关键信息基础设施安全动态周报【2020年第42期】
发布时间:
2020-10-23
来源:
作者:
访问量:
106
目 录
第一章 国内关键信息基础设施安全动态
(一)TikTok启动公共漏洞赏金计划
第二章 国外关键信息基础设施安全动态
(一)澳大利亚天然气生产商Kleenheat泄露客户信息
(二)蒙特利尔STM公共交通系统遭受勒索软件攻击
(三)伊朗黑客组织Silent Librarian再次对大学发起攻击
(四)间谍组织MuddyWater涉嫌攻击中东政府和电信组织
(五)俄罗斯军工企业曾多次遭受朝鲜黑客攻击
(六)美国指责伊朗给多州选民发布恐吓电子邮件
(七)美国起诉在全球发动网络攻击的六名俄罗斯军官
(八)英国称俄罗斯正准备对东京奥运会发起网络攻击
(九)伊朗黑客组织向以色列公司发起集中攻击
(十)美国发布《关键与新兴技术国家战略》
(十一)网络日光浴室委员会对加强供应链提出建议
(十二)物联网安全基金会推出漏洞披露平台
(十三)研究人员发现间谍软件GravityRAT的Android和macOS版本
(十四)勒索软件运营商将ThunderX更名为Ranzy Locker并增加数据泄漏网站
(十五)勒索软件组织Darkside给慈善组织捐赠2万美元
第一章 国内关键信息基础设施安全动态
(一)TikTok启动公共漏洞赏金计划
中国视频共享社交网络服务公司TikTok本周宣布与HackerOne合作推出了公共漏洞赏金计划,邀请白帽子报告TikTok网站及其多个子网站以及Android和iOS应用程序中的安全漏洞。TikTok对高严重性漏洞的出价在1,700美元至6,900美元之间,严重漏洞的费用最高可达14,800美元。
该漏洞赏金计划说明显示,“我们鼓励安全研究人员将精力集中在发现证明有意义影响的安全漏洞上。我们的奖励基于CVSS(通用漏洞评分标准)的严重性。”
对于声称已经通过漏洞奖励计划支付了4万多美元的TikTok来说,奖励报告安全漏洞的白帽黑客的想法并不新鲜。该公司已制定了漏洞报告政策,并遵循协调披露政策,提交后的等待期为90天。
TikTok全球安全团队的Luna Wu说:“这种伙伴关系将帮助我们从全球顶尖的安全研究人员、学者和独立专家那里获得洞察力,从而更好地发现潜在威胁,并使我们的安全防御能力更加强大。”
由于安全和隐私问题,特朗普总统正试图在美国禁止TikTok。TikTok否认与中国政府共享数据的任何指控。TikTok确认所有美国用户数据都存储在美国,并在新加坡进行了备份。TikTok在美国法院对这一决定提出了质疑,法官驳回了总统要求在美国禁止TikTok在的请求。美国政府正向TikTok的母公司Bytedance施加压力,要求将其在美国的业务出售给一家美国公司。
参考来源:SecurityAffairs http://dwz.date/cVcX
第二章 国外关键信息基础设施安全动态
(一)澳大利亚天然气生产商Kleenheat泄露客户信息
澳大利亚天然气生产商Kleenheat近日警告其一些客户,该公司可能泄露了其客户的姓名和地址等信息。
Kleenheat位于澳大利亚Perth,是天然气零售商和分销商。该公司认为,该漏洞位于2014年的第三方系统上,该系统目前已不再使用。
Kleenheat在给客户的一封电子邮件中写道:“Kleenheat最近在一次例行数据安全检查中发现了这一潜在的信息泄露事件,并且没有发生在Kleenheat的内部系统中。”具有潜在泄露风险的数据为“一般联系信息”,包括姓名、居住地址和电子邮件地址。Kleenheat保证电话号码、生日、银行、信用卡和帐户详细信息没有被泄露。
