关键信息基础设施安全动态周报【2020年第30期】
发布时间:
2020-07-31
来源:
作者:
访问量:
147
目 录
第一章 国内关键信息基础设施安全动态
(一)大疆无人机中存在网络安全漏洞
第二章 国外关键信息基础设施安全动态
(一)NSA/CISA联合警告针对关键工业系统的攻击
(二)工业VPN解决方案中存在严重远程代码执行漏洞
(三)纽约电力局和西门子能源共建设首个网络安全“卓越中心”
(四)朝鲜“北极星行动”攻击美国国防和航空航天部门
(五)俄罗斯GRU黑客攻击美国政府和能源目标
(六)西班牙国有铁路基础设施管理公司ADIF遭受勒索软件REVil攻击
(七)FBI警告新型破坏性DDoS攻击媒介
(八)BootHole漏洞可致数亿设备安装隐形恶意软件
(九)朝鲜APT组织Lazarus是勒索软件VHD的幕后黑手
(十)朝鲜黑客Lazarus滥用跨平台恶意程序框架MATA
(十一)德国商业巨头Dussmann遭受勒索软件Nefilim攻击后数据泄漏
(十二)美国公布“5G干净网络”名单
(十三)数十家企业的源代码在网上泄露
(十四)美国数字银行Dave受安全漏洞影响泄露750万用户数据
(十五)索马里议会投票罢免总理后互联网中断
第一章 国内关键信息基础设施安全动态
(一)大疆无人机中存在网络安全漏洞
网络安全公司Grimm和Synacktiv发现,大疆的一款Android应用程序存在网络安全漏洞,该漏洞可能会让世界上最大的无人机制造商大疆(DJI)及其计算机系统使用者能够从世界各地数十万无人机所有者的麦克风、摄像头、联系人甚至位置中窃取信息,这可能会帮助中国政府收集大量信息。
研究人员发现,该公司还能够在没有Google或无人机所有者同意甚至不必知道正在更新应用程序的情况下向应用程序发送自动更新。从理论上讲,该更新功能可用于向手机加载恶意软件,这些恶意软件会将海量数据发送回中国。 该功能只出现在无人机所有者使用的Android应用程序中,而不是公司和政府机构使用的版本中。该应用程序的iPhone版本中也没有该功能。
然而,这一警报发出之际,大疆已经受到对华鹰派人士和一些美国官员的严格审查。出于间谍方面的担忧,五角大楼在2017年禁止了该公司的无人机,内政部在1月份停飞了其约800架DJI无人机。立法者正在寻求在联邦政府的其他部门禁止他们,并将他们从州和地方政府中根除。DJI曾表示,这些禁令是关于政治的,而不是安全的。
到目前为止,没有证据表明这款应用被用来窃取任何信息或向北京交出任何东西。DJI发言人告诉《纽约时报》,自动更新功能是为了确保无人机爱好者不会侵入系统,这样他们就可以违反政府关于无人机在哪里和多高飞行的规定。发言人Brendan Schulman表示:“如果检测到被黑客入侵的版本,则会提示用户从我们的网站下载官方版本。”
《泰晤士报》的Paul Mozur,Julian E. Barnes和Aaron Krolik报道说,大疆直接更新Android应用程序的能力也可能是一种变通办法,因为政策在中国境内屏蔽了谷歌。
天地和兴工业网络安全研究院编译,参考来源:WashingtonPost http://dwz.date/bJnz
第二章 国外关键信息基础设施安全动态
(一)NSA/CISA联合警告针对关键工业系统的攻击
美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)近日联合发布了针对美国各地关键基础设施的网络攻击警报。
美国国家安全局/中国国家安全局(NSA/CISA)发布的联合公告称:“近几个月来,网络行为者表明,他们继续愿意利用互联网可访问的运营技术(OT)资产,对关键基础设施(CI)进行恶意网络活动。”由于对手能力和活动的增加,对美国国家安全和生活方式的危害性,以及OT系统的脆弱性,民用基础设施成为试图损害美国利益或报复被认为是美国侵略的外国势力的有吸引力的目标。
美国机构敦促关键基础设施的所有者和运营商采取必要措施,提高在关键环境中使用的美国系统的弹性和安全性。NSA和CISA建议所有国防部、NSS、DIB和美国关键基础设施立即采取行动,保护他们的OT资产。
攻击者的目标是在发电厂、工厂、石油和天然气炼油厂等工业环境中广泛采用的Triconex TriStation和Triconex Tricon通信模块等特定设备。
在另一项单独的安全咨询中,ICS-CERT警告施耐德电气Triconex TriStation和Tricon通信模块存在严重的安全漏洞。
这已经不是这些系统第一次在野外成为威胁分子的目标了。
2017年12月,FireEye的研究人员发现了一种名为Triton Malware(又名Trisis)的新恶意代码,它专门针对工业控制系统(ICS)系统而设计。CyberX的安全专家分析了恶意软件的样本,提供了有关攻击的进一步细节,他们透露,Triton很可能是由伊朗开发的,被用来攻击沙特阿拉伯的一个组织。Triton恶意软件的设计目标是施耐德电气的Triconex安全仪表系统(SIS)控制器,这些控制器用于工业环境中监控过程的状态,并将其恢复到安全状态,或者在参数显示存在潜在危险情况时将其安全关闭。Triton旨在使用未公开记录的专有TriStation协议进行通信,这意味着攻击者对该协议进行了反向工程以实施攻击。
不幸的是,工业环境中使用的大多数OT系统从来没有设计成连接到互联网,这意味着它们特别容易受到网络攻击。
