关键信息基础设施安全动态周报【2020年第27期】
发布时间:
2020-07-10
来源:
作者:
访问量:
151
目 录
第一章 国内关键信息基础设施安全动态
(一)两家中国公司泄露约500万敏感个人和业务数据
第二章 国外关键信息基础设施安全动态
(一)美能源部将中国和俄罗斯列为大容量电力系统的最大威胁
(二)CISA发布确保工业控制系统安全的计划
(三)印度全面对进口电力设备实施网络安全检查
(四)勒索软件EKANS如何针对工业控制系统?
(五)伊朗工业设施发生的火灾和爆炸疑似与网络攻击有关
(六)三菱电机GOT2000中存在多个漏洞 黑客可攻击制造工厂中机器
(七)硅晶厂商X-FAB遭受网络攻击 关闭六个生产基地
(八)能源公司EDP遭受勒索软件Ragnar Locker攻击
(九)CVE-2020-5902漏洞缓解措施被绕过——国内约500台设备受影响
(十)CISA警告组织注意来自Tor网络的网络攻击
(十一)美国NSA发布IPsec VPN安全指南
(十二)霍尼韦尔研究发现针对OT系统的威胁数量增加一倍
(十三)俄罗斯组织Cosmic Lynx针对跨国组织发起200多次BEC攻击
(十四)Citrix修补网络产品中的11个漏洞
(十五)IT服务提供商Xchanging遭受勒索软件攻击
(十六)黑客组织Keeper使用恶意软件Magecart渗透570个电商网站
第一章 国内关键信息基础设施安全动态
(一)两家中国公司泄露约500万敏感个人和业务数据
Cybernews研究人员发现,中国企业孝信通及延华智能包含数百万记录的数据库在网上泄露。孝信通提供针对老年护理的多种应用和服务。延华智能提供与智能建筑相关的服务。
孝信通数据库为中国2亿以上的老年人提供服务,其中包含敏感信息,例如GPS位置、手机号码、地址、哈希密码等。 延华智能数据库包含更为敏感的数据,例如易于解码的音频文件、姓名、员工ID号、心率、氧气水平、GPS位置等。这两个数据库现已关闭。
孝信通是一个智能养老服务平台,由智能移动终端和云服务平台组成,该服务免费为老年人提供移动救援、爱心和健康服务。孝信通数据库包含超过340,000条记录:手机号码、地址和GPS位置;用户亲属和其他监护人的手机号码和姓名;位置轨迹(包括地址和GPS坐标);哈希密码;SOS记录和SOS记录位置;个人ID。其中大部分(约285,000个)为地址、GPS坐标和个人ID。
上海延华智能科技主要专注于智能建筑业务,其核心业务是智能建筑项目、智能医疗项、和智能节能项目。根据其2018年12月的报告,该公司收入为1.62亿美元。延华智能数据库涵盖了许多相同类型的数据:设施、警报、员工健康监控数据以及与车辆相关的信息。该数据库包含420万条记录,包括人员信息、车辆信息、设备信息等。
尚不清楚在关闭数据库之前是否有不良行为者能够访问数据。但是,由于具有中等技术知识的任何人都可以访问该数据库而无需任何身份验证,因此其他人仍然有可能访问它们。
天地和兴工业网络安全研究院编译,参考来源:cybernews
第二章 国外关键信息基础设施安全动态
(一)美能源部将中国和俄罗斯列为大容量电力系统的最大威胁
5月1日,特朗普政府发布了一项保护美国大容量电力系统的行政命令,要求将外国敌对国家供应商提供的关键电力设备从电网中移除。7月8日,美国能源部(DOE)、电力办公室(Office of Electricity)发布了一份信息请求(RFI),“寻求信息以了解能源行业目前的做法,以识别和减轻大容量电力系统(BPS)组件供应链上的漏洞。”
RFI是行政命令(EO)的后续命令,该命令指示能源部与其他机构协商制定规则,以通过规则制定过程实现其目标。EO将电气设备定义为变电站,控制室和发电站中使用的项目,包括电抗器,电容器,变电站变压器,大型发电机,电压调节器以及其他几种已定义的电气设备。
该RFI主要内容为三部分,一是背景介绍。说明此事的背景和5月1日第13920总统行政令的主要内容。E.O.13920(85 FR 26595,2020年5月4日)宣布外国对手对BPS的威胁构成国家紧急状态。BPS提供的电力支持美国的国防以及至关重要的紧急服务、关键基础设施、经济和生活。二是RFI的主要内容,包括供应链和经济分析两部分。能源部就E.O.13920的前三个主要议题相关的问题公开广泛征集意见。三是建议征集。能源部邀请所有感兴趣的各方在2020年8月7日之前以书面形式提交对此RFI中解决的事项的评论和信息。开通了提交建议的在线平台http://www.regulations.gov。
