关键信息基础设施安全动态周报【2020年第18期】
发布时间:
2020-05-09
来源:
作者:
访问量:
67
目 录
第一章 国内关键信息基础设施安全动态
(一)台湾国有能源公司CPC遭受勒索软件攻击
(二)小米浏览器跟踪用户行为
第二章 国外关键信息基础设施安全动态
(一)加拿大电力公司NTPC遭受勒索软件Netwalker攻击
(二)委内瑞拉电力系统遭受攻击致使全国大面积停电
(三)施耐德电气软件中发现类似Stuxnet漏洞
(四)CODESYS工业控制器软件中存在严重远程代码执行漏洞
(五)以黑客威胁为由美国将限制部分电力系统设备进口
(六)新型恶意软件Kaiji以物联网设备为攻击目标
(七)超过30家公司成立联盟制定开放式5G系统
(八)欧洲刑警组织逮捕InfinityBlack黑客组织
(九)4400万巴基斯坦移动用户数据泄漏
(十)英美联合发布安全警告称APT组织正试图窃取新冠病毒相关信息
(十一)法国日报泄露74亿用户个人信息
(十二)欧洲最大私立医院Fresenius遭受勒索软件Snake攻击
(十三)澳大利亚航运公司Toll再次遭受勒索软件攻击
(十四)微软预以1.65亿美元收购以色列工控安全公司CyberX
第一章 国内关键信息基础设施安全动态
(一)台湾国有能源公司CPC遭受勒索软件攻击
5月5日,台湾国有能源公司CPC的计算机系统遭受了勒索软件攻击。该公司已恢复了部分IT电脑和服务器。 虽然这次攻击没有影响到公司的能源生产,但却使一些客户无法使用CPC公司的支付卡购买天然气。
CPC公司是负责运输石油产品和进口液化天然气的重要国有资产。在台湾,CPC恶意黑客的高价攻击目标。台湾严重依赖进口来满足能源需求,该公司还投资了许多海上石油和天然气项目。
CPC的官方声明中没有提及勒索软件,但一份私人分析报告显示,攻击中使用的两个恶意文件被检测为勒索软件,它们位于公共恶意软件分析库VirusTotal上。这份5月5日发给台湾安全专家的报告中提到了一起针对国有企业的网络攻击。一位熟悉这份文件的消息人士透露,这份文件包括一张明显的勒索信截图,该公司是就是CPC。
5月5日,跨国网络安全公司趋势科技在向客户发出警告时,也提到了这一事件。该公告提到了同样的勒索软件样本,警告趋势科技客户当前对台湾公司的勒索软件威胁不断,并告诉他们如果发现有人企图闯入其系统就寻求帮助。台湾当局尚未指出攻击CPC的罪魁祸首。
大部分时间里,CPC公司的网站都处于瘫痪状态,但当该公司最终能够在网上发布声明时,它发出了反抗的语气,承诺将引入更严格的安全检测系统。
美国政府此前曾试图加强台湾的网络安全防御。去年11月,美国驻台湾研究所(事实上是美国驻台湾大使馆)主办了一场模拟攻击台湾公共和私人组织的演习。
天地和兴工控安全研究院编译,参考来源:cyberscoop http://dwz.date/a5MJ
(二)小米浏览器跟踪用户行为
最新研究表明,使用小米及红米上的Mi浏览器将导致小米跟踪其敏感信息并将其发送至其服务器。
安全研究机构Gabi Cirlig 在《福布斯》上发表的 一份报告指出,小米的Mi Browser应用程序会将互联网搜索信息(包括隐身模式会话)发送到新加坡和俄罗斯的小米服务器。更令人担忧的是,Cirlig指出,正在设置的数据可以轻松地与特定用户相关联,从而允许公司可以挑选出他们希望跟踪的用户。
虽然所有这些数据都被上传到新加坡和俄罗斯的远程服务器上,但这些域名本身已经注册到北京的一个组织。
此外,研究人员注意到,小米手机记录了用户打开的文件夹、用户查看的屏幕以及配置的设置。小米的音乐播放器应用程序还记录了用户播放歌曲的时间和内容。
应《福布斯》的要求,网络安全研究员Andrew Tierney也对调查结果进行了调查,据报道,他发现Mi Browser Pro和Mint Browser收集了相同的数据。
如下所示,当访问站点时,浏览器会将被访问的URL发送回远程主机。此URL不会以任何方式混淆。根据Play商店的数据,该浏览器的下载量超过1500万。
针对这些说法,总部位于中国的小米发表了一篇长篇博文,并称:“研究声称不真实”,并且“严格遵循并完全符合当地有关用户数据隐私事项的法律法规”。“小米看到福布斯最近的文章很失望。我们认为他们误解了我们就数据隐私原则和政策所传达的信息。小米将我们用户的隐私和互联网安全放在首位;我们有信心严格遵守并完全遵守当地法律和法规。我们已与《福布斯》联系,以澄清这种不幸的误解。”