Kleenheat补充表示,“一旦发现问题,我们便立即采取行动保护信息,目前尚未发现任何相关的恶意活动。请放心,我们将继续监视系统中任何潜在的可疑活动。”
参考来源:ZDNet http://dwz.date/cTaD
(二)蒙特利尔STM公共交通系统遭受勒索软件攻击
加拿大蒙特利尔公共交通运输系统(STM)10月19日遭受勒索软件RansomExx攻击,影响其IT系统、网站和客户支持。虽然这些服务中断没有影响公共汽车或地铁系统的运营,但依赖STM的上门辅助设施服务的残疾人由于使用在线登记系统而受到影响。
STM 20日上午宣布该服务中断是由“计算机病毒引起的,该病毒在各种平台上造成了重大故障”。20日晚上STM确认他们遭受了勒索软件攻击,并正在与执法机构和外部专家合作,以恢复其系统并调查攻击。
目前STM网站仍处于关闭状态,但访问者现在被重定向至www.lastm.info,发布了有关公共交通服务和攻击的信息。
据一位知情人士透露,STM遭受了勒索软件RansomExx攻击。RansomExx是Defray777勒索软件的更名版,在6月份变得更加活跃,攻击的组织包括德克萨斯州交通部(TxDOT)、Konica Minolta、IPG Photonics,以及最近的Tyler technologics。
在进行攻击时,RansomExx运营商将破坏网络,并在未加密文件横向传播到系统中时窃取这些文件。一旦他们获得了对Windows域控制器的访问权,他们就会在所有可用的设备上部署勒索软件。目前尚不清楚STM是否接触过勒索软件运营商或勒索金额。
参考来源:BleepingComputer http://dwz.date/cVrk
(三)伊朗黑客组织Silent Librarian再次对大学发起攻击
Malwarebytes研究人员10月14日发表博客文章称,自9月中旬以来,其观察到伊朗APT组织Silent Librarian发起了一场新的鱼叉式网络钓鱼运动,并将攻击目标名单扩大到更多国家。Silent Librarian的攻击目标是大学的雇员和学生,威胁行为者建立了一个新的基础设施,以避免被接管。
Silent Librarian,又名Cobalt Dickens或TA407,在过去的几年里,其攻击目标是四大洲的几十所大学。2018年8月,安全公司SecureWorks揭露了该APT组织针对全球大学开展的钓鱼活动。该行动涉及16个域名,其中包括澳大利亚、加拿大、中国、以色列、日本、瑞士、土耳其、英国和美国等14个国家的76所大学的300多个假冒网站。
Malwarebytes在其文章中指出,“考虑到伊朗正在应对不断的制裁,它努力跟上世界各领域的发展,包括技术领域的发展。因此,这些攻击代表了国家利益,而且资金充足。新域名遵循先前报告的相同模式,只是将顶级域名换成另一个域名。”威胁行为者使用的域名遵循了在过去的活动中观察到的模式,尽管他们使用的是不同的顶级域名。(使用 “.me” TLD 而不是“.tk”和 “.cf”)。
黑客使用Cloudflare进行钓鱼主机名,试图隐藏真正的主机来源。无论如何,Malwarebytes能够确定位于伊朗的一些基础设施,可能是因为由于美欧执法部门和伊朗当地警察缺乏合作,它被认为是防弹托管选项。
Malwarebytes表示,“很明显,我们只发现了这个网络钓鱼行动的一小部分。尽管大部分网站很快就被攻陷,但攻击者的优势是领先一步,同时攻击许多可能的目标。”Malwarebytes还公布了这次行动的妥协指标(IoCs)。
参考来源:SecurityAffairs http://dwz.date/cVfT