俄罗斯和中国明确称为“敌对国家威胁”
不同于行政命令,RFI明确指明中国和俄罗斯是威胁大容量电力系统的最大敌对国家,因为他们都拥有高度发达的网络程序和两个国家都对美国政府构成重大威胁,包括,但不限于军事、外交、商业和关键的基础设施。依据由国家情报总监的办公室(ODNI)和国家反情报和安全中心(NCSC)的评估,RFI说,美国大容量电力系统是这两个“近乎旗鼓相当的对手”的国家的攻击目标,两国能够对美国关键基础设施的长期目标能造成极大的伤害。
RFI进一步表示,这些对手试图通过在技术网络和通信系统中插入恶意软件,在多个点上访问关键的基础设施供应链。为了解决大容量电力供应链对国家安全的影响,能源部的RFI侧重于“基于证据的网络安全成熟度指标”和外国所有权、控制和影响(FOCI),以限制采购和评估供应链控制不足的后果。
能源部寻求行业对优先事项和过程的建议
在RFI中,能源部缩小了EO对设备的关注范围,以“建立一个分阶段的流程,使能源部能够按功能和对整个BPS公司的影响,优先审查BPS公司的电气设备。”能源部已将重点集中在以下几类设备上:高压变压器(包括发电升压变压器);无功设备(电抗器、电容器); 断路器;发电(包括向BPS公司提供的传输级发电和支持变电站的后备发电)。
能源部会向公用事业业主、营办商及其供应商寻求许多具体、严格和复杂的问题的答案。这些问题涵盖了大量的供应链领域,从公用事业公司和供应商是否进行企业风险评估,到分包商的治理水平,再到适用于拥有外国所有权、控制权或影响力的供应商的访问控制政策。
NERC发布供应链警告
能源部希望各利益攸关方在8月7日之前(即一个月内)回答这些问题和其他问题。公用事业公司和供应商在这么乱短时间内回答这些问题可能会面临挑战,因为NERC已经采取了行动。北美电力可靠性公司(NERC)作为一个准政府组织,已经为电力行业建立了强制性安全标准。昨天,也就是在能源部发布了RFI的同时,NERC发布了一个警告,“保护美国的大容量电力系统,第三供应链”。
虽然警告内容是机密的,仅限于电力公司,NERC在一份声明中告诉CSO,它发布了这份文件“继续收集关于使用外国BPS设备的信息”。电力公司必须在7月16日之前确认收到警告,并在8月21日之前回应警告中的建议。
能源安全行业对RFI的反应
“我认为能源部的RFI迈出了很好的第一步,”能源安全联盟EnergySec的创始人帕特里克·米勒告诉CSO,他现在是能源咨询公司Archer Security的管理合伙人。“我认为他们向业界征求意见是件好事。”
ICS安全咨询公司Digital Bond的创始人兼首席执行官Dale Peterson(戴尔·彼得森)对此表示赞同。他说:“能源部对行政命令做出反应,推出这个RFI计划,这是意料之中的,也是好事。”令Peterson特别高兴的是,能源部正在询问电网中存在哪些在设计上是不安全的通信协议,例如,分布式网络协议3 [DNP3]、文件传输协议[FTP]、Telnet或Modbus。他说:“从2012年起,我就一直在鼓吹这一点。”
西部地区电力管理局(WAPA)是一家联邦所有的电力公司,由美国能源部管理,自然支持政府试图通过行政命令实现的目标。WAPA的首席执行官Mark Gabriel告诉CSO:“在美国最关键的基础设施不断受到威胁的今天,我们非常需要采取任何措施来保护大容量电力系统免受潜在对手的威胁。行政命令的精神和意图都符合我们保护大容量电力系统的需要。”
Gabriel说:“关于大规模电力系统面临威胁的证据和经验越来越多。考虑到这些运行大容量电力系统的机构是如何面对威胁的,通常都是一阵风式的,缺乏连续性。当你想到国家安全的时候,这是一个我们都需要支持的领域。”
相互竞争的关键基础设施框架
在RFI中,能源部严重依赖ODNI的NCSC供应链风险管理最佳实践框架,而不是NERC的行业开发框架NERC-CIP(关键基础设施保护)13,该框架于2018年10月18日获得批准,并于2020年7月1日开始生效。能源咨询公司Archer的米勒说:“对我来说,这带来了大量的问题,如果有的话,它们是如何与CIP13相互作用。这两家机构所做的事情在某些方面看起来相似,但在其他方面又不同。我们被要求做一件事吗?还是我们需要做两件事?他们在幕后分享信息吗?”
