关键信息基础设施安全动态周报【2020年第11期】
发布时间:
2020-03-20
来源:
作者:
访问量:
36
目 录
第一章 国内关键信息基础设施安全动态
(一)信安标委发布《网络安全标准实践指南—远程办公安全防护》
第二章 国外关键信息基础设施安全动态
(一)美国卫生与公共服务网络遭受DDoS攻击
(二)捷克最大冠状病毒实验室遭受网络攻击
(三)出于网络安全担忧,美国放弃引进导弹系统计划
(四)针对企业的勒索软件攻击大多数发生在非工作时间
(五)利用冠状病毒为主题的攻击发展趋势
(六)冠状病毒攻击针对教育领域五个需要警惕的问题
(七)法国警告新型勒索软件团伙针对地方政府
(八)安全专家发现新型勒索软件PXJ Ransomware
(九)多个勒索软件在新型冠状病毒流行期间停止攻击医疗组织
(十)法国马赛市政厅遭受大规模网络攻击
(十一)金融服务公司泄漏425G敏感客户财务数据
第一章 国内关键信息基础设施安全动态
(一)信安标委发布《网络安全标准实践指南—远程办公安全防护》
全国信息安全标准化技术委员会秘书处针对远程办公安全问题,组织相关厂商和安全专家,编制了《网络安全标准实践指南—远程办公安全防护》。《实践指南》旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。
《实践指南》给出了远程办公的典型应用场景,分析了远程办公可能面临的办公系统自身安全、数据安全、设备安全和个人信息保护等风险,针对远程办公系统的使用方和用户,分别给出了安全控制措施建议。其中,使用方应在管理和技术两方面开展安全防护,健全远程办公管理制度,加强运维管理,强化安全措施。用户应提高自身安全意识,重点针对设备、数据、环境等方面的安全风险进行防护。
《实践指南》列举了远程办公的主要安全风险,其中包括:供应方安全风险、远程办公系统自身安全风险、数据安全风险、设备风险、个人信息保护风险、网络通信风险、环境风险、业务连续性风险、人员风险。
《实践指南》为远程办公的使用方和用户提供安全指导。远程办公使用方指的是使用远程办公系统的组织,包括政府部门、科研机构、企事业单位等。《实践指南》提出使用方在供应方和远程办公系统选择上“应充分评估远程办公系统的安全性”。在管理制度上,“应制定远程办公安全操作细则,定期开展远程办公安全教育和培训,提升用户安全意识”。
此外,《实践指南》对远程办公系统安全作了详细分类和论述,比如服务端安全,包括在线会议安全、即时通信安全、文档协作安全、接入安全等;客户端安全,包括应用程序安全和浏览器应用安全。
本文版权归原作者所有,参考来源:信安标委 https://dwz.cn/Hj3bZIY9
第二章 国外关键信息基础设施安全动态
(一)美国卫生与公共服务网络遭受DDoS攻击
3月15日晚上,美国卫生和公共服务部HHS遭受网络攻击,企图使该部门服务器脱机。自疫情爆发以来,人们搜索有关冠状病毒的流行情况的次数激增,因此HHS网站成为目标并不奇怪。
然而,当黑客通常同时向某个网站或特定IP地址发送大量连接时,DDoS攻击会使服务器崩溃,使其无法访问,从而导致连接失败。虽然该事件旨在减缓该机构系统的工作,并影响有关大流行病的一般问题报告,但并未发生。国家安全委员会否认了有关隔离和国家封锁以阻止恐慌的谣言。政府确认这起事件是由外国发起袭击。
该攻击只是试图破坏HHS对冠状病毒危机的反应。这些外国威胁组织的目的是干扰应对冠状病毒爆发的主导机构的关键职能。DDoS是自动化的,可以压垮面向公众的系统,从而减慢甚至瘫痪所有活动。
然而,这次失败的攻击仍然引起一些关注,因为外国势力可以利用这场危机,达到其他针对美国的目标。目前,分析仍在确定活动的起源并特别指出来源的过程中。政府担心事件可能与俄罗斯有关,因为行动者有很大机会利用当前局势在该国制造更多混乱。联邦政府表示正在对此事件进行彻底调查。