来自CISA和NSA的专家观察到了在美国关键基础设施中针对这些系统所使用的混合技术。攻击链从鱼叉式钓鱼消息开始,一旦攻击者获得对组织IT网络的访问权限,他们就会尝试横向移动以瞄准OT网络。
以下是咨询中提供的最近观察到的战术、技术和程序的列表。
l 在转向OT网络之前,引导网络钓鱼[T1192]以获得对组织的信息技术(IT)网络的初始访问权限。
l 部署商用勒索软件以加密数据以对两个网络产生影响[T1486]。
l 连接到可访问互联网的PLC[T883],初始访问无需身份验证。
l 利用常用端口[T885]和标准应用层协议[T869]与控制器通信并下载修改后的控制逻辑
l 使用供应商工程软件和程序下载[T843]。
l 修改PLC上的控制逻辑[T833]和参数[T836]。
NSA/CISA警报中详细说明的错误之一是Triconex SIS中的一个严重漏洞,跟踪名称为CVE-2020-7491,在CVSS漏洞严重程度等级上被评为10级。CVE-2020-7491漏洞是一个不当访问控制漏洞。对安全检测系统(SIS)控制器的成功攻击可让攻击者查看网络上的明文数据、触发拒绝服务条件或允许不正确的访问。
建议中列出的漏洞会影响在Windows NT、Windows XP或Windows 7上运行的TriStation 1131、v1.0.0至v4.9.0、v4.10.0和4.12.0,以及Tricon v10.0至v10.5.3系统中安装的Tricon通信模块(TCM)型号4351、4352、4351A/B和4352A/B。好消息是,这些SIS的较新版本不受这些漏洞的影响。
联合警报总结称:“OT资产对国防部(DoD)的任务至关重要,是基本国家安全系统(NSS)和服务以及国防工业基地(DIB)和其他关键基础设施的基础。在这个紧张局势加剧的时候,这是紧急情况。”
天地和兴工业网络安全研究院编译,参考来源:SecurityAffairs http://dwz.date/bJqb
(二)工业VPN解决方案中存在严重远程代码执行漏洞
Claroty研究人员7月28日发布报告称,其发现了用于远程访问操作技术(OT)网络的多个工业VPN中存在严重远程代码执行漏洞,使得攻击者能够覆盖数据、执行恶意代码或命令、造成DoS条件等,利用这些漏洞可以让攻击者直接访问现场设备,并造成一些物理损害。
这些专用的远程访问解决方案主要集中于工业控制系统(ICS)行业,其主要用例是为现场控制器和设备(包括可编程逻辑控制器(PLC)和输入/输出(IO)设备)提供维护和监视。这种解决方案通常部署在Purdue模型第五层网络的外层边界,并提供对级别1/0的现场控制器和设备的访问。利用这些漏洞可以使攻击者直接访问现场设备,并造成一定程度的物理损坏。
自从新冠肺炎进入全球舞台以来,企业级VPN安装已成为所有依赖远程劳动力的组织的必备条件。同时,它们已成为寻找进入公司IT网络和资产途径的犯罪分子的重要目标。
这种情况促使研究人员搜索远程运营商和第三方供应商使用的工业VPN解决方案中的漏洞,这些解决方案用于访问、维护和监控部署在石油和天然气设施、供水设施和电力设施中的现场控制器、可编程逻辑控制器(PLC)和输入/输出(IO)设备。其中包括Secomea的GateManager M2M服务器、Moxa的带有一体化安全路由器的工业VPN服务器,以及HMS Networks的eCatcher VPN客户端。
Secomea的GateManager是一个部署在全球范围内的ICS远程访问服务器,它是一个基于云的SaaS解决方案,部署了许多通用和白标实例,已被发现存在几个缺陷,这些缺陷都相当严重:
• CVE-2020-14500 –由于对客户端提供的一些HTTP请求头处理不当,可能会被利用-远程且无需身份验证-来执行恶意代码,并有效地获得对客户内部网络的访问权限
• CVE-2020-14508 –一个可能允许攻击者实现RCE或导致DoS条件的Off-by-one错误
• CVE-2020-14510 –-硬编码远程登录凭据
• CVE-2020-14512 –可能泄露用户密码的弱哈希类型
MOXA的EDR-G902和EDR-G903系列安全路由器/虚拟专用网服务器存在基于堆栈的缓冲区溢出漏洞(CVE-2020-14511),这可能会导致RCE。
最后,HMS Networks的eCatcher中存在堆栈缓冲区溢出漏洞(CVE-2020-14498),这是一个专有的VPN客户端,用于连接到该公司的EWON VPN设备,该设备允许机器制造商和工厂所有者远程监控其设备的性能。此漏洞可由引诱目标访问恶意网站或打开包含巧尽心思构建的HTML元素的恶意电子邮件触发。
研究人员演示说:“通过发送嵌入了能够利用CVE2020-14498的特制图像的社会工程电子邮件,攻击者可以使用最高权限执行代码,只需让受害者查看恶意电子邮件,就可以完全控制受害者的机器。当电子邮件客户端(例如Outlook)加载恶意图像时,攻击阶段立即发生。”
好消息是,所有这些漏洞都已经修补好了。坏消息是,肯定还有更多的这些漏洞还没有被发掘出来,可能是由怀有恶意的个人所为。随着勒索软件攻击者越来越多地寻找方法来破坏任务关键型系统,迫使公司支付巨额费用,可以预测,攻击者迟早会利用OT特定解决方案中的漏洞。这些漏洞强化了OT远程访问固有的独特风险。
天地和兴工业网络安全研究院编译,参考来源:help net security http://dwz.date/bJr5