“能源部将行政令与NERC的供应链努力联系起来,但没有解释这两项努力是如何趋同或分化的,”米勒继续说。“在维恩图(表示多个集合之间逻辑关系的图)中这两种东西的重叠在哪里?”什么是允许的,什么是不允许的?如果你做的一件事符合NERC的标准但不符合能源部所谓的法规,那么执行会是什么样子?能源部会不会在某种程度上依赖NERC,这样他们就可以联合起来?所有这些问题都出现了。
能源部表示,该部正在与NERC合作。“能源部与NERC和FERC(联邦能源管理委员会)密切合作,因为保护电网的安全是所有人的重要任务,”一位能源部官员告诉CSO。行政命令签署后,主管电力办公室的助理秘书布鲁斯·沃克向NERC和FERC简要介绍了情况。能源部赞赏NERC帮助工业界了解外国对手制造或供应的大容量电力系统设备的风险的努力。”
天地和兴工业网络安全研究院编译,参考来源:CSOOnline
(二)CISA发布确保工业控制系统安全的计划
7月7日,美国CISA发布其五年工业控制系统(ICS)战略《保护工业控制系统:一体化计划》。该战略是与行业和政府合作伙伴共同制定的计划,以改善、统一并集中精力保护ICS和保护关键基础设施。
该计划是一项多年的重点工作,旨在提高CISA预测、确定优先级和管理国家级ICS风险的能力。通过该计划,CISA将与关键基础设施(CI)所有者和运营商合作,建立ICS安全功能,从而直接授权ICS利益相关者保护其操作免受ICS威胁的侵害。
该计划有四个支柱:向ICS组织询问更多信息,并向他们提供更多服务;开发和利用技术来完善集体ICS网络防御;建立深度数据功能,以分析和传递信息,以向ICS组织提供这些信息来破坏ICS网攻击链;通过了解和预测ICS风险来进行安全投资。
天地和兴工业网络安全研究院编译,参考来源:CISA
(三)印度全面对进口电力设备实施网络安全检查
印度电力部长辛格7月3日表示,将全面严格检查从邻国进口电力设备。这可能是新德里最近采取的一系列此类举措中,针对中国的最大经济报复举措,包括严格的海关审查、以及在短暂的边境对峙之后禁止各种中国应用程序。这位部长表示,所有进口用于供电系统的设备都将在该国进行测试,以检查嵌入式恶意软件、特洛伊木马或其他网络威胁。这位部长说,任何从优先参考国家进口设备都需要事先获得政府的许可,尽管他重申,中国或巴基斯坦这两个长期敌对的邻国都不会获得这样的许可。
在过去的几年中,中国一直是印度动力设备的主要来源,就价值而言,中国约占进口机器总数的三分之一。尽管有足够的国内产能,即使不是盈余,这些资本密集型机器的进口仍在快速增长,印度是此类设备的重要出口国。
中国的银行和金融机构已经自由地给予印度的电力公司长期信贷便利,以促进该国设备制造商的业务,这确实在该国发挥了作用。19财年从中国的进口总值超过21,000千万卢比,20财年4月至12月超过1,600亿卢比。
目前尚不清楚已经与中国设备供应商捆绑在一起的印度电力生产商是否会放弃或放弃最新的决定。目前正在建设中的多达9570兆瓦的发电厂(全部来自私营部门)已与中国公司签订了合同,为锅炉、涡轮机和发电机供电。在建总装机容量为15861兆瓦,其中有12245兆瓦来自私营部门。
在过去的10年中,已经调试了22,420兆瓦的超临界发电厂,其中12,540兆瓦是在中国设备上建造的,包括阿达尼(Adani)的Mundra和Tirora机组,中电印度(CLP India)的贾哈贾尔(Jhajjar)电厂,信实(Reliance Sasan)和韦丹塔(Vedanta)的塔尔万迪萨博(Talwandi Sabo)项目。DVC在西孟加拉邦的600兆瓦Raghunathpur电厂,泰米尔纳德邦的600兆瓦Mettur项目和拉贾斯坦邦的600兆瓦Kalisindh电厂也安装了中国设备。
国有巴拉特重型电气公司(BHEL)的股价在部长宣布这一消息后上涨5.3%,收于38.65卢比。
辛格表示,由于最近的举动,缓解了对印度电力项目步伐放缓的担忧,他说印度拥有国内生产各种电力设备的能力。
印度电气设备制造商协会(IEEMA)对这一举动表示欢迎,称该决定解决了其长期需求,并将有助于利用该国的“ 30-40%的过剩制造能力”。IEEMA总裁RK Chugh表示:“这将阻止从中国进口的廉价和劣质产品,并降低对我们关键的电力基础设施进行网络攻击的风险。” 该协会指出,印度电气设备行业约70%的中小型企业在整个价值链中提供了超过500万个工作岗位。
进口电气设备行业在国内市场中占有35%的份额。从06财年到19财年,进口以卢比计的复合年增长率为13.5%。2016财年,国内工业还出口了价值52,910千万美元的电气设备。
用于发电,输电和配电的设备包括锅炉,涡轮机,发电机,变压器,电缆,旋转机,输电线路,开关柜,电容器,电表,绝缘材料和工业电子产品。
据FE报道,新德里也在考虑对进口太阳能组件征收高额进口税,从25%开始,并在一段时间内提高到40%。基本关税将在2018年7月实施的为期两年的保障关税终止后征收。
天地和兴工业网络安全研究院编译,参考来源:Financial Express
(四)勒索软件EKANS如何针对工业控制系统?