冠状病毒大流行的情况已蔓延到全球,世界各地的人们都在继续恐慌。犯罪分子试图利用这种情况,因此网络钓鱼攻击、勒索软件感染和其他恶意软件分布活动变得越来越普遍。
在卫生专业人员对抗疫情的同时,网络安全专家需要加强对网络的关注,确保黑客不会造成混乱和通信方面的更多问题。这些攻击者最主要的目标是向公众提供信息的机构,以及直接为人们提供帮助的医疗行业。这些DDoS攻击和鱼叉式网络钓鱼活动会引发更多与数据访问和泄露有关的问题,因此有限的社交活动也应该鼓励人们保持网络安全。
天地和兴工控安全研究院翻译整理,参考来源:2-spyware https://dwz.cn/hlPgVubX
(二)捷克最大冠状病毒实验室遭受网络攻击
3月13日,捷克负责对新型冠状病毒进行测试的布尔诺大学医院表示,其计算机系统遭到了网络攻击。目前尚不清楚该黑客攻击是否会影响该医院检测新型冠状病毒病毒的能力,但此事件提醒人们,网络攻击有可能加剧全球健康危机。
捷克第二大布尔诺医院在推特上表示: “基本的手术已经保留,一些计算机系统受到限制,一些预定的手术不得不推迟。”
目前无法联系到该医院发言人,有关攻击的性质和来源的详细情况尚不清楚。根据该医院网站信息,这家捷克第二大医院是由卫生部管理的。据捷克媒体报道,该机构一直在对新型冠状病毒进行定期检测。
独立的网络安全研究人员和顾问奥莱尼克表示,“在当前病毒流行时期,医疗机构遭受的网络攻击比以往更加不受欢迎,即使离线医疗程序能够正常工作,减少容量也意味着工作可能会比平时慢。
普华永道驻布拉格的网络事件响应者PetrŠpiřík说,该事件是对脆弱部门进行的更广泛网络攻击模式的一部分。对医院部门以及整个公共部门攻击成功率提升的根本原因是IT安全基础设施的总体资金不足。
成功攻击的水平上升的根本原因是IT安全基础设施的总体资金不足。这意味着容易受到攻击者攻击的过时系统。
犯罪分子和有国家背景的黑客组织都利用冠状病毒流行引发的恐慌和不确定性发起攻击,对此世界卫生组织和美国网络安全局都发出警告。
天地和兴工控安全研究院翻译整理,参考来源:cyberscoop https://dwz.cn/7lSmt5IH
(三)出于网络安全担忧,美国放弃引进导弹系统计划
因为担心网络安全问题。美国已经放弃了引进以色列制造的导弹系统的计划。2019年,美国陆军花费3.73亿美元购买了两组“铁穹”导弹。因以色列拒绝交出该系统的源代码,故2023年再花费6亿美元购买两个新电池和铁穹部件的计划已被取消。如果没有源代码,军队将无法将电池与其他防空系统集成。 军方担心如果不能整合电池会造成严重的网络安全漏洞。
3月5日,陆军未来司令部迈克·默里将军在接受众议院军事战术空军和地面部队小组委员会的采访时表示,采购这批电池所需的时间比预计的还要长。默里认为,不能基于一些互操作性挑战,一些网络安全挑战和其他挑战将它们集成到防空系统中。因此,最终得到的是两个独立但无法集成的电池。
去年,试图将铁穹系统与美国陆军的综合作战指挥系统(IBCS)集成的尝试引发了包括网络安全问题在内的多项挑战。 默里表示,“要将铁穹集成到分层防空体系中,并使铁穹顶与其他系统和其他雷达(特别是Sentinel雷达)进行对话是异常困难的。可能大家会看到的是两个独立系统,最好的情况是可以做成独立系统。”
美军购买的两枚铁穹顶电池包括12个发射器、两个传感器、两个战备管理中心和240个拦截器。
2011年4月,以色列首次在贝尔谢巴郊外部署“铁穹”。该系统由拉斐尔高级防御系统公司、 以色列航空航天工业公司和雷神公司建造,雷神公司生产美国制造的爱国者导弹系统。2012年美国国会同意向以色列提供15亿美元,用于开发和生产铁穹系统时,该系统的资金主要来自美国纳税人。