(三)纽约电力局和西门子能源共建设首个网络安全“卓越中心”
根据E&E News消息,美国最大国有公用电力公司纽约电力局(NYPA)和德国西门子能源股份公司(Siemens Energy AG)正在建立一个网络安全研究实验室,以应对针对电网日益严重的黑客威胁。公布的该首个网络“卓越中心”的计划,旨在改善管理电网和其他关键基础设施的运营技术(OT)的防御能力。
西门子能源公司工业网络安全负责人Leo Simonovich表示,该中心将位于纽约州怀特普莱恩斯的NYPA能源高级电网创新实验室,它将作为枢纽,将领先的公共、私人和学术机构汇聚在一起。西门子能源公司是一家专注于电力和天然气业务,是于本月从工业巨头西门子公司分拆出来的企业。
实验室将重点关注的最为直接的问题之一,就是IT和OT系统之间的融合风险,这种风险促使美国国家安全局和国土安全部近日发布了罕见的网络安全警告。网络安全专家长期以来一直警告表示,合并业务系统会带来危险。在融合的系统中,员工使用物理控制断路器和大型电力变压器等设备的计算机来检查电子邮件和浏览网站。黑客可以首先获得对IT系统的初始访问权限,然后再转向通常无人打补丁且容易受到常见网络攻击的OT网络。
Simonovich表示,随着越来越多的员工在家工作并连接到OT环境,以及新型冠状病毒大流行的形势,进一步激发了解决IT/OT融合问题的需求。
Simonovich表示,“这意味着我们需要更快地行动,需要更快地合作,以建立共同的防御能力。”
NYPA副总裁兼首席信息安全官肯尼斯·卡恩斯(Kenneth Carnes)表示,这项工作目前是由种子资金资助的,但还需要争取联邦资金和赠款。卡恩斯表示:“我们需要推动和发展这项合作,从而为该行业的未来找到解决方案,以应对这些不断变化的威胁。”
卡恩斯说,该中心还将制定培训计划,并与大学合作,培养更多专业人才以解决网络安全专家日益扩大的缺口。在没有资源增加内部网络安全人员的小型公用事业公司中,人力短缺尤为普遍。卡恩斯说:“最终的目标是,希望成为其他人可以借鉴的示范。我们希望成为测试平台,这样他们就不必进行如此大的前期准备工作,但我们会为他们提供一个具有成本竞争力的可行解决方案。”
在网络安全中心启动之际,科技巨头IBM发布了一份报告,能源行业因受国家资助的网络攻击而蒙受了特别高昂的损失。
IBM Security发现,与其他行业相比,最近的数据泄露给能源公司的利润造成了最严重的打击。《2020年数据泄露报告的成本》调查了17个行业的542个组织,这些组织从去年8月到今年4月受到了黑客的攻击,揭示出能源行业与每次事件相关的支出跃升最高。该报告依赖于被调查组织提供的估计数据。
IBM X-Force事件响应和情报部门副总裁Wendi Whitmore表示,当企业以更快的速度扩展其数字化进程,并且安全行业的人才短缺持续存在时,团队不堪重负地保护更多设备、系统和数据。
IBM表示,与去年的报告相比,能源行业的泄露成本增加了14%,平均每次泄露的费用为639万美元。该报告称,自2017年以来,每次能源行业数据泄露的代价几乎翻了一番。
IBM Security的安全创新和补救部门主管Chris Scott表示,造成如此高昂成本的一个重要原因,就是国家资助的网络攻击造成了更大的破坏,并且越来越多地将目标锁定在诸如电网等关键基础设施上。Scott认为,民族国家有资金支持来实现这些目标,因此能源行业的风险水平会更高,因为突破这些工业环境就是他们的工作。
天地和兴工业网络安全研究院编译,参考来源:E&Enews http://dwz.date/bHpz
(四)朝鲜“北极星行动”攻击美国国防和航空航天部门
网络安全公司McAfee研究人员7月29日发布研究报告发现,在2020年3月至5月,朝鲜黑客以虚假工作机会攻击美国国防和航空航天领域员工,这些大规模网络钓鱼攻击旨在感染他们的设备并过滤国防技术情报。
McAfee研究人员将该攻击活动称之为“北极星行动”,攻击者将鱼叉式网络钓鱼电子邮件伪装成知名国防承包商提供的虚假工作机会,这是2017年和2019年针对同一行业的其他类似活动所采用的策略。
McAfee基于植入执行代码和核心功能的相似性,将这些攻击与以前的军事网络间谍网络钓鱼活动幕后的威胁组织Hidden Cobra联系在一起。Hidden Cobra是美国情报界用来跟踪朝鲜恶意网络活动的总称,这些黑客组织包括但不限于APT37、Lazarus Group、APT 38、DarkHotel、Kimsuky和Andariel。
该活动的主要目的是从经验丰富的航空航天和国防部门员工那里收集军事和国防技术情报,然后将其渗透到欧洲国家受损的基础设施中,这些基础设施也曾用于向目标受感染的设备提供恶意植入物。
McAfee表示:“诱饵文件包含与现行国防合同相关的工程和项目管理职位的职务描述。在有针对性的鱼叉式网络钓鱼行动中收到这些文件的个人,很可能会对这些诱饵文件中的内容感兴趣,正如我们在之前的行动中观察到的那样,以及与国防工业的一些知识或关系。”
这些虚假的招聘信息是由冒充“招聘者”的攻击者通过网络钓鱼电子邮件和社交网络向潜在受害者发送的。他们包括美国国防项目和组织的高级设计工程师和系统工程师职位,如F-22战斗机项目、国防、空间和安全(DSS)工作、航空综合战斗机集团和多架军用飞机现代化项目。