7月1日,FortiGuard实验室研究结果显示,勒索软件EKANS的新样本显示,网络攻击者正在使用各种方法攻击关键的工业公司,针对工业控制系统(ICS)的恶意软件对威胁者来说仍然有利可图。
据2020年Verizon的数据泄露报告显示,尽管勒索软件仅占2019年所有恶意软件事件的三分之一,但是一旦黑客将其应用到核心关键系统中,如公用事业和制造业,那么感染所造成的影响可能是毁灭性的,关键服务会感到支付赎金的巨大压力。EKANS勒索软件家族是针对ICS目标的病毒。
FortiGuard研究人员获得了两个版本的样本,一个是五月份的,另一个是六月份编译的,揭示了该勒索软件一些有趣的特征。
这两个基于Windows的样本都使用GO编写的,GO是一种在恶意软件开发社区中广泛使用的编程语言,因为在不同的操作系统上进行编译相对容易。
为了帮助进行分析,FortiGuard创建了一个针对EKANS的反汇编程序,发现尽管5月版本的勒索软件中存在大量编码错误,上有1200多个字符串,但该恶意软件仍然能够有效地执行针对勒索软件的攻击ICS系统。
看来EKANS的设计是故意选择受害者的。该恶意软件将尝试通过解析属于受害公司的域名,并将此信息与IP列表进行比较来确认其目标。如果未确认目标状态,则例程退出。 一旦获得目标,勒索软件将扫描域控制器,以进行攻击。
这两种版本均具有典型勒索软件的功能。恶意软件一旦落入易受攻击的计算机,便能够加密文件并显示赎金记录,要求其付款以换取解密密钥,该密钥可能会(也可能不会)恢复对系统文件的访问。 但是,六月的示例超出了这些功能,并具有可能在工业环境中造成严重破坏的高级功能,包括关闭主机防火墙的功能。
EKANS功能的新增功能并不是唯一的改进。研究人员支出,为了绕过现有的ICS保护,勒索软件还将尝试在加密之前关闭防火墙,可能通过阻止来自代理的任何通信来检测AV和其他防御解决方案。
EKANS使用RSA加密来锁定受影响的计算机,并将继续进行进程以消除横冲直撞,终止可能成为恶意软件活动障碍的任何系统,并在此过程中删除卷影副本,从而使恢复文件更加困难。
除了研究这种有趣的ICS恶意软件外,FortiGuard还发布了有关网络安全公司认为是工业威胁参与者所采用的最新技术和策略的指南。 其中包括利用远程服务、使用凭据转储、在网络上横向移动、禁用或修改网络安全工具、通过禁用Windows事件日志破坏防御以及修改组策略。
3月,网络安全公司FireEye警告说,能够针对ICS的恶意软件和黑客工具的开发正在上升,其中大多数是在过去十年中开发的。FireEye分析的大多数工具都被认为与供应商无关,但在某些情况下,该软件被设计为损害特定公司提供的ICS设置。
天地和兴工业网络安全研究院编译,参考来源:ZDNet
(五)伊朗工业设施发生的火灾和爆炸疑似与网络攻击有关
伊朗在6天内连续发生核武及军事设施两起爆炸事件,媒体报导,这两宗事件可能是网络攻击造成。
6月26日伊朗首都德黑兰东南方的帕尔钦一座据信为导弹制造场所的军事基地发生爆炸,原因来自天然气槽外泄。而在一个星期后的7月3日,又传出伊朗中部城市纳坦兹的一座戒备森严的地下铀浓缩设施上方的某台兴建中,和核武生产有关的工厂建物发生爆炸。
虽然有一个名为「祖国猎豹」(Cheetah of the Homeland)的组织自称犯案,但美联社引述伊朗官方媒体指称,此事和以色列与美国有关。而这个可能与去年以来美、伊之间军事冲突升温有关,美国1月出动无人机在伊拉克巴基斯坦炸死伊朗军事将领,随后伊朗政府则对伊拉克的美国基地发动导弹报复攻击。
纳坦兹的核武设施曾在2010年遭到Stuxnet蠕虫病毒入侵,而一般认为 Stuxnet为以色列和美国研发及策动攻击,旨在摧毁伊朗的核武发展计划。Stuxnet可以说是现代化工控系统恶意程式的先驱。
一家科威特报纸媒体引述消息来源报导,两起攻击事件都是网络攻击所引起,其中黑客入侵纳坦兹核武设施的一个天然气压缩系统,引发大火造成2层楼的反应器建物受损。
伊朗官方尚未针对是否为网络攻击做出评论。
天地和兴工业网络安全研究院编译,参考来源:iThome Security
(六)三菱电机GOT2000中存在多个漏洞 黑客可攻击制造工厂中机器
安全研究人员在各种三菱电气GOT2000系列人机界面模型中至少发现了6个漏洞。成功利用这些漏洞将导致缓冲区溢出等情况。
以下是对所报告漏洞的简要说明。此外,还根据它们各自的跟踪关键字和漏洞评分系统 (CVSS)进行了说明。
CVE-2020-5595:TCP/IP函数中存在一个边界错误,使得远程黑客能够在目标系统上执行任意代码。利用此漏洞将允许黑客完全控制受影响的实现。该漏洞评分为8.5 / 10,为严重漏洞。
CVE-2020-5596:TCP / IP功能中的会话覆盖问题使远程黑客可以部署发送经过特殊设计的数据包的拒绝服务(DoS)攻击。这是一个中危漏洞,得分为6.5 / 10。
CVE-2020-5597:目标系统的TCP / IP功能中的NULL指针取消引用缺陷使远程威胁参与者可以通过发送特制数据包来部署DoS攻击。该漏洞的得分为6.5 / 10,为中危漏洞。
CVE-2020-5598:此漏洞是由于对TCP/IP功能的访问限制不足造成的,使得远程黑客能够通过访问受影响的应用程序获得对受限功能的未经授权的访问权限。这是一个严重漏洞,在CVSS级别上获得8.5 / 10的评分。