天地和兴工控安全研究院翻译整理,参考来源:infosecurity https://dwz.cn/unp6USKk
(四)针对企业的勒索软件攻击大多数发生在非工作时间
3月16日,美国网络安全公司FireEye发布报告,表示针对企业的绝大多数勒索软件攻击事件发生在正常工作时间之外,即在夜间或周末进行的。企业部门所有勒索软件攻击事件中的76%发生在工作时间以外,其中49%发生在工作日夜间,27%发生在周末。
FireEye表示,这些数字是根据2017年至2019年数十次勒索软件事件响应调查得出的。攻击者之所以选择在夜间或周末进行勒索软件加密攻击,是因为大多数公司在夜晚或周末没有IT员工在岗,而且尽管有,也没有足够的IT员工。就算勒索软件攻击触发了公司内部的安全警报,也没有员工可以立即做出反应并关闭网络,并且在公司的网络瘫痪的情况下很难定勒索软件加密过程结束之前的发生的实际情况。
FireEye表示,大多数这些偷偷摸摸在夜间或周末发生的勒索软件攻击通常是因长时间网络入侵造成的。勒索软件攻击者会破坏公司网络,花时间将它们横向转移到尽可能多的工作站,然后在所有系统上手动安装勒索软件并触发感染。从最初的威胁到实际的勒索软件攻击的时间(称为“驻留时间”)平均为三天。
对于大多数勒索软件来说,旧的操作模式是勒索软件在攻击者的要求下触发,一旦网络被感染勒索软件是不会自动触发的。而现如今,大多数勒索软件攻击者完全控制了勒索软件,他们非常谨慎地决定何时才是最合适的时间来锁定网络。
微软称这类事件为“人为勒索软件攻击”。在上周发布的一份报告中,微软提供了有关保护网络安全和建立检测规则的技巧,以在“驻留时间”内以及在触发最终有效载荷并锁定公司之前发现勒索软件。
FireEye表示,自2017年以来,人为操作的勒索软件攻击上升了860%,现在该事件不仅影响北美公司,还影响全球所有地域的所有部门。
在FireEye调查的案例中,最常见的感染方式是:互联网上针对具有RDP(远程桌面协议)端口的工作站的暴力攻击;对公司员工进行钓鱼攻击,并利用受感染的主机传播给其他人;偷渡式下载,员工访问受感染网站并下载受恶意软件感染的文件。
同时,FireEye敦促公司投资部署检测规则,以便在感染前的“驻留时间”内发现攻击者。如果网络防御者能够迅速发现并补救最初的威胁,则有可能避免重大损失和勒索软件感染的成本。
天地和兴工控安全研究院翻译整理,参考来源:ZDNet https://dwz.cn/5LCwvhZg
(五)利用冠状病毒为主题的攻击发展趋势
近日,Cybereason的研究团队正在调查多种类型的活动,这些活动专门针对以冠状病毒为主题的文件和域针对受冠状病毒影响最严重的区域。攻击者通过操纵人们对病毒的焦虑来诱使他们下载恶意软件,从而滥用流行病以获取利益。随着企业逐渐过渡到远程办公并建议员工使用VPN,攻击者分发伪装成VPN安装程序的恶意软件。
Cybereason的Nocturnus小组正在继续观察数百种网络钓鱼攻击,这些攻击使用冠状病毒为主题的文件和域来分发恶意软件并感染全世界的受害者。这些“冠状病毒”活动分发了一系列恶意软件,其中包括Emotet、RemcomRAT、ParallaxRAT、HawkEye、TrickBot、Agent Tesla等。迄今为止,最常见的技术是鱼叉式网络钓鱼攻击,该攻击使用带有冠状病毒主题的电子邮件和恶意附件。
当冠状病毒首次开始在中国传播时,Cybereason团队观察到,大多数以冠状病毒为主题的恶意文件都是从中国提交的,并且针对的是说汉语的人。随着病毒继续传播并感染更多国家,上传的数量在短短几天内就从几十个增加到数百个,每天都有来自不同国家的新文件提交。这些新上传的内容针对的是来自日本,韩国,欧洲和其他受感染国家的人群。