(四)间谍组织MuddyWater涉嫌攻击中东政府和电信组织
赛门铁克安全研究人员10月21日发表博客文章称,最近几个月,一个与伊朗有关联的最活跃的网络间谍组织数MuddyWater十次试图攻击中东地区的政府和电信运营商。黑客攻击了伊拉克、科威特、土耳其和阿拉伯联合酋长国的组织,伊朗在这些国家都有战略利益。攻击者似乎试图从他们设法攻破的组织中窃取关键数据。
虽然其他与德黑兰有关的黑客团队因对中东组织进行破坏和数据清除攻击而臭名昭著,但这个名为MuddyWater或Seedworm的组织更出名的是其持续不断的间谍活动。
Broadcom旗下公司赛门铁克的技术总监Vikram Thakur表示,“这些参与者非常专注于自己的工作。他们没有使用零日漏洞。他们只是在寻找常用的方法以及自定义的恶意软件,以进入这些环境,渗入他们想要的任何东西,然后继续前进。”
赛门铁克和其他安全公司的研究人员正在调查一种新的黑客工具,他们怀疑MuddyWater在黑客攻击中使用了这种工具。这种被称为PowGoop的恶意代码可以安装其他能够从网络中窃取数据的程序。Thakur在谈到PowGoop工具时表示,“它可能是MuddyWater中的一个子组,它的任务与该组的其他成员不同。”尽管赛门铁克认为,MuddyWater是PowGoop的幕后黑手,但还有其他迹象表明,该集团一直在开发新的工具。
BAE系统公司的高级威胁情报分析师Saher Naumaan称:“MuddyWater在过去的一年里非常活跃,无论是在其多产的运营中,还是在不断开发工具方面。一个重要的演变是该组织在恶意软件方面的进步,多年来,恶意软件已经从单纯基于脚本的工具,如PowerShell,转移到.NET,现在又转移到自定义C++有效负载,就像BackDoor.Mori所看到的那样。”
MuddyWater最近的活动与其在黑客活动上的盛名保持一致。赛门铁克在之前的研究中称,例如,从2018年9月到12月,该组织危害了全球范围内的30个组织的131名受害者,从俄罗斯到沙特阿拉伯再到北美。迄今为止,MuddyWater避免了来自美国公开起诉的额外审查。上个月被美国大陪审团起诉的伊朗黑客并不在其中。尽管安全公司继续揭露MuddyWater的工具,但该组织没有丝毫松懈的迹象。
参考来源:CyberScoop http://dwz.date/cVpK
(五)俄罗斯军工企业曾多次遭受朝鲜黑客攻击
据报道,为了获取俄罗斯的军事和技术秘密,朝鲜黑客组织Kimsuky曾对俄罗斯军工联合体进行数次攻击。
据网络安全公司Group-IB称,朝鲜黑客对俄罗斯国防工业的攻击发生在2020年春。朝鲜网络犯罪分子试图从航空航天和国防公司以及生产火炮设备的企业获取数据。
Telegram频道的SecAtor报道说,Rostec是受到攻击的公司之一。Rostec负责信息安全的子公司RT-Inform没有证实或否认这些数据,但指出,从4月到9月,针对国有企业资源的网络攻击次数有所增加。RT-Inform表示,“大多数攻击都是准备不足的,暴露时不会构成重大威胁,但这只能是准备工作。”专家认为,在这种情况下,来自朝鲜的黑客将很快发起新的,准备更充分的攻击。
Kimsuky还以Velvet Chollima和Black Banshee这两个名字从事网络间谍活动。根据Group IB的说法,朝鲜黑客此前曾攻击韩国的设施,但随后对俄罗斯、乌克兰、斯洛伐克和土耳其从事生产火炮设备和装甲车的企业使用欺诈性邮件。
卡巴斯基实验室网络安全专家丹尼斯·莱格佐(Denis Legezo)表示,一些来自朝鲜团体的欺诈性电子邮件包含有关航空航天和国防工业职位空缺的信息。他认为这表明了黑客对工业间谍活动的兴趣。