CVE-2020-5599:该漏洞是由于TCP/IP函数内命令中的参数中的不正确中和造成的,使得攻击者能够通过向目标应用程序发送专门设计的数据包来执行拒绝服务攻击。该漏洞的评分为6.2 / 10,因此被认为是中危漏洞。
CVE-2020-5600:TCP / IP功能中的资源管理不足,使远程威胁行为者可以将经过特殊设计的数据传递给目标应用程序,以访问系统上的潜在敏感信息。
该漏洞在CVSS等级上获得4.6 / 10的分数。
尽管未经验证的黑客可以远程利用这些漏洞,但专家们尚未检测到有人试图在现实世界的场景中利用这些漏洞,也没有检测到与此攻击有关的一些恶意软件。现在可以在三菱官方平台上进行更新。
天地和兴工业网络安全研究院编译,参考来源:information security newspaper
(七)硅晶厂商X-FAB遭受网络攻击 关闭六个生产基地
2020年7月5日,全球领先的硅晶大厂X-FAB Group成为网络安全攻击的目标。根据X-FAB聘请的领先安全专家的建议,所有IT系统均已立即停止。作为一项额外的预防措施,所有六个生产基地的生产都已停止。
X-FAB已迅速与有关当局联系,以调查这一史无前例的事件。此外,已成立了内部和外部安全专家团队,以解决问题并恢复所有系统。X-FAB还决定立即开始临时关闭制造工厂的计划,在X-FAB于新冠疫情期间实施节省成本计划这一背景下,原先计划第三季度晚些时候关闭工厂。
在此阶段,无法估计X-FAB的操作将中断多长时间和达到多少程度。评估是否会产生财务影响还为时过早。
X-FAB是领先的模拟/混合信号和MEMS晶圆代工厂,生产用于汽车,工业,消费,医疗和其他应用的硅晶片。通过使用X-FAB的1.0至0.13μm不等的模块化CMOS工艺以及其特殊的碳化硅和MEMS长寿命工艺,其全球客户可从最高质量标准,卓越制造和创新解决方案中受益。X-FAB的模拟数字集成电路(混合信号IC),传感器和微机电系统(MEMS)在德国,法国,马来西亚和美国的六个生产基地生产。X-FAB在全球拥有约3,800名员工。
天地和兴工业网络安全研究院编译,参考来源:business wire
(八)能源公司EDP遭受勒索软件Ragnar Locker攻击
近日,EDP北美可再生能源公司(EDPR NA)证实,其遭受了勒索软件Ragnar Locke攻击,影响了其母公司葡萄牙能源公司EDP的系统。EDP集团的业务主要集中在发电和配电以及信息技术行业。
目前,该公司拥有超过11500名员工,为1100多万客户提供能源,是世界第四大风能生产商,也是欧洲最大的能源部门运营商(天然气和电力)之一。
EDPR NA首席执行官Miguel Angel Prado在给客户的违规通知信中说:“ 2020年4月13日,EDPR NA的母公司在其信息系统中遭遇勒索软件攻击。母公司立即在领先的计算机取证专家的协助下开始调查。母公司也立即让相关执法部门参与进来。”
EDPR NA表示,它在2020年5月8日首次发现其计算机系统被未经授权的第三方访问,存储在该公司服务器上的一些信息随后被攻击者访问。
自攻击发生以来,该公司表示,它试图找到所有可能受到数据泄露影响的个人。据EDPR ANA报道,到目前为止,调查这起事件时收集的证据显示,袭击者无法获取任何个人信息。
该公司表示:“然而,我们通知您是出于高度的谨慎,因为EDPR NA的信息系统中有您的一些个人信息,包括您的姓名和社会保险号。EDPR NA认真对待您的个人信息安全和此事件。针对此事件,我们已采取措施来增强您个人信息的安全性,例如实施新的IT流程和登录要求,包括多因素验证,以限制再次发生的可能性。”
正如当时发现的那样,攻击者要求EDP集团支付1580个比特币(相当于1000多万美元或990万欧元)的赎金来购买解密器,并阻止据称从该组织的服务器窃取的超过10TB的数据泄露给公众。
根据EDP加密系统上的赎金记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。
EDP发言人在4月16日给Bleeping Computer的电子邮件声明中证实了这一攻击,尽管该公司表示,它“对所谓的赎金要求一无所知”,目前还不被视为勒索软件攻击。
Ragnar Locker勒索软件是在2019年12月下旬作为攻击的一部分使用时首次检测到的。Ragnar Locker操作员以锁定托管服务提供商(MSP)经常使用的软件来防止检测和阻止攻击而闻名。
各公司将勒索软件攻击视为数据泄露,并将其报告为数据泄露,此前包括Maze、Revil(Sodinokibi)、Netwalker、DoupelPaymer、Cop、Ragnar Locker、Nephilim和Ako在内的大多数勒索软件操作也在加密之前开始从受攻击的网络窃取信息。大多数成为勒索软件受害者的公司现在也向受影响的客户、员工和客户提供免费的身份盗窃保护和信用监控,以确保如果他们的数据被用于欺诈,他们会收到警报。
天地和兴工业网络安全研究院编译,参考来源:BleepingComputer
(九)CVE-2020-5902漏洞缓解措施被绕过——国内约500台设备受影响
研究人员已经找到了绕过F5 Networks提出的针对BIG-IP漏洞的一种缓解措施的方法,但恶意黑客在其公开之前就利用了这种绕过方法。
F5的BIG-IP应用程序交付控制器(ADC),特别是它的流量管理用户界面(TMUI)配置实用程序,受到一个关键漏洞的影响,该漏洞编号CVE-2020-5902。访问配置接口的攻击者可以利用该漏洞实现各种目的,包括获取凭证和其他敏感信息、拦截流量以及执行任意代码和命令。