韩国是首批受到冠状病毒感染的国家之一,受到了多次以冠状病毒为主题的网络钓鱼攻击的攻击。他们甚至遭到伪造的勒索软件活动的攻击,这些活动实际上并未对任何文件进行加密,而是将其用作恐吓软件来威胁受害者支付钱款。
在继续追踪冠状病毒的过程中,研究人员看到中国开始恢复正常工作生活,大流行的中心转移到了欧洲,特别是意大利。随后,该病毒的爆发导致针对意大利讲者的以冠状病毒为主题的网络钓鱼活动泛滥。
攻击者采取的另一种更普遍的趋势是使用冠状病毒图来分发恶意软件。正如最近发布的那样,该地图将Azorult信息窃取程序的恶意下载隐藏到了受害者的计算机上。Azorult信息窃取者能够窃取敏感信息并将其发送回攻击者。在此攻击中,攻击者不仅将其恶意活动隐藏在地图UI中,而且还隐藏在冠状病毒主题的文件和域中。
Cybereason Nocturnus团队还跟踪增加恶意伪造VPN安装程序的可用性。随着许多企业转向远程工作以减少冠状病毒的传播,他们还敦促其员工使用VPN。攻击者通过诱骗用户下载并安装伪装成合法VPN客户端的恶意软件来利用这一转变。 Cybereason Nocturnus小组发现了一个虚假网站(fil24 [。] xyz),该网站声称提供各种合法的VPN安装程序以及适用于Facebook和Instagram等其他程序的安装程序。但是,当用户尝试下载“ VPN”时,他们将被重定向到f444 [。] xyz并下载恶意软件。
甚至移动恶意软件行业在利用冠状病毒的爆发。具有多种语言的利用疫情的恶意网站活动正在进行中,该网站误导用户下载伪装成合法应用程序的恶意软件。该“摆脱冠状病毒的方法”应用程序声称是由“世界卫生组织”创建的,旨在建立信任和真实性。但是,在下载时,该应用程序实际上是臭名昭著的Cerberus银行木马,用于窃取敏感的银行信息。
攻击者甚至利用这种大流行病来瞄准最重要的医疗机构。上周,发现了针对布尔诺大学医院的勒索软件攻击。这所大学拥有该国最大的COVID-19研究实验室之一。但是,由于恶意软件攻击,诊所的整个IT网络都被关闭,从而影响了医院的其他部门。 这种攻击使本来就很紧张的医务人员更加焦虑,这可能导致患者惊慌。在危机时期,医护人员很容易成为目标,因为他们正在寻找尽可能多的答案和有关情况的尽可能多的信息。这使它们成为网络钓鱼攻击的主要目标,不幸的是,我们希望攻击者将继续利用这种情况,并继续以破坏性攻击作为医疗保健组织的目标。
天地和兴工控安全研究院翻译整理,参考来源:cybereason https://dwz.cn/qBvcnXT6
(六)冠状病毒攻击针对教育领域五个需要警惕的问题
网络安全专家警告说,从医疗保健和消费品到银行业,与冠状病毒流行有关的网络钓鱼骗局针对所有经济部门。现在,学校也被警告要格外警惕。
K-12网络安全资源中心的创始人兼总裁道格·莱文(Doug Levin)表示,学校长期以来一直是网络钓鱼诈骗的对象:大量爆炸式的可疑电子邮件,目的是收集个人信息。近年来,他们也遭受了更复杂、更有针对性的攻击。目前冠状病毒的流行加剧了这个问题。骗子和罪犯真正理解人类的心理,指导人们希望获取更多的信息,在某些情况下,冠状病毒造成了某种程度的恐慌。这使得人们更有可能暂停对本来可能可疑的消息的判断,更有可能点击文档,因为它听起来很紧急、很重要,而且与他们相关。
以下是Levin表示教育机构需要警惕的五个要点。
1. 远程教学会使学校更容易受到影响。Levin表示,转向远程课堂是促进社交距离的重要一步,以限制冠状病毒的传播,但让学生和教师远程访问学校的网络也增加了攻击的可能性。随着越来越多的老师和学生上网,特别是如果他们是在学校外控制较少的环境中上网,学校社区的攻击面就会增加,在许多情况下,只要一个人要在学校社区中犯一个错误,就可能使整个学区网络受到感染,或者发生数据泄露。