据E Hacking News报道,今年9月,俄罗斯发生了中国黑客组织Winnti对银行软件开发商以及建筑行业公司的攻击事件。Winnti此前曾多次入侵台湾和欧洲的工业和高科技公司网络,但该组织的活动尚未在俄罗斯报道。
参考来源:EHackingNews http://dwz.date/cUB9
(六)美国指责伊朗给多州选民发布恐吓电子邮件
美国官员10月21日晚间表示,伊朗应对发给多个州的民主党选民的电子邮件负责,这些邮件旨在恐吓收件人投票给总统特朗普。伊朗呼吁德黑兰和俄罗斯进行旨在干扰即将举行的总统选举的活动。
伊朗的活动标志着该国的重大升级,一些网络安全专家将其视为在线间谍活动的二流参与者。大多数公众选举干预的讨论都集中在俄罗斯和中国,俄罗斯在2016年大选期间入侵了民主党电子邮件。就在大选前两周,美国政府在一次罕见的、匆忙召开的新闻发布会上宣布了这一消息,这突显了美国政府内部对外国为散布虚假信息以压制选民投票率和破坏美国对投票信心的担忧,意在压制选民投票率,削弱美国人对投票的信心。
美国政府最高情报官员约翰·拉特克利夫(John Ratcliffe)与联邦调查局局长克里斯·瑞(Chris Wray)一道坚称,这些行动是绝望对手的绝望尝试,美国将对任何干涉2020年美国大选的外国增加费用,选举的诚信仍然良好。瑞和拉特克利夫没有描述与伊朗有关的电子邮件,但熟悉此事的官员说,美国已将德黑兰与至少四个战地国家发给民主党选民的信息联系在一起,这些信息被虚假地声称是来自新法西斯组织“Proud Boys”,并警告称,如果接收者不投票支持特朗普,“我们将追查你”。
拉特克利夫(Ratcliffe)表示,这些欺骗性电子邮件意在伤害特朗普,尽管他并未详细说明细节。8月发布的情报评估说:“伊朗试图破坏美国民主机构特朗普总统,并在2020年大选之前分裂国家。伊朗在这些方面的努力可能会集中在在线影响上,例如在社交媒体上散布虚假信息,以及传播反美内容。”
特朗普在北卡罗来纳州的集会上发表讲话,没有提及记者会,但重复了一个熟悉的竞选主张,即伊朗反对他连任。他承诺,如果他赢得连任,他将迅速与伊朗就其核计划达成新协议。特朗普表示,“伊朗不想让我赢。中国不想让我赢。我获胜后我接到的第一个电话将是来自伊朗的,说让我们达成协议。”
俄罗斯和伊朗也都获得了选民登记信息,尽管这些数据被认为易于公开获取。德黑兰利用这些信息发送了欺骗邮件,这些电子邮件已发送给宾夕法尼亚州和佛罗里达州等州的选民。
星期三在一个在线论坛上被问及这些电子邮件时,宾夕法尼亚州国务卿凯西·博克瓦尔(Kathy Boockvar)表示她缺乏具体信息,并表示,“我知道他们是在多个摇摆州寄给选民的,我们正在与司法部长密切合作处理这类事情。”虽然众所周知,有国家支持的俄罗斯黑客已在2016年渗透了美国选举基础设施,但没有证据表明伊朗曾经这样做过。
选民恐吓操作显然使用了从州选民注册列表中获得的电子邮件地址,其中包括聚会从属关系和家庭住所,并且可以包括电子邮件地址和电话号码。然后,这些地址被用于显然是有针对性的垃圾邮件发送操作。发送者声称他们会知道接收者在11月3日的选举中为哪个候选人投票,并且正在进行早期投票。
联邦官员长期以来就对这种行动的可能性发出过警告,因为这种登记清单并不难获得。美国国土安全部高级选举安全官员克里斯托弗·克雷布斯(Christopher Krebs)在电子邮件的报道首次出现后于周二晚间发布推文说:“这些电子邮件旨在威吓和破坏美国选民对我们选举的信心。”