Positive Technologies公司向供应商报告了这个安全漏洞,并于7月1日披露,几天后发现了第一波漏洞利用。在过去的几天里,攻击增加了,因为几个概念验证(PoC)的攻击已经被公开,并且利用起来并不困难——整个利用过程公布就在一条推特上。
F5已经发布了针对该漏洞的补丁,公司也分享了一些缓解措施,以防止被利用。然而,Critical Start的研究人员Rich Mirch和Chase Dardaman已经找到了绕过其中一种缓解措施的方法。供应商确认了缓解旁路,并提出了更有效的缓解措施。该团队已在推特上提醒用户,先前的缓解措施已可绕过,赶紧去打补丁。
然而,F5客户保护他们的系统免受攻击的最好方法是尽快安装补丁。Mirch和Dardaman不是唯一确定缓解途径的人。NCC公司报告说,在研究人员公开他们的发现大约6个小时之前,他们发现了有攻击活动使用了旁路方法。NCC公司也发布了警示。
CVE-2020-5902已被广泛利用,以获取口令,创建web shell,并传递DDoS恶意软件和其他各种有效负载。威胁情报公司Bad Packets 报告称,他们发现网络上有3000多个易受攻击的BIG-IP系统,其中美国有约1200多个,中国有大约500个。
然而,NCC说,缓解措施旁路可能使大约6000台设备再次易受攻击。NCC也在其网站上及时更新应对策略。
Bad Packets 公司说,它继续侦测到利用CVE-2020-5902的攻击企图。该公司已识别出由政府机构、医疗服务提供商、教育机构、财富500强公司和金融机构托管的脆弱系统。
没有安装补丁或实现缓解的组织已经被告知,他们应该假定他们的系统已经被攻陷。另有多个机构也在转推NCC公司的警告,包括@sans_isc。
F5共享了攻击指标(IoC),以帮助客户确定他们是否已成为目标。许多网络安全解决方案提供商已经推出了更新,以确保他们的客户免受攻击。
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek
(十)CISA警告组织注意来自Tor网络的网络攻击
7月1日,美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)发布警告,请企业注意防御来自Tor网络发起的恶意网络攻击。威胁参与者利用Tor网络隐藏其攻击的真正来源,并避免识别和关闭其C2基础架构。攻击者使用Tor进行恶意活动,包括系统破坏、数据泄露、拒绝服务(DoS)攻击以及侦察。CISA建议组织采取必要的措施来阻止和监视Tor网络流量,以及早发现攻击。
CISA在警告中表示,“在这种情况下使用Tor可使威胁参与者保持匿名,从而使网络防御者和授权机构难以执行系统恢复和响应网络攻击。不采取措施阻止或监视Tor流量的组织面临被威胁参与者利用Tor掩盖其身份和意图的威胁和利用的风险。通过Tor传播成为恶意活动目标的风险对于每个组织而言都是独特的。组织应通过评估威胁行为者针对其系统或数据的可能性以及在当前缓解和控制措施下威胁行为者成功的可能性来确定其个人风险。”
CISA建议组织评估合法用户是否需要在活动中使用Tor。组织应评估缓解措施,以防止威胁行为者使用Tor进行恶意活动。网络防御者可以利用各种网络,端点和安全设备日志来检测Tor流量,并通过使用基于指标或基于行为的分析来潜在地识别涉及Tor的恶意活动。使用基于指标的方法,防御者可以利用安全信息和事件管理(SIEM)工具以及其他日志分析平台来检测往返于Tor出口节点的流量。
CISA还提供了有关企业应采取的缓解措施以降低与Tor发起的攻击相关的风险的详细信息,包括:
• 最严格的方法:阻止所有进出公共Tor入口和出口节点的Web流量。
• 限制较少的方法:对进出公共Tor节点的Web流量进行量身定做的监控、分析和拦截。
• 混合方法:阻止到某些资源的所有ToR流量,允许并监控其他资源。
CISA总结表示:“复杂的威胁参与者可能会利用额外的匿名化技术(例如如虚拟专用网VPN)以及ToR内的可配置功能(如ToR网桥和可插拔传输)来规避检测和拦截。阻止使用已知的ToR节点可能不会有效地减轻所有危险,但可能会保护不那么复杂的参与者。"
天地和兴工业网络安全研究院编译,参考来源:SecurityAffairs
(十一)美国NSA发布IPsec VPN安全指南
新冠病毒疫情让越来越多的人在家工作与学习,使得虚拟私有网络(VPN)越来越普及,使用者透过VPN来连结组织网络,有鉴于此,美国国土安全局( NSA)近日公布了VPN安全指南,以避免VPN成为黑客的攻击面。
NSA表示,有许多组织目前正利用基于网络安全协定(IPsec)的VPN服务来连接远端伺服器或启用远端办公能力,利用加密来保护那些通过各个不可靠网络的机密资讯,因此,这些VPN必须采用强大的加密技术,于是他们决定列出常见的VPN配置错误与弱点。
NSA建议各大组织应该尽量减少VPN闸道的攻击表面,确认其加密演算法是否符合国家安全系统政策委员会(CNSSP)的规定,避免使用预设的VPN设定,移除未使用或不合规定的加密套件,以及即时部署更新。
NSA解释,VPN闸道直接面向网络,因而容易受到网络扫描、暴力破解攻击或零时差漏洞的危害,为了减少这些弱点,网络管理员应该采用严格的过滤规则来限制连结到VPN装置的传输埠、协定与IP位址的流量,如果无法指向特定的IP位址,那么则应于VPN闸道之前部署入侵防御系统。