小米表示,收集到的数据是匿名的,公司发言人否认小米浏览器在用户处于匿名模式时记录浏览数据。
安全研究人员Cirlig制作了一段视频,证明即使在浏览器处于匿名模式下,小米浏览器的搜索结果也会发送到远程服务器,这表明小米的说法并非如此。福布斯向小米提供了该视频,但小米为自己的隐私协议辩护。
小米认为视频显示了匿名浏览数据的收集,并且“是互联网公司采用的最常见的解决方案之一”,因此其用户不必担心。
小米印度副总裁兼董事总经理Manu Kumar Jain也在视频中回应了安全指控。
小米印度负责人指出,隐私和安全是他们的首要任务:一则新闻报道称,Mi Browser在浏览时会收集不必要的信息,并将用户数据发送到其他国家。小米印度副总裁兼董事总经理Manu Jain在一份声明中表示,“这是不正确的,也不是事实。”
天地和兴工控安全研究院编译,参考来源:BleepingComputer http://dwz.date/a5T2
第二章 国外关键信息基础设施安全动态
(一)加拿大电力公司NTPC遭受勒索软件Netwalker攻击
4月30日早,加拿大电力生产商和分销商西北地区电力公司(NTPC)遭受勒索软件NetWalker攻击。为应对该事件影响,该公司被迫关闭其IT服务,影响了部分系统操作。NTPC正在调查发电、输电、配电系统是否受到影响,目前所有电力系统都在工作。
作为预防措施,NTPC已关闭其电子邮件系统,直到确认该系统是否遭到破坏为止。被攻击后,NTPC使用的在线支付门户网站MyNTPC无法正常工作,并且该公司的客户收到了四份文件,其中一份文本文件内容显示“您的文件已被Netwalker加密,解密文件的唯一方法是与我们合作并获取解密程序。不要在没有解密程序的情况下尝试恢复文件,否则可能会损坏文件,然后将永久无法恢复。”
Netwalker是一个相对较新的勒索软件,去年夏天首次被发现。该软件曾经攻击过其他地区的政府机构和公司,包括澳大利亚的一家运输公司和伊利诺伊州的一家政府卫生机构。Netwalker的传播最近通常与以新冠病毒为主题的网络钓鱼电子邮件有关。
为了防范勒索软件攻击,建议:
请勿打开任何可疑或无关的电子邮件,尤其是带有附件的电子邮件。避免打开包含诱人的优惠或令人难以置信的新闻条目的电子邮件,尤其是来自未订阅代理商的电子邮件。
避免从非官方和不可信的下载网站,对等共享网络以及其他第三方下载器下载任何软件。始终仅信任官方和经过验证的来源。
保持操作系统和所有应用程序更新与供应商发布的最新补丁程序,以避免利用任何已知的漏洞。
天地和兴工控安全研究院编译,参考来源:Cabin Radio http://dwz.date/a4ZZ
(二)委内瑞拉电力系统遭受攻击致使全国大面积停电
委内瑞拉副总统罗德里格斯宣布,5月5日委内瑞拉国家电网干线遭到攻击,造成全国大面积停电。委国家电力公司正组织人力全力抢修,部分地区已经恢复供电。
罗德里格斯表示,国家电网的765干线遭到攻击。这也是在委挫败雇佣兵入侵委内瑞拉数小时后发生的。除首都加拉加斯外,全国11个州府均发生停电。
然而这并不是委内瑞拉第一次经历断电事件。2019年3月7日,包括加拉加斯在内的委内瑞拉多地开始停电,开始了该国家自2012年以来时间最长、影响地区最广的停电史。该事件持续到13日全国范围内的供水、供电才基本恢复。该事件波及了委内瑞拉全国23个州中的18个州,而停电原因是古里水电站遭反对派蓄意破坏。委内瑞拉电力供应超过六成来自水力发电,而古里水电站是主要提供电力提供点。
本文版权归原作者所有,参考来源:人民网 http://dwz.date/a4Tj
(三)施耐德电气软件中发现类似Stuxnet漏洞
5月7日,安全公司Trustwave的安全研究人员发现施耐德电气软件中存在一个类似于臭名昭著的Stuxnet恶意软件所利用的漏洞。
Stuxnet是十年前美国和以色列用来破坏伊朗核计划的恶意软件,其设计目标是西门子的SIMATIC S7-300和S7-400可编程逻辑控制器(PLC)。该恶意软件通过替换与Siemens STEP7控制器编程软件关联的DLL文件,将恶意代码加载到目标PLC上。
3月份,空中客车网络安全公司(Airbus Cybersecurity)报告表示,其研究人员在施耐德电气的EcoStruxure Control Expert工程软件中发现了类似漏洞,该软件以前称为Unity Pro。该漏洞编号为CVE-2020-7475,可通过替换与工程软件关联的DLL文件之一来利用恶意代码将恶意代码上传到Modicon M340和M580 PLC,这可能导致流程中断和其他损坏。