参考来源:SecurityWeek http://dwz.date/cVdX
(七)美国起诉在全球发动网络攻击的六名俄罗斯军官
美国司法部10月19日对六名俄罗斯军官发起了不公开起诉,据信他们是俄罗斯精英黑客和网络战部队之一Sandworm的成员。
在法庭文件中,美国官员称,所有六名嫌疑人都是俄罗斯主要情报局(GRU)74455部门的人员,该组织是俄罗斯陆军的军事情报机构。作为该部门的一部分,美国官员称,这六人代表并在俄罗斯政府的命令下进行了“破坏性”网络攻击,目的是破坏其他国家的稳定,干涉其国内政治并造成破坏和经济损失。
他们的攻击跨越了过去的十年,其中包括迄今为止已知的一些最大的网络攻击:
1、乌克兰政府与关键基础设施:从2015年12月到2016年12月,该组织使用改变工业设备的恶意软件精心策划了针对乌克兰电网,乌克兰财政部和乌克兰国家财政部的破坏性恶意软件攻击(2015年攻击BlackEnergy和2016年攻击Industroyer)或擦除的硬盘驱动器(KillDisk)。
2、法国大选:2017年4月和5月,Sandworm精心策划了针对法国总统马克龙的“La République En Marche”的鱼叉钓鱼活动以及相关的黑客和泄密活动(“En Marche”)2017年法国大选前的政党、法国政界人士和法国地方政府。
3、NotPetya勒索软件爆发:2017年6月27日,Sandworm发布了NotPetya勒索软件。勒索软件最初是针对乌克兰公司的,后来迅速传播并影响了世界各地的公司,给受害者造成了超过10亿美元的损失。
4、平昌冬奥会东道主、参与者、合作伙伴和参与者:2017年12月至2018年2月,Sandworm针对韩国公民和官员、奥运会运动员、合作伙伴和游客以及国际奥委会(IOC)官员发起了钓鱼活动和恶意移动应用程序。袭击发生在俄罗斯运动员因国家资助的兴奋剂计划被禁止参加体育赛事之后。
5、平昌冬奥会IT系统(Olympic Destroyer):从2017年12月到2018年2月,Sandworm精心策划了对支持2018年平昌冬奥会的计算机的入侵,最终在2018年2月9日发布了Olympic Destroyer,这是一种破坏性的恶意软件,试图在开幕式期间擦除关键服务器。
6、Novichok中毒调查:2018年4月,Sandworm策划了鱼叉式钓鱼运动,目标是禁止化学武器组织(OPCW)和英国国防科技实验室(DSTL)对谢尔盖·斯克里帕尔(Sergei Skripal)、他的女儿谢尔盖·斯克里帕尔(Sergei Skripal)和几名英国公民神经毒剂中毒事件的调查。
7、格鲁吉亚公司和政府实体:2018年,Sandworm针对格鲁吉亚国内一家大型媒体公司开展了鱼叉网络钓鱼活动。这些攻击发生在2019年,之后是试图破坏格鲁吉亚议会网络,并在2019年发动大规模网站诽谤运动。
但这些只是司法部今天公布的起诉书中记载的袭击事件。他们只代表了该集团庞大网络业务的一小部分,这些业务可以追溯到2010年。该组织还被称为Telebots、BlackEnergy、Voodoo Bear。但最重要的是,这个群体被普遍称为Sandworm。然而,今天被起诉的6名国民只是Sandworm成员,他们个人可能与过去的Sandworm袭击有关。据信,该组织由更多其他GRU官员组成。
今天被指控的6名GRU官员及其各自的罪行如下:
这六个人在俄罗斯仍然逍遥法外。如果他们在美国被捕并受审,这六人都将面临数十年的监禁。但是国际准则免除了网络间谍活动的国际起诉,因为网络间谍活动被认为是正常情报收集行动的一个分支。