而在VPN的设定上,许多的供应商都提供了预设配置,自动化的配置脚本程式,或是图形使用者介面来协助组织部署VPN,这些工具会负责设定VPN的各个面向,包括ISAKMP/IKE与IPsec政策,然而,许多设定都纳入了广泛的加密套件来确保相容性,但NSA建议组织避免利用这些工具,以防它们允许那些不需要的加密套件,或者应检查自动部署的所有设定,以删除不符规定的加密套件。
在确保配置与设定的安全无误之后,各组织也应即时部署供应商所提供的安全更新,以捍卫网络传输的安全性。
天地和兴工业网络安全研究院编译,参考来源:iThome Security
(十二)霍尼韦尔研究发现针对OT系统的威胁数量增加一倍
在2020年7月8日发布的《霍尼韦尔工业USB威胁报告》研究结果发现,基于从数百个全球性工业设施的网络安全收集威胁数据,在过去12个月内,运营技术(OT)系统检测到的威胁严重程度严重上升。
该报告显示,USB可移动介质对工业过程控制网络构成的威胁总量始终很高,其中45%的位置检测到至少一个入站威胁。在同一时期,专门针对OT系统的威胁数量几乎翻了一番,从16%增至28%,而能够对OT系统造成视重大破坏的威胁数量增加了一倍多,从26%增至59% 。
该报告显示,所有威胁中有五分之一是专门设计来利用USB可移动媒体作为攻击媒介的,超过一半的威胁是为了打开后门,建立持久的远程访问或下载额外的恶意负载。这些发现表明攻击的协调性更高,可能试图针对大多数工业控制环境和关键基础设施中使用的气隙系统。
霍尼韦尔互联网企业网络安全研究和工程专家、网络安全主管Eric Knapp表示,“ 基于USB传播的恶意软件仍然是工业运营商的主要风险。令人震惊的是,我们看到更高密度的重大威胁,更加有针对性和更加危险。这不是通过USB意外暴露病毒的情况,而是使用可移动媒体作为更蓄意和协调攻击的一部分的趋势。”
该霍尼韦尔工业USB威胁报告检查了从霍尼韦尔安全媒体交换(SMX) 技术收集的数据,该技术旨在扫描和控制可移动媒体,包括USB驱动器。作为工业控制和自动化系统中第二大最普遍的攻击媒介,USB设备在针对OT系统的攻击中扮演着重要角色。近年来,此类攻击包括Disttrack、Duqu、Ekans、Flame、Havex、Industroyer、USBCulprit等。
为了减少USB相关威胁的风险,霍尼韦尔建议组织结合OT网络安全软件产品和服务,例如霍尼韦尔的安全媒体交换(SMX)、霍尼韦尔Forge网络安全套件、人员培训和流程变更。SMX为运营商提供了前所未有的控制和可视性,使他们能够更安全地使用USB技术,并为关键基础设施和设施提供最新的高级威胁检测功能。霍尼韦尔Forge网络安全套件可以监视漏洞,例如开放端口或USB安全控件的存在,以增强端点和网络安全性,它有助于确保更好的网络安全合规性。
天地和兴工业网络安全研究院编译,参考来源:CISION PR Newswire
(十三)俄罗斯组织Cosmic Lynx针对跨国组织发起200多次BEC攻击
在过去的一年中,俄罗斯威胁组织Cosmic Lynx针对六大洲46个国家/地区的个人,几乎都是财富500强或全球2000强公司的员工,发起了多达200多次商业电子邮件泄露(BEC)攻击。
电子邮件安全公司Agari在一份新报告中解释说:“即使是在纳米比亚和蒙古这样的网络钓鱼攻击目标定位系统中通常不常见的国家,也遭到了Cosmic Lynx的攻击。”
该组织主要针对高级管理人员,四分之三的目标对象包括总经理、副总裁或总经理,其他目标职位包括子公司或国家级首席执行官、总裁和CFO。
作为攻击的一部分,黑客使用双重模仿方案。该组织冒充公司的首席执行官,要求目标员工协调收购一家亚洲公司的付款。此外,他们劫持了英国一家合法律师事务所的律师身份,并利用该身份促进了虚假收购。
被盗资金主要发送到香港的假帐户,但威胁行为者还使用了匈牙利、葡萄牙和罗马尼亚的辅助帐户。但是,该组织似乎避免在美国使用辅助子帐户。
Agari指出,与其他BEC欺诈者通常通常要求平均55,000美元电汇到子帐户不同,Cosmic Lynx要求数十万美元甚至数百万美元。
Cosmic Lynx知道组织对DMARC的使用。尽管该组织通常直接欺骗CEO电子邮件地址,但该组尝试通过在显示名称中添加CEO的电子邮件地址来规避DMARC策略,从而使该电子邮件看起来像是从CEO的帐户发送的。
还观察到该对手利用了从3月下旬开始的新冠病毒大流行的优势,在发送给目标高管的第一封电子邮件的开头使用了与危机相关的主题。到5月下旬,黑客开始在介绍性电子邮件中提及全球经济的重新开放。
各个活动中使用的域模仿安全基础结构(例如安全邮件网关[。] cc,mx-secure-net [。] com等),邮箱通常引用天体(包括“ smtp-mars”,“ tls- sirius”或“ gateway-mercury”等)。
Agari安全研究人员发现,该组织已使用防弹托管服务提供商NiceVPS来注册某些域。此外,他们还可以将Cosmic Lynx基础架构与银行Trojans Emotet和Trickbot进行链接,还可以与Android点击欺诈,已知的刷卡门户网站以及俄罗斯虚假文档网站进行链接。
Agari能够搜集证据表明,该组织是俄罗斯所为,包括电子邮件元数据、工作时间和基础设施信息,但指出尚不可能进行可靠的归因。