Trustwave的研究人员也发现了Schneider软件中的一个类似漏洞,特别是EcoStruxure Machine Expert(以前称为SoMachine),该漏洞使用户可以在Modicon M221控制器上开发项目。第二个漏洞编号CVE-2020-7489,在Schneider的通报中与CVE-2020-7475具有大致相同的描述,并且CVSS评分为8.2,为高危漏洞。
Schneider已发布了针对这两个漏洞的补丁程序,但在第一个安全漏洞公告中指出,其他供应商的产品也可能容易受到此类攻击。
Trustwave的SpiderLabs的高级安全研究经理Karl Sigler表示,利用CVE-2020-7489需要访问托管SoMachine软件和目标PLC的环境。Sigler表示,“特别是对于SoMachine DLL注入漏洞(CVE-2020-7489),攻击者将需要使用与被授权运行该软件的本地用户相同的用户上下文来执行注入。除非安装了SoMachine并将其锁定为管理帐户,否则不需要进行管理访问。尽管这些系统可能存在差距,但我们在Stuxnet中看到这不一定是开发的障碍。”
Trustwave研究人员还发现了一个影响Schneider Electric软件的旧漏洞。在2017年,施耐德将CVE-2017-6034告知客户,该漏洞是一个严重漏洞,允许黑客使用重播攻击将运行、停止、上载和下载命令发送到PLC。Trustwave的研究人员去年发现,利用EcoStruxure Machine Expert和PLC之间的现有会话仍然可以发起攻击。由于Trustwave的调查结果,施耐德于2019年8月更新了其原始咨询。
Sigler表示,“原始的CVE-2017-6034漏洞允许捕获数据包并将其重放到PLC。例如,攻击者可能会重放带有“停止”命令并发送到PLC的数据包,以随时停止PLC。虽然此重播漏洞已于2017年修复,但Trustwave发现,只要攻击者在控制软件和PLC之间的现有会话之上进行攻击,则仍然可以执行攻击。换句话说,虽然修补了数据包重播漏洞,但仍然可以执行中间人攻击,以实现对PLC的相同滥用。”
天地和兴工控安全研究院编译,参考来源:SecurityWeek http://dwz.date/a573
(四)CODESYS工业控制器软件中存在严重远程代码执行漏洞
5月6日,思科Talos威胁情报和研究小组公开发布,其研究人员在CODESYS Control SoftPLC工业控制器软件中发现了一个严重远程代码执行漏洞。特制的网络请求可能导致远程执行代码,攻击者可以发送恶意数据包以触发此漏洞。
CODESYS Control SoftPLC是一个运行时系统,可将任何PC或嵌入式设备转换为符合IEC 61131-3的工业控制器。该系统还包括重要的附加功能,因此控制器可以与自动化环境中的其他组件进行通信。
思科Talos的一名研究人员发现,该软件的PLC_Task功能受到一个漏洞的影响,该漏洞可通过在网络上发送特制数据包来用于远程执行代码。该漏洞编号为CVE-2020-6081,其CVSS评分为9.9,属于严重漏洞。
从编程软件发送时,CODESYS的应用程序代码被编译为本机代码。该机器码仅在单独的线程中的codesys3二进制文件的上下文中执行之前,要进行CRC32检查。通过使用具有适当体系结构的Shellcode构建.app文件,攻击者可以远程执行代码,并具有上载项目的能力。可以使用专有协议通过SSH或Codesys端口11740进行此上传。为了通过CRC检查,必须使用整个.app文件的CRC32创建一个.crc文件。
由于缺少对上载的二进制Blob强制进行密码验证的原因,因此存在此漏洞。由于可以禁用用于将PLC应用程序上载到设备的端口11740的身份验证,因此需要加密签名才能验证二进制文件是否来自受信任的源。如果没有加密验证,则在将设备配置为阻止所有直接访问该设备(除遵循IEC 61131标准的所需应用逻辑之外)时,可以使用与Codesys运行时相关的特权直接在该设备上执行任意代码。
Talos在3S-Smart Software Solutions GmbH CODESYS Runtime 3.5.14.30 版本中发现了该漏洞,并于2月5日报告给Codesys。许多工业解决方案提供商都使用CODESYS软件,并且某些漏洞影响了数十个供应商的数百个工业控制系统(ICS)。