2.不要像往常一样依赖IT支持。大量远程工作的学生和教师面临的另一个挑战是,与在线学习相关的IT问题越来越多,这将使资源从网络安全中转移出来。莱文表示,学校也倾向于拥有较旧的IT基础设施,员工在网络安全方面的培训可能不如银行和医疗保健等行业的人员。莱文表示,如果IT员工必须远程工作,而且可能还必须处理大量的低级技术支持问题,那么他们在事件开始出现时就不会那么在意。黑客通常会在学校防御系统瘫痪的混乱时间或时刻发动攻击,比如春假或开学前的时间。冠状病毒的流行是对社会的巨大破坏,足以引起人们的关注。
3.即使是小型学校也不安全。莱文强调,一个常见的误解是,规模较小的学校更安全,因为黑客认为不值得花时间瞄准只有少数学生的学区。莱文表示:“根据我在学校网络安全事件中看到的证据,罪犯和骗子根本不在乎你是谁,你在哪里,向农村小学校发送电子邮件和向大银行发送电子邮件一样容易。”
4.小心可疑链接。莱文说,在未来的几天和几周内,学校需要加倍预防措施,以防止打开来自未知或可疑地址的可疑链接和电子邮件附件。学校应该警告学生和老师,提高他们的意识,当他们收到与冠状病毒有关的信息时,要有一点怀疑态度,只是要仔细检查这些信息是从谁那里发出的,是否是他们期待的邮件,如果邮件地址是他们不认识的,或者通常不会收到信息的,我认为仔细检查邮件地址是很重要的。如果教师或学生认为他们正在收到网络钓鱼邮件,则应联系他们的IT工作人员,立即报告。
5.已经实行良好网络安全的学校应该是安全的。莱文强调,对于已经开始关注网络犯罪的学校来说,他们的预防措施应该足够了。在这时候,学校要格外警惕。如果已经有了良好的网络安全做法,则可以避免此类事件。冠状病毒大流行和随之而来的网络钓鱼诈骗应该提醒人们,网络安全需要成为学校持续计划的一部分。
天地和兴工控安全研究院翻译整理,参考来源:edweek https://dwz.cn/wg9hpU8e
(七)法国警告新型勒索软件团伙针对地方政府
法国网络安全机构近日发布警告,警告最近出现的针对地方政府当局网络的新勒索软件团伙。由法国CERT小组发布的警报指出,使用新版本的Mespinoza勒索软件(也称为Pysa勒索软件)进行的攻击数量不断上升。
在2019年10月首次发现这种勒索软件受害者。据当时的报道,受害者表示他们的数据被加密了,每一个文件末尾添加了锁定的拓展名。两个月后即2019年12月,发现了新的Mespinoza版本。该版本使用.pysa文件扩展名,所以有时候也被命名为pysa勒索软件。
在以前的Mespinoza / Pysa感染案例中,大多数受害者是公司,这表明这种新勒索软件背后的组织专门针对大型公司网络,试图最大限度地提高勒索要求和固有的利润。CERT-FR表示,Pysa团伙已经转移到针对法国组织的目标,该机构收到了多次感染的报告。
CERT-FR表示,他们仍在调查Pysa团伙如何获得受害者网络的访问权限。然而,留下的取证线索描绘了某些受感染/勒索网络中可能发生的情况。有证据表明Pysa团伙对管理控制台和Active Directory帐户发起了暴力攻击。这些暴力攻击之后,公司的帐户和密码数据库被泄露。受害者还报告表示,发现未经授权的RDP连接到其域控制器,并且部署了Batch和PowerShell脚本。此外,Pysa还部署了一个版本的PowerShell Empire渗透测试工具,停止了各种杀毒产品,甚至在某些情况下甚至卸载了Windows Defender。
CERT-FR表示,在他们分析的一个案例中,还发现了使用Pysa勒索软件的新版本。使用了.newversion文件扩展名,而不是旧的.pysa。