这些攻击的重点也很明显,北极星行动显然是朝鲜进行网络间谍活动和情报收集工作的一部分。由于该国受到严厉的经济制裁,缺乏自我维持的军工企业,因此它只能通过导入或窃取其所需信息来支持其核武器计划和野心。在这种情况下,它希望从美国国防和航空航天承包商那里获得这些信息。
但是,北朝鲜维持其核计划的另一种方式是允许其黑客从事普通的网络犯罪并将钱洗回到该国。在本周类似的新闻中,安全公司卡巴斯基(Kaspersky)周二发表了研究报告,将朝鲜的黑客与一种名为VHD的新型勒索软件联系起来。在此之前,该小组还与各种网络犯罪活动相关,例如BEC运营、Magecart攻击、银行网络抢劫、加密货币黑客和诈骗、ATM提款和加密矿僵尸网络。尽管朝鲜是一个小国,但它已建立了迄今为止最强大、最先进的黑客大军之一,其行动的多样性证明了这一点。
天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/bJaR
(五)俄罗斯GRU黑客攻击美国政府和能源目标
俄罗斯GRU军事情报机构实施了许多历史上最咄咄逼人的黑客行为:破坏性蠕虫、停电,以及一次旨在影响2016年美国总统大选结果的黑客入侵活动。如今,GRU似乎再次攻击了美国的网络,这是一系列此前未被报道的入侵行为,目标从政府机构到关键基础设施等组织。
根据美国联邦调查局(FBI)5月份发给入侵受害者的一份通知,至少从2018年12月到今年5月,名为APT28或Fancy Bear的GRU黑客组织对美国目标进行了广泛的黑客活动。据联邦调查局称,GRU黑客主要试图侵入受害者的邮件服务器、Microsoft Office365和电子邮件账户以及VPN服务器。联邦调查局的通知称,这些目标包括“广泛的美国组织,州和联邦政府机构,以及教育机构”。通知中包括的技术信息显示,APT28黑客也以美国能源部门为目标,显然是同一行动的一部分。
一名FBI发言人在一份声明中写道:“虽然并非所有动机都很清楚,但我们可以根据从过去的起诉书中看到的目标性质做出判断。”联邦调查局还表示,GRU的黑客行动可能会持续到最近几个月。
根据联邦调查局的受害者通知,APT28黑客通过发送到个人和工作电子邮件账户的鱼叉式钓鱼电子邮件获得了访问网络的权限。他们还使用了密码喷洒攻击,即黑客在许多账户上尝试通用密码,以及暴力破解攻击,针对一个或少数账户猜测一长串密码。
在美国联邦调查局(FBI)5月初向受害者发出通知后的几天内,美国国家安全局(NSA)发布了一份公开公告,称独立但联系密切的GRU黑客组织SandWorm正在利用Exim邮件服务器的漏洞攻击受害者。联邦调查局表示,他们不知道美国进出口银行的剥削与APT28运动之间有任何联系。
联邦调查局拒绝评论APT28战役可能针对的受害者人数,以及其中有多少人成功。但是安全公司FireEye说,他们已经得知有“少数”的受害者组织被黑客攻击,他们使用的IP地址与联邦调查局受害者通知中列出的APT28相同。FireEye的网络间谍分析师本·里德(Ben Read)说,在这些情况下,黑客似乎没有用恶意软件感染系统,而是像员工一样,利用窃取的凭证在企业网络中四处移动。
虽然FireEye和FBI都不愿透露APT28受害者的身份,但该组织至少有一个目标是在美国能源行业。美国能源部(Department of Energy advisory)今年1月发布警告称,去年平安夜,有人从APT28之前使用过的IP地址,对一家“美国能源实体”的登录页面进行了探测。联邦调查局还将同一个IP地址列为5月份APT28黑客使用的IP地址,证实了APT28很可能是这起事件的幕后主使。
工业控制系统安全公司德拉戈斯(Dragos)的安全研究员Joe Slowik表示,能源部门的入侵将代表着针对APT28的目标的转变,他发现了美国能源部的建议和联邦调查局受害者通知之间的联系。他说:“鉴于我们对APT28的运作方式及其典型的受害者行为学的了解,确定与美国能源部门互动的组织将与该组织以前的表现有很大不同。”虽然显然是APT28的一个新项目,但作为一个整体,GRU确实有黑客攻击关键基础设施的历史。GRU黑客组织Sandworm在2014年在美国电力公司的网络上植入恶意软件,然后在2015年和2016年在乌克兰实施了有史以来第一次由网络攻击引发的停电。Slowik认为,APT28现在可能也在嗅探美国能源行业的目标,或者沙虫病是,鉴于这两个组织过去曾合作过,这种观点令人不安。这是一个值得关注的数据点,这是一段时间以来,该组织首次将目标锁定在美国关键基础设施上。
鉴于GRU在2016年臭名昭著的选举干预运动,2020年针对美国组织的一场新的GRU黑客运动也引发了另一轮选举干预的担忧。美国情报官员自今年初以来一直警告称,俄罗斯寻求再次干预美国选举政治,以帮助特朗普总统连任。但FBI和FireEye都表示,他们没有看到APT28的这一系列特定入侵与即将到来的总统选举有关的迹象。相反,FireEye的Read表示,这场运动表明,GRU对美国目标的普遍兴趣并未结束,尽管其最终结果仍不明朗。
天地和兴工业网络安全研究院编译,参考来源:Wired http://dwz.date/bJnW
(六)西班牙国有铁路基础设施管理公司ADIF遭受勒索软件REVil攻击
威胁情报公司Cyble证实,西班牙国有铁路基础设施管理公司ADIF遭受了勒索软件Revil的攻击。攻击者声称窃取了800GB的数据,包括合同和财务数据。
ADIF负责西班牙大部分铁路基础设施的管理,包括轨道、信号和车站。成立于2005年,是为了响应欧盟的要求,将基础设施管理的自然垄断与运营火车服务的竞争性运营分开。该公司拥有超过13,000名员工,收入约为80亿美元。