天地和兴工控安全研究院编译,参考来源:思科Talos http://dwz.date/a4Xf
(五)以黑客威胁为由美国将限制部分电力系统设备进口
以国家安全及资产安全为由,美国总统特朗普1日发布行政命令,未来美国电力公司将不能购买、转让与安装任何进口大容量电力系统设备,只能购买特定、符合标准的设备与厂商。
只要有网路就会有黑客出没,因此除了电脑和网络,电网的安全性也不容忽视。而特朗普认为,大容量电力系统(bulk-power system)支撑美国国防、重要紧急服务、关键基础设备、经济与民生运作,但是来自国外的敌对势力正持续制造并利用漏洞。
这些恶意攻击会对经济、人民健康与安全构成重大威胁,进而降低美国与同盟国的自我防卫行动力。特朗普指出,偏偏在美国可以不受限制地购买或是使用外国对手拥有、控制、设计、开发与制造的大容量电力系统,若对手建立漏洞并攻击,可能会造成灾难性地影响。
尽管对于美国经济整体成长来说,自由开放的投资环境相当重要,但特朗普认为,那也要考量到美国国安。因此特朗普政府决定,未来能源业者将不能自行购买、进口、移转或安装任何由外国势力控制的公司,所设计、制造、销售、安装与维运的大容量电力系统设备。
特朗普也授权能源部与其他机构负责人一同协商,制定并发布全新的大容量电力设备标准与限制,未来就可依照这些标准审查设备和厂商清单,同时也成立将成立专门小组制定采购流程,而专门小组得在命令发布之日起一年内向总统提交报告。
那么哪些设备会受影响呢?彭博新闻指出,包括变压器、电容和用输电系统的量测设备(metering equipment)。美国能源部长Dan Brouillette 对此表示,必须确保大容量电力系统不会受到外国攻击,这项行政命令可提升关键电力基础建设的防御力。
近年来美国国会议员和特朗普政府不断关注电力系统的资安问题,同时相当忧心自家的电网,美国国家情报总监2019 年才警示,中国与俄罗斯有能力向电网与天然气管线发动网路攻击。
而这也不是美国第一次下手出击,2019年2月时,美国民主党与共和党11名参议员联合致信给美国国土安全部及能源部,指出一旦太阳能系统遭黑客攻击,就会影响用电安全,希望政府禁用华为的太阳能逆变器。同年5月17日,美国更对华为发出禁售令,如果美国公司要售卖零部件给华为,必须取得美国商务部工业和安全局(BIS)批准,这又再次影响华为的声誉。美国能源部高级官员指出,行政明令推出后,可能会大幅提高美国制造比例。
本文版权归原作者所有,参考来源:technews http://dwz.date/a5Ta
(六)新型恶意软件Kaiji以物联网设备为攻击目标
近日,安全研究人员MalwareMustDie及Intezer Labs团队发现了一个名为Kaiji的新型恶意软件,该软件专门用来感染Linux服务器和智能物联网(IoT)设备,然后滥用这些系统发起DDoS攻击。
该恶意软件与其他IoT恶意软件种类有很大不同,是使用Go编程语言编写的,而不是使用C或C ++编写的,C或C++是当今大多数IoT恶意软件所使用的两种语言。Go恶意软件很少见,不是因为效率不高,而是因为在GitHub和黑客论坛上已经免费提供了许多C或C ++项目,使创建IoT僵尸网络变得简单。
如今,很少有IoT恶意软件作者从头开始花费时间编写僵尸网络。实际上,绝大多数IoT僵尸网络只是从多个方面提取的不同部分和模块的组合,并结合到同一旧僵尸网络代码库的新变体中。
Intezer的恶意软件分析师Paul Litvak表示:“安全专家对物联网僵尸网络生态系统进行了相对详细的记录,很少看到僵尸网络的工具是从头开始编写的。”
根据Litvak和MalwareMustDie的研究结果,Kaiji已经在野外被发现,并在世界范围内蔓延,制造新的受害者。
Intezer研究人员表示,目前僵尸网络无法使用漏洞感染未修补的设备。相反,Kaiji僵尸网络IoT设备和Linux服务器执行暴力攻击,这些设备和服务器的 ssh 端口暴露在互联网上。Litvak表示,只有root帐户是攻击目标,因为僵尸网络需要对受感染的设备进行root访问,以便操纵原始网络数据包,以应对他们想要执行的DDoS攻击以及他们想要执行的其他操作。一旦获得对设备根帐户的访问权限,Kaiji将以三种方式使用该设备。首先,针对DDoS攻击。其次,对其他设备进行更多的SSH暴力破解攻击。第三,它会窃取任何本地SSH密钥,并传播到根帐户过去管理过的其他设备。