调查人员表示,他们还分析了勒索软件及其加密算法,没有发现任何可能使受害者绕过赎金,免费解密文件的实施缺陷。根据CERT-FR的说法,Pysa勒索软件代码特定且简短,并且基于公共Python库。
但是Pysa的攻击不仅限于法国。Emsisoft恶意软件分析师和ID-Ransomware创始人Michael Gillespie表示,Pysa勒索软件团伙还使法国境外的受害者遍及多个大洲,攻击政府和商业相关网络。
Mespinoza / Pysa是最新一个勒索软件团伙,使用“大狩猎游戏”或“人工操作勒索软件”策略,勒索软件团伙以知名目标为目标,破坏其网络,然后在其网络上手动安装勒索软件。
这种非常集中的目标定位策略与过去勒索软件团伙在2015年至2019年初使用的散弹枪方法形成了鲜明对比,当时他们严重依赖漏洞利用工具包和电子垃圾邮件来感染随机受害者。其他从事有针对性的“大型狩猎”的勒索软件团伙包括Ryuk、REvil(Sodinokibi)、LockerGoga、RobbinHood、DoppelPayme、Maze等。
天地和兴工控安全研究院翻译整理,参考来源:zdnet https://dwz.cn/cWAK6iEo
(八)安全专家发现新型勒索软件PXJ Ransomware
近日,IBM X-Force的事件响应团队发现了一种新型勒索软件PXJ Ransomware,该代码在2020年初迅速出现,与大多数勒索软件的功能相同,但并未与已知的勒索软件共享底层代码。
PXJ勒索软件的名称来自文件扩展名,它会附加到加密文件中。该恶意软件也称为XVFXGW,其名称源自的 恶意软件会创建“ XVFXGW DOUBLE SET”,以及赎金记录中包含的电子邮件地址(“ xvfxgw3929@protonmail.com”和“ xvfxgw213@decoymail.com”)。
就像其他勒索软件一样,PXJ首先禁用用户从已删除的存储和卷影副本中恢复任何文件的能力。首先,使用“ SHEmptyRecycleBinW”功能清空回收站。接下来,执行一系列命令以防止在加密数据之后恢复数据。具体来说,在此阶段采取的步骤包括删除卷影副本和禁用Windows错误恢复服务。这些任务完成后,文件加密过程开始。根据赎金记录,该过程包括对设备上的照片和图像,数据库,文档,视频和其他文件进行加密。
为了防止通过破坏加密来进行潜在的恢复,PXJ同时使用AES和RSA算法来锁定数据,这种做法非常普遍。许多勒索软件代码首先使用对称密码AES算法对文件进行加密,因为它可以更快地加密文件,从而有助于在恶意程序被中断之前完成任务。然后,使用更强的非对称密钥(在本例中为RSA密码系统)对AES密钥进行加密。
加密完成后,赎金记录将作为名为“ LOOK.txt”的文件删除,并要求用户通过电子邮件与运营商联系以支付赎金以换取解密密钥。攻击者要求以比特币付款,并威胁受害者:如果受害者不立即付款,赎金金额将在头三天后每天增加一倍。据称,解密密钥将在一周之内销毁,这将使受害者无法恢复加密的文件和数据。
天地和兴工控安全研究院翻译整理,参考来源:securityaffaits https://dwz.cn/GPVIRinT
(九)多个勒索软件在新型冠状病毒流行期间停止攻击医疗组织
勒索软件DoppelPaymer及Maze运营者表示,在新型冠状病毒流行期间,将不针对医疗组织进行攻击。
DoppelPaymer并表示他们通常不以医院或疗养院为目标,在大流行期间将继续采用这种方法。“我们一般都尽量避开医院及疗养院,我们始终不触碰911(偶尔可能由于网络中的配置错误),而不仅仅是现在。如果我们误操作,我们将免费解密。但是关于制药企业,他们在恐慌中赚了很多,我们不会支持他们。当医生在治病时,他们在赚钱。”如果医疗机构被加密,受害者可通过电子邮件或Tor网页与他们联系以提供证据并获得解密器。