作为攻击的证据,Revil勒索软件操作员发布了从该公司窃取的数据文件样本。如果ADIF拒绝支付赎金,Revil勒索软件运营商将在网上泄露他们的机密数据。
ADIF证实,其遭受了勒索软件攻击,并补充表示其内部安全部门立即缓解了这种攻击。该公司表示,“基础设施在任何时候都没有受到影响,其所有服务的正常运行都得到了保证。ADIF意识到自己是铁路网开发等关键基础设施的管理者,认为网络安全是全面安全的支柱之一。”
根据Cyble研究人员的说法,攻击者可能已经下载了公司的机密数据,如ADIF的高速招聘委员会合同、财产记录、现场工程报告、项目行动计划、关于客户的文件等等。
以下是威胁参与者泄露的示例数据之一:
此前REVil勒索软件运营商还攻击了阿根廷最大的互联网服务提供商之一阿根廷电信,感染了大约18,000台计算机,并索要750万美元的赎金。
天地和兴工业网络安全研究院编译,参考来源:SecurityAffairs http://dwz.date/bJnh
(七)FBI警告新型破坏性DDoS攻击媒介
7月21日,美国联邦调查局FBI发出警报,警告美国私营部门组织使用的内置网络协议已被滥用来发起大规模分布式拒绝服务(DDoS)攻击。该警报列出了三个网络协议和一个Web应用程序作为新发现的DDoS攻击媒介,包括CoAP、WS-DD、ARMS及Jenkins。
DDoS放大攻击是在攻击者向服务器发送少量请求并且服务器对受害者做出更多响应时发生的。通常,攻击者会欺骗源IP地址,使其看起来像是受害者,从而导致流量淹没了受害者资源。
CoAP,约束应用协议。根据开源报告,2018年12月,网络参与者开始滥用约束应用协议(CoAP)的多播和命令传输功能进行DDoS反射和放大攻击,放大倍数为34。截至2019年1月,绝大多数可通过互联网访问的CoAP设备都位于中国,并使用了移动对等网络。
WS-DD,Web服务动态发现。据开源报告称,在2019年5月和8月,网络参与者利用Web服务动态发现(WS-DD)协议发起了130多种DDoS攻击,其中两次攻击达到了每秒350千兆比特(Gbps)以上的规模。根据单独的开源报告,同年晚些时候,几名安全研究人员报告表示,网络参与者对非标准协议和错误配置的IoT设备的使用有所增加,以放大DDoS攻击。物联网设备是有吸引力的目标,因为它们使用WS-DD协议自动检测附近的新的互联网连接设备。此外,WS-DD使用UDP进行操作,这使参与者可以欺骗受害者的IP地址,并导致附近的IoT设备中的数据被淹没。截至2019年8月,启用WS-DD协议的物联网设备达到630000台。
ARMS,Apple远程管理服务。根据开源报告,2019年10月,网络参与者利用Apple远程管理服务(ARMS)(Apple Remote Desktop(ARD)功能的一部分)进行DDoS放大攻击。启用ARD后,ARMS服务开始在端口3283上侦听到远程Apple设备的传入命令,攻击者通常使用35.5:1的放大系数发起DDoS放大攻击。ARD主要用于管理大学和企业的大量Apple Mac。
Jenkins,基于Web的自动化软件。2020年2月,英国安全研究人员在Jenkins服务器的内置网络发现协议中发现了一个漏洞,这些服务器用于支持软件开发过程,网络参与者可以利用该漏洞进行DDoS放大攻击。研究人员估计,网络攻击者可以利用易受攻击的Jenkins服务器,针对跨部门目标受害者的在线基础设施,放大DDoS攻击流量100倍。
FBI表示,在短期内,网络参与者可能会利用越来越多的设备,这些设备默认情况下启用内置网络协议,以创建能够促进毁灭性DDoS攻击的大规模僵尸网络。
防御威胁的几个步骤包括:设置网络防火墙,该网络防火墙将阻止对所有未授权IP地址的访问;确保所有连接的设备已更新到最新的固件版本,并应用了最新的安全补丁程序;更改IoT和其他设备上的所有默认用户名和密码,并使用多因素身份验证。
天地和兴工业网络安全研究院编译,参考来源:welivesecurity http://dwz.date/bHsV
(八)BootHole漏洞可致数亿设备安装隐形恶意软件
固件安全公司Eclypsium7月29日发表研究报告称,数十亿的Windows和Linux设备受到严重的GRUB2引导加载程序漏洞的影响,可以利用该漏洞安装持久性和隐秘的恶意软件。
该漏洞的跟踪名为CVE-2020-10713,被称为BootHole,CVSS评分为8.2,Eclypsium表示它会影响将GRUB2与Secure Boot结合使用的所有操作系统,该机制旨在保护Boot进程免受攻击。实际上,该漏洞会影响使用Secure Boot的计算机,即使它们未使用GRUB2。
Eclypsium在其报告中解释说:“几乎所有GRUB2的签名版本都容易受到攻击,这意味着几乎每个Linux发行版都会受到影响。此外,GRUB2支持其他操作系统,内核和管理程序,例如Xen。该问题还扩展到将安全启动与标准的Microsoft第三方UEFI证书颁发机构一起使用的所有Windows设备。”
该公司表示,该漏洞影响了大多数笔记本电脑,台式机,工作站和服务器设备以及医疗,工业和金融部门使用的网络设备。
威胁参与者可以利用此漏洞来安装引导程序包或恶意引导程序,从而控制目标设备。研究人员指出,利用此漏洞需要在目标设备上具有管理员特权,但成功利用该漏洞可使攻击者获得更高的特权并实现持久性。