Litvak表示,僵尸网络尽管具有发起六种不同类型的DDoS攻击的能力,但显然仍在开发当中。与其他较完善的僵尸网络相比,该代码缺乏特性,在某些地方包含“ demo”字符串,并且rootkit模块通常会自我调用太多次并耗尽设备的内存,从而导致崩溃。
此外,Kaiji的命令和控制服务器也经常会离线,使受感染的设备没有任何主服务器,并且容易被其他僵尸网络劫持。虽然这个僵尸网络现在不是威胁,但并不意味着将来不是。MalwareMustDie和Litvak现在都在跟踪其发展过程。
两位研究人员还一致认为,该僵尸网络是由中国开发人员开发的,因为代码中的许多功能,尽管是用英语编写的,仅仅是中文术语的音译。
Kaiji现在是出现在IoT恶意软件领域的最新IoT僵尸网络,在最近几个月出现了一些有趣的进展。僵尸网络感染超过100,000或500,000设备的日子已经一去不复返了。如今,大多数物联网僵尸网络很少会感染超过15,000-20,000台受感染的设备,而这些设备只是成功的设备。
由于开源僵尸网络工具包的普及,现在每天有数百个僵尸网络在活动,它们都在为感染和控制相同数量的IoT设备而斗争。结果,整个物联网僵尸网络市场现在分散了,并被众多较小的参与者所分割。
天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/a5E3
(七)超过30家公司成立联盟制定开放式5G系统
5月5日,30多家技术和电信公司宣布成立开放式RAN政策联盟(Open RAN Policy Coalition),旨在敦促开发“开放且可互操作的”5G无线系统,从而消除了对单个供应商的需求。之所以成立该联盟,是因为以中国的华为、欧洲的诺基亚和爱立信为首的市场上部署超高速第五代网络的政治敏感性引起了全球激烈辩论。
该联盟表示,要建立一个具有竞争性的对“无线电接入网络”中各个组件进行招标的开放标准系统,避免依赖任何单一技术供应商。联盟执行董事戴安娜·里纳尔多表示,由31家公司组成的联盟正在“让无线供应商知道有选择权”,而不是“具有封闭专有系统的单个供应商”。
该联盟成员包括微软、谷歌、IBM、思科等大型技术公司,以及美国的AT&T和Verizon以及全球运营商Vodafone、Rakuten、Telefonica等运营商,以及硬件和芯片制造公司高通、英特尔、三星。
里纳尔多表示,“联盟成立并不是为了解决对任何一家特定公司的担忧,而是在讨论建立稳健的供应链并防止任何一家公司独占市场。”
然而,在华盛顿禁止华为进入美国网络之际,美国官员表示,这是出于国家安全考虑,并敦促美国盟国效仿。
里纳尔多表示:“从当前的疫情全球大流行中可以看出,从安全和性能的角度来看,下一代网络部署中的供应商选择和灵活性是必要的。通过促进标准化和开发开放接口的政策,我们可以确保不同参与者之间的互操作性和安全性,并有可能降低新创新者进入的门槛。”里纳尔多表示,该联盟正在促进美国私人部署的网络,联邦政府帮助建立了多元化的供应链,并资助了对这些开放网络的研究。
该联盟指出,大多数移动网络通常是使用完全集成的系统部署的,其中无线电、硬件、软件由单个制造商提供。该联盟指出,只要标准是一致的,开放的系统就可以工作。
里纳尔多补充表示,在日本、印度和世界其他地区,已经有使用开放标准成功进行4G或5G网络移动部署的示例。“这个概念已经存在,我们的联盟旨在帮助扩大这一方面的信息。”
天地和兴工控安全研究院编译,参考来源:SecurityWeek http://dwz.date/a3PR
(八)欧洲刑警组织逮捕InfinityBlack黑客组织
近日,欧洲刑警组织宣布在波兰逮捕了Infinity Black黑客组织的五名黑客。该组织成立于2018年底,主要运营Infinity[.]black网站,并在网站上出售用户凭证盈利。该组织不仅参与了被盗凭据的分发,还参与了恶意软件和黑客工具以及诈骗工具的开发和分发。
Infinity Black是一个网站,黑客可以在其中共享被盗的用户凭据。欧洲刑警组织表示,该网站由黑客组织运营,该组织建立了多个平台,专门销售受损的登录凭据。这些凭据以所谓的组合列表出售,其中包括许多可用于凭据填充攻击的用户名和密码组合。
4月29日,波兰警方没收了黑客的电子设备、外部硬盘驱动器和多个硬件加密货币钱包,价值约10万欧元。 警方还关闭了两个托管数据库的平台,这些平台拥有超过1.7亿个条目。
