其中包括电子邮件地址,创建帐户的日期,客户使用的产品以及付款状态。
数据库中存储的其他可能影响欺诈成功的详细信息包括:订阅状态、用户是否为Adobe员工、会员编号、国家、自上次登录以来的时间。
Adobe发表的声明将该事件归咎于原型环境的错误配置。该公司立即关闭了配置错误的环境,以解决该漏洞。
天地和兴安全研究院翻译整理,参考来源:Bleeping Computer
(九)意大利银行UniCredit泄露300万客户数据
2019年10月28日,意大利的全球银行和金融服务公司UniCredit宣布其发生了一起安全事件,该事件泄漏了至少300万意大利国内客户的一些个人信息。UniCredit正式成立于1870年,是意大利最大的银行和金融服务商,也是欧洲领先的商业银行之一,在17个国家/地区拥有8,500多家分支机构。
尽管UniCredit并未透露有关数据事件如何发生的任何细节,但该银行确认,一个未知的攻击者已经破坏了2015年创建的文件,该文件包含意大利客户有关的300万条记录,其中包括:姓名、城市、电话号码、电子邮件地址。Unicredit确认,受感染的用户记录中没有包含任何其他允许攻击者访问客户帐户或允许未经授权交易的个人数据或银行详细信息。
公司立即展开了内部调查,以调查事件并核实违规的程度,并通知所有有关当局,包括执法部门。该公司还开始通过在线银行通知和/或邮寄联系所有可能受影响的客户。该银行还表示,已设置了额外的安全控制措施,以加强其客户数据的安全性。
受影响的客户应该主要是网络钓鱼电子邮件,网络钓鱼通常是网络罪犯的下一个步骤,他们手中会携带个人识别信息(PII),试图诱骗用户提供进一步的详细信息,例如密码和银行信息。尽管泄露的数据不包含任何银行或财务数据,但警惕并密切注意您的银行和支付卡对任何异常活动的报告并向银行报告(如果有的话)始终是个好主意。
天地和兴安全研究院翻译整理,参考来源:The Hacker News
相关信息
2022-09-16
2022-09-09
2022-09-02