BootHole为与GRUB2如何解析其grub.cfg配置文件有关的缓冲区溢出漏洞。攻击者可以修改此文件,该文件通常是在EFI系统分区中找到的无符号文本文件,以确保在加载操作系统之前,其恶意代码在UEFI执行环境中执行。这使攻击者能够运行恶意软件,修改启动过程或直接修补操作系统内核。
在Eclypsium发现BootHole漏洞之后,Canonical安全团队还分析了GRUB2并确定了其他几个安全漏洞,所有这些漏洞均被列为中等严重漏洞。
Eclypsium已与Microsoft、Linux发行版、UEFI安全响应团队、OEM、CERT、VMware、Oracle和其他受影响的软件供应商协调了该漏洞的披露。他们中的许多组织预计会发布有关BootHole和其他GRUB2问题的公告或更新。
缓解措施将需要签名和部署新的引导加载程序,并且应该撤销易受攻击的引导加载程序,以防止攻击者在攻击中使用较旧的易受攻击的版本。这可能是一个漫长的过程,需要组织花费大量时间才能完成补丁。
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek http://dwz.date/bHuz
(九)朝鲜APT组织Lazarus是勒索软件VHD的幕后黑手
卡巴斯基研究人员7月28日发布研究报告称,朝鲜APT组织Lazarus正在使用新型勒索软件VHD针对企业发起攻击。
Lazarus组织的攻击活动在2014至2015年激增,其成员在攻击中主要使用了定制的恶意软件。该组织与几起主要的网络攻击事件有关,包括2014年的Sony Pictures黑客攻击、自2016年以来的多次SWIFT银行攻击、以及2017年的WannaCry 勒索软件攻击。近日卡巴斯基研究人员还发现,Lazarus APT组织使用一种名为MATA的新型多平台恶意软件框架来定位全球范围内的实体。
在该报告中,研究人员详细介绍了该组织在2020年3月至2020年5月之间使用的VHD勒索软件样本。这些样本已部署在目标企业的网络上,在发现的每台计算机上都使用SATA服务对SMB服务进行暴力破解,并使用MATA恶意软件框架(也叫Dacls)。卡巴斯基的研究人员调查了两次事件,其中威胁行为者部署了VHD勒索软件,攻击者的TTP与Lazarus的TTP保持一致。
根据卡巴斯基的说法,该勒索软件实现了勒索软件的标准功能,它还可以暂停可能阻止文件加密的进程,例如Microsoft Exchange或SQL Server。
对攻击的分析表明,VHD勒索软件感染链始于黑客通过利用易受攻击的VPN网关来访问其受害者的网络。然后,攻击者在受感染的系统上提升了特权,并安装了后门,该后门是MATA恶意软件框架的一部分。攻击者利用后门来控制Active Directory服务器,并使用它在基于Python的加载程序的帮助下,在10小时内将VHD勒索软件交付给目标网络中的所有系统。
卡巴斯基在该报告中表示,“我们掌握的数据表明,VHD勒索软件不是商用的现成产品。据我们所知,Lazarus组织是MATA框架的唯一所有者。因此,我们得出结论,VHD勒索软件也由Lazarus拥有和运营。很明显,该组织无法通过针对目标勒索软件的即时运行方法来与其他网络犯罪团伙的效率相提并论。”
天地和兴工业网络安全研究院编译,参考来源:SecurityAffairs http://dwz.date/bHx5
(十)朝鲜黑客Lazarus滥用跨平台恶意程序框架MATA
卡巴斯基最近揭露一种名为MATA的恶意软件框架,它不只能针对Windows、Linux,以及macOS操作系统的电脑发动攻击,黑客也运用来窃取公司机密与植入勒索软件病毒。
卡巴斯基揭露一款名为MATA的恶意软件框架,与朝鲜的黑客组织Lazarus有所关连,在波兰、德国、土耳其、韩国、日本,以及印度等国家都传出攻击事件,而受害的公司类型,包含软件开发公司、电子商务网站,以及网络服务供应商(ISP)等。卡巴斯基指出,这个恶意程序框架,能同时针对Windows、macOS,以及Linux操作系统的电脑发动攻击,他们看到黑客运用该框架目的,主要是窃取受害企业的资料库,但也有勒索软件攻击的事件传出。不过,对于具体的受害企业数量,卡巴斯基没有进一步透露。
至于卡巴斯基何以认为背后的攻击者是Lazarus?该公司指出,MATA与恶意软件Manuscrypt(又称Copperhedge)的变种,具有相同的特征,而滥用这个恶意软件家族发动攻击的黑客组织,就是Lazarus。Manuscrypt锁定攻击的目标,是加密货币的交易平台,美国国土安全部(DHS)才在今年5月,公布这个恶意软件的分析报告,呼吁各界留意他们发动的攻击,因此,卡巴斯基认为,Lazarus近期的动作算是很频繁,使得MATA的后续发展也相当值得关注。
卡巴斯基指出,他们在MATA的工作调度器(Orchestrator)程序码里,发现呼叫2个CLS档案(下图白框处),是Lazarus(亦称Hidden Cobra)的恶意软件所独有。他们拿出先前该组织被揭露、针对加密货币交易平台的攻击程序Manuscrypt来比对(上图),指出两者都有c_2910.cls和k_3872.cls,因此认为滥用MATA的就是Lazarus。