InfinityBlack组织的主要收入来源是出售忠诚度计划的凭证,该组织将账户出售给其他技术程度较低的犯罪团伙,这些团伙随后利用被盗的忠诚度积分兑换成昂贵的电子产品。
网络犯罪分子使用复杂的脚本来访问大量瑞士帐户,这些帐户存储着价值超过600,000欧元的忠诚度积分,最终实际损失估计为50,000欧元。
欧洲刑警组织表示:“ InfinityBlack被有效地分成三个确定的团队,开发人员创建了工具来测试被盗数据库的质量,而测试人员则分析了授权数据的适用性,然后目经理分发针对加密货币付款的订阅。”
天地和兴工控安全研究院编译,参考来源:SecurityWeek http://dwz.date/a3M4
(九)4400万巴基斯坦移动用户数据泄漏
据外媒报道,近日有4400万巴基斯坦移动用户的详细信息泄露到网上,而这些只是前些日期黑客出售的1.15亿用户数据的一部分。
上个月,一名黑客试图以210万比特币价格出售一个包含1.15亿巴基斯坦移动用户记录的软件包。对比这两组数据,发现这4400万数据是1.15亿数据的一部分。对泄漏的文件进行分析,数据包含个人可识别信息和电话相关信息,包括:客户姓名、家庭住址(城市,地区,街道名称)、国家身份证号(CNIC)、手机号码、座机号码、 订阅日期。该数据包括巴基斯坦家庭用户和当地公司的详细信息。
根据订阅日期,泄露文件中最早的条目是2013年底,这表明黑客要么获得了一个较旧的备份文件,要么就在2013年发生了该漏洞,直到现在才在网上出现。
泄露文件中的绝大多数条目包含属于巴基斯坦移动运营商Jazz的手机号码(以前称为Mobilink)。但是,研究人员也发现了其他移动运营商的电话号码。因此,目前无法根据实际和有形的证据,得出数据是从Jazz服务器上获取的结论。目前尚不清楚数据是来自Jazz本身,还是政府机构,Jazz合作伙伴或电话销售公司。Jazz发言人未回复置评请求。但是,该公司此前曾质疑数据来自其服务器。
该事件已在巴基斯坦展开调查,自上个月黑客首次试图在黑客论坛上出售整批1.15亿产品以来,巴基斯坦电信管理局(PTA)和联邦调查局(FIA)一直在调查此事。
天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/a5Gw
(十)英美联合发布安全警告称APT组织正试图窃取新冠病毒相关信息
英国国家网络安全中心(NCSC)和美国国土安全部(DHS)网络安全和基础设施安全局(CISA)联合发布警告称,政府支持的黑客组织正将目标对准医疗和其它参与对冠状病毒流行做出国家和国际反应的组织。
APT组织,即通常与某个国家有关的复杂黑客团体,正在寻找有关国家新冠病毒响应、医疗研究或其他与冠状病毒有关的其他敏感数据的信息,攻击目标是医疗保健、制药、学术界、医学研究和地方政府等部门的组织。针对这些目标(尤其是与冠状病毒研究有关的目标)的网络攻击,对于国家支持的行动非常有用,因为它们有可能为协助国内研究冠状病毒相关药物提供一条途径。
安全机构警告表示,国际供应链是作为攻击切入点的一个特别领域。报告警告称:“行动者将供应链视为薄弱的一环,可以利用它们来获得更好保护的目标。供应链的许多环节也将受到远程工作的转移以及由此产生的新漏洞的影响”。
NCSC和DHS先前的联合警告称,网络攻击者如何扫描易受攻击的VPN,以便对远程工作人员发起攻击,这种情况似乎仍在继续。未打补丁的软件是这些攻击的特别有吸引力的目标,该警告指出,Citrix漏洞CVE-2019-197811是与民族国家有关的黑客组织希望利用的漏洞。
针对医疗保健和其他基本服务的APT组织也在试图使用大规模的password spraying活动,利用通用密码对英国、美国和其他国家的医疗保健提供商进行暴力攻击。NCSC和CISA都在调查这些攻击。该警告表示,“ APT参与者在寻求回答与大流行有关的其他情报问题时,将继续利用COVID-19。”
为了帮助保护帐户免受密码喷雾攻击,NCSC建议使用强大且重要的唯一的密码。为了减少更高级的攻击,联合警告建议使用最新的安全更新来更新远程工作环境中使用的VPN,网络基础结构和设备,以使攻击者不能利用已知的漏洞作为入侵手段。还建议组织采用多因素身份验证作为额外的防御层,因此,如果帐户或网络受到威胁,则攻击不会造成太大的损失。
天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/a5N7
(十一)法国日报泄露74亿用户个人信息