Maze勒索软件运营者表示,他们将停止所有针对医疗组织的攻击活动,直至新型冠状病毒流行结束为止。如果医疗机构被错误的加密,尚未得到答复是否可以提供免费解密器。
同时,安全公司Emsisoft和Coveware表示,在病毒流行期间,他们将向医疗机构免费提供勒索软件服务,包含:勒索软件的技术分析;尽可能开发解密工具;作为最后的赎金谈判,提供交易处理和恢复帮助,包括用自定义工具替换犯罪分子提供的解密工具,该工具将更快地恢复数据,并且丢失数据的机会更小。
天地和兴工控安全研究院翻译整理,参考来源:BellpingComputer https://dwz.cn/DPFdusYi
(十)法国马赛市政厅遭受大规模网络攻击
法国马赛市在3月15日至3月22日举行的市政选举之前遭受了大规模网络攻击,该网络攻击不会对市政选举造成影响。这次选举的目的是选举该市八个部门的议会、市议会和艾克斯-马赛-普罗旺斯大都市议会。
国家信息系统安全局(Anssi)表示,该次攻击造成艾克斯-马赛-普罗旺斯大都市以及Martigues的300台机器瘫痪。这些机器用于创建代理签名列表,因此这些工作必须手动完成。该事件不会影响选举,市政厅已确认市政选举将正常进行。
据知情人士透露,该网络攻击的规模是前所未有的,马赛市和大都会市政厅受到勒索软件的攻击,该勒索软件能够绕过所采取的防御措施。但目前尚无与攻击或勒索软件家族有关的详细信息。
马赛市市长候选人马丁·瓦萨尔表示:“尽管每天都采取了极端的预防措施来保护计算机设备防止病毒和黑客入侵,但这种网络攻击的规模和打击力是空前的,这是无法避免的。这种勒索软件通过对计算机或文件进行加密来阻止对计算机或文件的访问,同时要求受害者支付赎金。技术团队正在努力工作,以对受感染的系统进行准确诊断,并阻止这种攻击的传播并限制其影响。”
当地和国家安全部门正在共同合作,以尽快恢复计算机网络。该事件已经委托给国家警察网络犯罪部门来调查此事件。
天地和兴工控安全研究院翻译整理,参考来源:20minutes https://dwz.cn/Utd6Gkeh
(十一)金融服务公司泄漏425G敏感客户财务数据
3月17日,vpnMentor研究人员表示,金融服务公司Advantage Capital Funding和Argus Capital Funding的存储于AWS S3存储桶中的50万份文档共计425G数据未受保护,包含私人法律及财务文件。该数据库与这两个公司开发的MCA Wizard应用有关,该应用现在已不再在官方应用商店中提供。
该数据库是通过vpnMentor的Web制图项目发现的。Amazon Web Services(AWS)S3存储桶于2019年12月首次发现,它没有使用任何形式的加密、身份验证或访问凭证。随着许多公司转向云服务,这种情况变得越来越普遍。由于无法实现基本的安全协议,该数据库允许具有网络连接和S3存储桶地址的任何人不受限制地访问。
数据库中存有与公司业务相关的条目,包括信用报告、银行对帐单、合同、法律文件、驾驶执照副本、购买订单和收据、纳税申报表、社会保险信息以及交易报告。这些记录不仅与Advantage和Argus有关,还影响了他们的客户、承包商、员工和合作伙伴。
vpnMentor尝试与Advantage和Argus联系,但并未得到回复,研究人员最终直接与AWS联系,该数据库于2020年1月9日关闭。
天地和兴工控安全研究院翻译整理,参考来源:ZDNet https://dwz.cn/laypfaGy
天地和兴,工控安全,安全周报
相关资讯