虽然卡巴斯基没有提及受害规模,但是Lazarus的犯行可说是罄竹难书,包括于2014年入侵索尼影业(Sony Picture)、盗转孟加拉央行1亿美元,以及在2017年散布勒索软件WannaCry,导致全球各地的发电厂与医疗院所等关键基础设施,接连传出攻击等,必须留意MATA可能造成的威胁。
该公司指出,这个框架具备启动器与工作调度器(Orchestrator),然后可搭配许多的外挂模组使用,工作调度器会从C&C中继站接收黑客的攻击指令,来发动进阶持续性攻击(APT )。他们最早于2018年4月看到这款工具出现,并且在今年4月看到锁定macOS电脑的攻击,卡巴斯基表示,他们观察到大多数受害的电脑,都有MATA的启动器与工作调度器,并且藉由前者载入受到加密保护的负载(Payload),但不确定是否就是上面提及的工作调度器。一旦MATA恶意软件框架成功进入到企业的环境,攻击者便会试图寻找含有重要个资或是商业机密的资料库,并下达资料库查询的指令,然后外泄相关资料清单,至于黑客窃得了那些资料,卡巴斯基没有说明。
虽然黑客是以窃密为主,但卡巴斯基还是发现其他攻击,例如,他们看到其中1个受害企业,同时被植入了VHD勒索软体。卡巴斯基指出,尽管这个恶意程序框架仍然在发展当中,不过它已经能运用在2种不同型态的攻击上,也具备跨平台的特性,对3大类型的操作系统电脑都能下手。这个可通用于入侵多种环境的恶意软件框架,代表黑客也朝向采行一体适用的方向,发展能渗透受害企业的工具,一旦发动攻击,范围可能不再局限特定的操作系统,也有可能伴随2种以上的攻击模式。
天地和兴工业网络安全研究院编译,参考来源:iThome http://dwz.date/bJzx
(十一)德国商业巨头Dussmann遭受勒索软件Nefilim攻击后数据泄漏
德国最大的多服务提供商杜斯曼集团(Dussmann Group)证实,其子公司之一DresdnerKühlanlagenbauGmbH(DKA)近日遭受勒索软件Nefilim攻击,导致数据被盗。
杜斯曼集团(Dussmann Group)是德国最大的多服务提供商,其子公司专注于设施管理,企业儿童保育,老人护理和照护以及业务系统解决方案,包括暖通空调,电气工程和电梯。
在DKA攻击期间,Nefilim运营商声称在部署勒索软件之前已经窃取了未加密的文件。然后,这些被盗的文件被用作对付受害者的筹码,迫使他们在数据将在勒索软件数据泄露网站上公开发布的威胁下支付赎金。
7月27日,Nefilim运营商在他们的数据泄露网站上发布了一篇帖子,公布了两个档案,其中包含价值14 GB的被盗文件。根据文件列表,这些档案包含大量文档,包括Word文档、图像、会计文档和AutoCAD图形。
拥有570名员工的制冷专业公司Dresdner Kühlanlagenbau GmbH(DKA)一直是网络攻击的目标,在攻击期间数据被加密和复制。DKA是杜斯曼集团的子公司。作为预防措施,服务器被关闭了。萨克森州的数据保护部门和州刑事调查局已经接到通知,并已提出指控。
杜斯曼集团(Dussmann Group)企业公关主管米凯拉·梅尔斯(Michaela Mehls)表示:“DKA正在与当局和外部网络安全专家密切沟通。制冷空调厂工程业务部门的运营流程是安全的。DKA已经向客户和员工通报了网络攻击和数据外流。由于正在进行的调查,目前我们不能透露更多信息。”
Nefilim勒索软件操作员告诉Bleepingcomputer,他们加密了四个域名,并窃取了大约200 GB的档案。
目前还不清楚Nefilim运营商是如何进入DKA的网络的,网络情报公司Bad Packets也无法找到位于他们网络上的任何易受攻击的VPN网关或设备。由于暴露的远程桌面服务器估计要对所有网络入侵的70%-80%负责,攻击者很可能通过暴露的服务器或网络钓鱼攻击获得访问权限。
天地和兴工业网络安全研究院编译,参考来源:BleepingComputer http://dwz.date/bJxM
(十二)美国公布“5G干净网络”名单
美国国务院日前公布“5G干净网络”名单。最新公布的更新名单包括美国的Verizon、AT&T和Sprint,加拿大的Bell和Telus,英国的O2,以及台湾地区的台湾大、亚太电信和台湾之星等。
国务院委托美国智库战略暨国际研究中心(CSIS)评估电信设备供应,公布全球5G干净网络名单,目的在确保其关键电信网络、云端、数据分析、行动应用、物联网、5G技术不使用到“不受信任”的设备供应商,以免受恶意攻击者侵害,或受到中国等专制政府不公正的法外控制。
“5G干净网络”背后由多个国家与企业所建立,美国国务卿蓬佩奥在今年4月宣布,美国国务院将开始要求所有进入和离开美国外交机构的5G网络流量都需要一条“清洁路径”,简单来说,就是一个没有任何中国因素的5G网络信道。
列入名单的还包括法国的 Orange、印度的 Jio、澳洲的 Telstra、韩国SK 和 KT、日本的 NTT 和英国的 O2 都拒絕使用华为,加拿大三大电信公司 Rogers、Bell、Telus 也都已決定与愛立信、諾基亚、三星等非中国企业合作。
天地和兴工业网络安全研究院编译,参考来源:technews http://dwz.date/bJvf
(十三)数十家企业的源代码在网上泄露
由于基础架构配置不正确,来自技术、金融、零售、食品、电子商务、制造业等各个活动领域的数十家公司的公开资料库的源代码可公开获得。泄漏代码的公共存储库包括Microsoft、Adobe、Lenovo、AMD、Qualcomm、摩托罗拉、Hisilicon、联发科技,GE Appliances、任天堂、Roblox、迪士尼、江森自控等知名公司,而且这个名单还在增长。