近日,Security Detectives的安全研究人员发现法国发行量最大综合性日报费加罗报(Le Figaro)出现数据泄露事件。泄露的数据量超过8TB,涉及74亿条记录,包括Le Figaro网站注册用户的登陆凭证。
泄露的数据包括从2020年4月至2020年2月的3个月的台式机和移动网站版本的API日志。这些日志中记录了在上述时间段内注册的那些用户和在此时间段内登录的现有用户。
对新用户而言,记录包括登陆凭证和个人身份信息。对之前就注册的用户,登陆凭证仍然是隐藏的,但是个人身份信息已经暴露了。
泄露的的个人身份信息包括:邮件地址、姓名、家庭地址、新用户的口令,包括明文和md5哈希后的结果、居住地和邮编、IP地址、外部服务器访问token。
研究人员估计2月到4月之间有至少42000个新用户注册。其中泄露的个人身份信息也包括Le Figaro网站的记者和雇员,包括邮箱地址和全名。
此外,泄露的数据库中也含有大量关于Le Figaro服务器的技术日志信息,这些敏感数据对黑客入侵企业的数据基础设施是非常有价值的。包括:SQL查询错误、不同服务器之间的流量、通信协议、对admin账户的潜在访问。
许多泄露的信息都指向一个AGORA系统,可能是该公司使用的CRM系统。安全研究人员发现该数据库是没有密码保护的,直接暴露在公网上。任何人只要有数据库的IP地址就可以访问。
天地和兴工控安全研究院编译,参考来源:hackread http://dwz.date/a5PX
(十二)欧洲最大私立医院Fresenius遭受勒索软件Snake攻击
费森尤斯Fresenius是欧洲最大的私家医院运营商,也是血液透析产品和服务的主要提供商。由于新冠病毒疫情的爆发,该产品的需求量很高,但该公司的技术系统遭到勒索软件网络攻击。 该公司表示这次事件影响了其一些业务运营,但患者护理仍在继续。
费森尤斯集团总部位于德国,旗下有4家独立企业: 为肾衰竭患者提供医疗服务的领先费森尤斯医疗保健公司(Fresenius Medical Care)、欧洲最大的私营医院运营商Fresenius Helios、提供药品和医疗设备的Fresenius Kabi、以及管理医疗设施的VAMED。总体而言,费森尤斯在100多个国家雇佣了近30万名员工,在全球2000大上市企业排行榜上名列第258位。公司为透析、医院和门诊和住院提供产品和服务,在美国透析市场占有率接近40%。然而因为新冠病毒导致许多患者出现肾衰竭,从而导致透析机和用品的短缺。
5月5日,一位不愿透露姓名的人士表示,一位为 fresenius kabi 美国行动部门工作的亲戚报告称,他公司大楼里的电脑已经被勒索,一场网络攻击已经影响了该公司在全球的所有业务。
这位人士表示,攻击者是Snake勒索软件,一种新型勒索软件,于今年早些时候首次被发现,目前正被用来对大型企业进行敲诈,用它们的IT系统和数据作为人质,以换取比特币等数字货币。
Fresenius发言人Matt Kuhn证实,该公司正在努力应对计算机病毒爆发。
Kuhn在书面声明中表示:“我可以确认Fresenius的IT安全检测到公司计算机上的电脑病毒。作为根据我们为这类个案制订的保安程序而采取的预防措施,我们已采取措施防止疫情进一步蔓延。我们也通知了相关调查部门,虽然公司内部的某些职能目前受到限制,但病人护理仍在继续。我们的IT专家正继续致力于尽快解决问题,并确保运营尽可能顺利地进行。”
针对弗雷森尤斯的袭击发生之际,正值针对医疗服务提供者的袭击越来越有针对性,这些服务提供者处于应对 covid-19疫情的第一线。今年4月,国际刑警组织警告表示,已发现针对参与病毒响应的主要组织和基础设施的勒索软件攻击数量大大增加。网络犯罪分子正在使用勒索软件,以数字方式扣押医院和医疗服务,从而阻止他们访问重要的文件和系统,直到勒索赎金为止。
5月5日,美国国土安全部的网络安全和基础设施安全局(CISA)与英国国家网络安全中心一起发布警告称,由国家支持的黑客团队,正在积极攻击参与国家和国际COVID-19应对措施的组织。该警报表示,“ APT攻击者经常以组织为目标,以收集符合国家优先事项的大量个人信息,知识产权和情报。大流行可能使APT攻击者更加关注收集与COVID-19相关的信息。例如,攻击者可能寻求获取有关国家和国际医疗政策的情报,或获取与COVID-19相关的研究的敏感数据。”
勒索软件泛滥一度被许多人认为只是勒索攻击,但对许多受害公司来说,已成为事实上的数据泄露。这是因为一些更活跃的勒索软件团伙已经开始从目标下载大量数据,然后再在他们的系统内启动勒索软件。这些数据的一部分或全部随后被公布在勒索软件团伙设立的网站上,以此来迫使受害者公司付款