Agari总结表示,“更复杂的威胁集团正在将BEC纳入其攻击手段的证据应该引起所有人的关注。与传统的BEC组织不同,Cosmic Lynx展示了开发更复杂和更具创造性的攻击的能力,这使它们与我们每天看到的其他普通的BEC攻击区分开来。”
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek
(十四)Citrix修补网络产品中的11个漏洞
Citrix7月7日通知其客户,已修复其ADC、网关和SD-WAN网络产品中的11个漏洞,并强调该漏洞与CVE-2019-19781无关,该漏洞已被许多攻击利用。
在发布了描述这些漏洞的安全公告之后,Citrix还发布了一篇由其CISO Fermin J. Serna撰写的博客文章,以避免造成混淆,并限制行业和客户群中可能出现的误解。
Serna指出,这些新修补的漏洞与CVE-2019-19781无关,该漏洞于漏洞披露后不久于1月开始被黑客利用。该安全漏洞被以利润为导向的网络犯罪分子和国家赞助的威胁行为者都利用,并且给许多组织带来了很多问题。
对于CVE-2019-19781,Citrix最初由于漏洞利用的高风险而发布了临时缓解措施,并仅在数周后发布了永久补丁。对于最新的漏洞,该公司指出,补丁已完全解决了这些漏洞,并且没有发现恶意利用的迹象。剥削的可能性也被认为较低。
新修补的漏洞影响Citrix ADC、网关和SD-WAN WAN优化(WANOP)版本,可以利用这些漏洞来获取信息、发起DoS攻击、本地特权提升、XSS攻击、授权绕过和代码注入。
尽管某些缺陷可以由未经身份验证的远程攻击者利用,但在大多数情况下,利用这些漏洞需要访问目标系统、用户交互或其他先决条件。此外,受影响产品的云版本不容易受到攻击。
尽管利用这些漏洞进行攻击的风险有所降低,但Citrix已建议客户实施其安全建议并尽快安装补丁。
Serna表示,“我们限制了漏洞和补丁的许多技术细节的公开披露,以进一步保护我们的客户。在整个行业中,当今复杂的恶意行为者正在使用这些详细信息和补丁来逆向工程利用。因此,我们正在采取措施,以提醒和帮助我们的客户也尽我们所能来防止恶意演员屏蔽情报。”
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek
(十五)IT服务提供商Xchanging遭受勒索软件攻击
7月5日,全球IT服务和解决方案提供商DXC Technology披露,其子公司Xchanging的系统遭到勒索软件的攻击。
Xchanging是业务流程和技术服务提供商和集成商,为商业保险行业提供技术支持的业务服务。Xchanging在全球拥有7,000多名员工,提供IT外包、基础设施,包括网络托管服务、软件产品和应用程序管理。该公司在许多行业都有客户,包括金融服务,汽车,教育,医疗保健,制造业以及航空航天和国防。
DXC技术公司向美国证券交易委员会(SEC)提交了一份8-K表格。
该公司于7月5日披露了安全漏洞,但尚不清楚何时发现了攻击。该公司没有透露网络攻击的细节,也没有透露感染其系统的勒索软件家族。
该披露信息显示,“DXCTechnology今天宣布其子公司Xchanging的某些系统遭遇勒索软件攻击。Xchanging主要是一个独立运营的保险托管服务业务。公司有信心,这起事件与Xchanging环境无关。此外,DXC目前没有任何迹象表明数据已被泄露或丢失。”
据Xchanging称,只有未披露数量的客户受到网络攻击的影响。DXC向执法部门报告了这起事件,并正在与受影响的客户合作,以恢复对其操作环境的访问。该公司宣布将实施一系列遏制和补救措施,以减轻事件的影响。
天地和兴工业网络安全研究院编译,参考来源:SecurityAffairs
(十六)黑客组织Keeper使用恶意软件Magecart渗透570个电商网站
安全企业Gemini Advisory在今年监测到频繁的Magecart攻击,追查之下才发现,相关攻击源自于黑客组织Keeper。且自2017年4月起,Keeper已经成功渗透了全球55个国家的570个电子商务网站,而在2018年7月至2019年4月间,就盗走了18.4万张有银行卡信息,估计非法取得的银行卡信息可能多达70万张。
Magecart为专门锁定电子商务网站的恶意软件,它会在网站上注入Skimmer恶意程序代码以窃取使用者的付款信息,受到许多黑客组织的青睐,包括Keeper在内。
根据Gemini Advisory的分析,被Keeper渗透的570个电子商务网站中,有超过150家位于美国,且英国、荷兰、法国、印度、巴西也有不少网站受害。而这些电子商务网站有超过85%采用开源的Magento平台,5.5%采用WordPress,4.2%采用Shopify,以及2%采用BigCommerce。
研究人员在Keeper的控制台上发现了18.4万张银行卡信息,时间点位于2018年7月到2019年4月间,估计从Keeper于2017年展开行动以来,应该已搜集了70万张银行卡信息,假设每笔无卡支付资讯(Card Not Present,CNP)在暗网中的售价为10美元,那么这几年来该集团的不法获利可望达到700万美元。
天地和兴工业网络安全研究院编译,参考来源:iThome Security
天地和兴,安全周报,关键信息基础设施,工控安全
相关资讯