泄漏是由开发人员和逆向工程师Tillie Kottmann收集的,这些泄漏来自各种来源,也来自他们自己对配置错误的devops工具的追捕,这些工具可提供对源代码的访问。在GitLab上的公共存储库中可以找到大量此类泄漏,这些泄漏的名称为机密,或者更贴切的标签为“机密和专有”。
据专注于银行业威胁和欺诈的研究人员Bank Security称,存储库中发布了来自50多家公司的代码。不过,并非所有文件夹都已填充,但是研究人员说在某些情况下还存在凭据。
Kottmann的服务器显示来自金融科技公司(Fiserv、Buczy Payments、Mercury Trade Finance Solutions)、银行(Banca Nazionale del Lavoro)、身份和访问管理开发人员(Pirean Access:One)和游戏的代码。Kottmann表示,他们在易于访问的代码存储库中找到了硬编码的凭据,他们试图尽可能地将其删除,以防止直接伤害并避免以任何方式造成更大的破坏。
开发人员承认,在发布代码之前,他们并不总是与受影响的公司联系,但是他们尽了最大的努力使发布带来的负面影响最小化。
Kottmann还表示,他们遵守移除要求,并乐意提供可增强公司基础架构安全性的信息。储存库中不再存在戴姆勒公司泄漏。另一个空文件夹的名称为Lenovo。但是,从收到的DMCA通知数量(估计最多7份)以及法律或其他代表的直接联系来看,许多公司可能并不了解泄漏情况。
一些企业注意到他们的代码公开了,但是懒得去删除。一家公司的几名开发人员只是想知道Kottmann是如何获得代码的,并没有要求将其删除。
天地和兴工业网络安全研究院编译,参考来源:BleepingComputer http://dwz.date/bJwE
(十四)美国数字银行Dave受安全漏洞影响泄露750万用户数据
数字银行应用和科技独角兽Dave.com7月26日证实其存在一个安全漏洞,此前有黑客在公共论坛上公布了7516625名用户的详细资料。安全漏洞源于前商业合作伙伴Waydev的网络,Waydev是一个工程团队使用的分析平台。
由于Dave的前第三方服务提供商之一Waydev中存在漏洞,最近有恶意方未经授权访问了Dave的某些用户数据。
该公司表示,已经堵住了黑客的入口点,并正在通知客户该事件。泄露事件后Dave应用程序的密码也将被重置。Dave发言人称:“当Dave意识到这一事件后,公司立即启动了调查,调查正在进行中,并正在与执法部门协调,包括与FBI协调,围绕恶意方声称已经‘破解’了其中一些密码,并试图出售Dave客户数据。”该公司还邀请了网络安全公司CrowdStrike协助调查。
ZDNet于7月25日凌晨得知了这一安全漏洞。有读者爆料称,有黑客在RAID上提供Dave应用的用户数据,该论坛以黑客泄露数据库的首选之地而闻名。这名黑客“ShinyHunters”也曾入侵和泄露/出售许多其他公司的数据,包括Mathway、Tokopedia、Wishbone等。
Dave数据目前以免费下载的形式提供,需要论坛成员使用论坛积分解锁下载链接。该数据包括丰富的信息,如真实姓名、电话号码、电子邮件、出生日期和家庭地址。数据中还包括社会安全号码,但Dave表示这些细节都被加密了。在获得数据副本后证实了这一点。
密码也包括在内,但使用bcrypt进行了哈希处理,这种哈希函数可以防止黑客查看明文密码。Dave表示,目前,他们没有证据表明黑客利用这些数据访问用户账户并执行任何未经授权的行动。
天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/bJtp
(十五)索马里议会投票罢免总理后互联网中断
来自NetBlocks互联网观测站的网络数据证实,自7月26日当地时间上午10:30开始,索马里大部分地区的互联网中断,对摩加迪沙产生了重大影响。27日下午连接基本恢复,事件持续了约31个小时。
7月25日,索马里议会以不信任投票将总理哈桑·阿里·哈伊尔撤职。178名国会议员中有170名支持反对哈伊尔的动议,理由是选举日程安排存在争议。
实时数据显示,全国的连通性水平仅为正常水平的30%,影响最大的是首都摩加迪沙。记者注意到,该网络中断限制了对25日事件的政治反应的新闻报道。随着事件持续到26日周日,欧盟和美国大使馆发表声明,谴责强迫辞职违背了索马里宪法基础。
该事件在全国范围内产生了不完全的影响,迹象表明有人故意中断网络并影响蜂窝和固定线路网络。目前还没有确切地将此次中断归因于任何国际技术中断或网络攻击。
议会议长穆罕默德·穆萨尔在向新闻界发表的声明中表示,“在得知政府未能履行其承诺后,没有准备一项明确的计划,为2021年的一人一票选举铺平道路,议会对政府及其总理哈桑·阿里·哈伊尔了不信任投票。”
对海底电缆网络的初步分析显示,目前没有影响多个国家的国际电缆中断。据信,大多数但并非全部索马里主要的商业和住宿服务提供商受到了影响。
有消息人士告诉NetBlocks,政治气氛仍然不明朗,部分原因是电信中断。索马里的互联网被切断之前,邻国埃塞俄比亚当局已经关闭了数周的互联网。
天地和兴工业网络安全研究院编译,参考来源:NetBlocks http://dwz.date/bHyU
天地和兴,安全周报,关键信息基础设施
相关资讯