安全研究人员表示,Snake勒索软件有点独特,因为它试图识别与企业管理工具和大规模工业控制系统(ICS)相关的IT流程,如生产和制造网络。
尽管一些针对企业的勒索软件集团已公开承诺,在疫情爆发期间不会单独挑出医疗服务提供商,但针对医疗机构的攻击仍在继续。4月下旬,位于科罗拉多州普韦布洛的Parkview Medical Center遭到勒索软件攻击,据报道该勒索软件使医院存储患者信息的系统无法运行。
Fresenius拒绝回答有关攻击细节的问题,称其未提供有关IT安全问题的详细信息或评论。目前尚不清楚该公司是否会支付赎金。但据悉,Fresenius之前曾花费150万美元来解决勒索软件事件。
天地和兴工控安全研究院编译,参考来源:Krebs on Security http://dwz.date/a5QJ
(十三)澳大利亚航运公司Toll再次遭受勒索软件攻击
澳大利亚航运业公司Toll 5月5日告知其客户,其服务器上存在异常活动,并发现了勒索软件Nefilim。目前已关闭了部分IT系统,这是Toll今年披露的第二起勒索软件事件。
该公司表示,不打算支付任何赎金要求,并声称没有发现证据表明已经从其网络中窃取了数据。但是在3月份的报告中称,Nefilim的作者确实声称窃取数据,并威胁说除非他们收到赎金,否则将公开这些数据。
由于该事件,Toll关闭了MyToll门户,公司目前正在清理受影响的系统并从备份中还原文件。该公司表示,它正在使用人工流程继续提供服务,但是一些客户报告说,服务出现延误或中断。
最新消息显示,Toll表示货运和包裹运送基本上没有受到影响,该公司还透露,将优先运送重要物品,如冠状病毒爆发期间所需的医疗和保健用品。
Toll表示 ,“我们正在与服务受到影响的大型企业客户紧密合作,对于我们的中小型企业客户和消费者,我们正在通过我们的数字和社交渠道(包括Toll 's company和MyToll网站)提供有关工作流程的最新信息 。我们希望在本周内保持当前的业务连续性和人工处理安排,并就调查和恢复过程与澳大利亚网络安全中心(ACSC)保持定期联系。”
这是Toll今年第二次遭到勒索软件攻击。该公司先前1月下旬在某些系统上发现Mailto勒索软件,但表示这些事件与此无关。据报道,早些时候的事件影响了澳大利亚、印度和菲律宾的运营,一些未经证实的报道称,恶意软件已经感染了1000多台服务器。
Toll隶属于Japan Post,拥有40,000多名员工,拥有遍布50多个国家的1,200个地点的全球物流网络。
Toll并不是近年来唯一一家遭受勒索的大型航运公司。受害者名单还包括Pitney Bowes、地中海航运公司(MSC)和中远集团。
天地和兴工控安全研究院编译,参考来源:SecurityWeek http://dwz.date/a5Sb
(十四)微软预以1.65亿美元收购以色列工控安全公司CyberX
据以色列商业新闻媒体Globes报道,微软预收购以色列网络安全公司CyberX。据知情人士透露,该交易已到了最后阶段,收购金额为1.65亿美元。
CyberX由以色列精英网络安全部门的资深人士Omer Schneider和CTO NirGiller于2013年创立,总部位于波士顿,其开发中心位于赫兹里亚。迄今为止,该公司完成了5轮融资,已经从包括Qualcomm、Inven、Norwest Venture Partners、Glilot Capital Partners、Flint Capital、ff Venture Capital和OurCrowd在内的投资者处筹集了4,800万美元。最新一轮融资于2019年3月筹集了1800万美元。
CyberX从事工业命令和控制系统的物联网(IoT)网络安全。通过分析网络传输并为能源、水、制药、化学、天然气和制造行业的国际客户识别机器对机器(M2M)通信中的异常的算法来实现保护。
2020年初,CyberX宣布与Microsoft Azure安全中心的IoT的新API级集成,使客户能够查看托管和非托管IoT设备之间的安全性。CyberX还确认已加入微软智能安全协会,该协会是一组将其技术与Microsoft工具集成在一起的公司。
天地和兴工控安全研究院编译,参考来源:Globes http://dwz.date/a3SR
天地和兴,工控安全,安全周报,关键信息基础设施
相关资讯