在19日招开的记者会上,美国官员表示,Sandworm的网络攻击往往依赖于不加选择地使用具有破坏性能力的恶意软件,这些恶意软件不仅给数千家公司造成了经济损失,而且使人的生命受到威胁,显示出对常规网络规范的无视。
在起诉书公布后不久,英国政府还正式指责俄罗斯沙虫组织试图破坏今年的东京奥运会,因为COVID-19,奥运会将于明年举行。英国也表示支持美国的这一法律案件。
参考来源:ZDNet http://dwz.date/cVmH
(八)英国称俄罗斯正准备对东京奥运会发起网络攻击
英国政府10月19日表示,俄罗斯黑客正在准备对东京奥运会和残奥会的组织者进行网络攻击。东京奥运会和残奥会的组织者定于今年夏天在日本举办,但由于持续的COVID-19大流行而推迟至明年。
据英国国家网络安全中心(NCSC)表示,俄罗斯的活动涉及侦察行动。英国政府在另一份新闻稿中表示,目标包括奥运会的组织者、物流服务和赞助商。英国政府认为,俄罗斯黑客意图破坏奥运会,类似于他们对韩国平昌2018年冬季奥运会和残奥会组织者进行的网络攻击。
2018年2月,俄罗斯黑客部署了Olympic·Destroyer恶意软件,导致在2018年冬奥会开幕式期间网络服务器瘫痪。该攻击是因为国际奥委会以国家支持的兴奋剂计划为由,禁止俄罗斯运动员代表俄罗斯国家参加这项赛事。同样的禁令最初是为2016年里约夏季奥运会实施的,今年也扩大到了东京奥运会,俄罗斯运动员被禁止再次代表俄罗斯国家参赛。
英国官员表示,俄罗斯似乎也在准备类似的袭击,以破坏2020年奥运会。英国官员表示,对这些有计划的攻击负责的是一个名为沙虫(SandWorm)的俄罗斯黑客组织,该组织就是平昌奥运会Olympic·Destroyer破坏性攻击事件的幕后黑手。
英国政府的声明与美国司法部今日早些时候宣布对六名沙虫成员提出正式指控的消息不谋而合。美国官员指控Sandworm黑客不仅策划了2018年平昌奥运会的OlympicDestroyer攻击,还策划了一系列其他攻击,例如:
l 2015年和2016年试图用BlackEnergy和Industroyer恶意软件破坏乌克兰电网;
l 企图用KillDisk擦除磁盘恶意软件破坏乌克兰政府网络;
l 创建导致2017年6月全球爆发的NotPetya勒索软件;
l 干预法国2017年选举;
l 安排对调查英国诺维乔克中毒事件的组织进行网络攻击;
l 2019年大规模毁损格鲁吉亚数千处遗址。
美国官员将这些攻击归咎于Sandworm,据美国官员称,该黑客组织由俄罗斯主要情报局74455部队的成员组成,俄罗斯主要情报局是俄罗斯军队的一个军事情报机构。在19日的新闻稿中,英国政府正式确认了美国起诉书中提出的指控,但也揭露并发出了Sandworm即将袭击东京2020年奥运会组织者的警报信号。
参考来源:ZDNet http://dwz.date/cVme
(九)伊朗黑客组织向以色列公司发起集中攻击
网络安全公司ClearSky和Profero 10月15日发布报告称,其发现了伊朗对以色列公司的网络攻击。根据报告的调查结果,这次攻击使用的恶意软件旨在加密电脑,阻止用户访问电脑,类似于勒索软件,只是不勒索赎金。
该名为MuddyWater的伊朗黑客组织使用了一种相对较新的策略,以渗透以色列公司的安全系统。在过去几年里,黑客攻击一直是以色列和西方国家针对伊朗革命卫队的数字战争中的又一条战线。
Profero的首席执行官Omri Segev Moyal解释表示,“在9月初,我们找到了MuddyWater组织对以色列公司的攻击的企图。ClearSky能够准确地指出这一尝试与Paulo Alto Networks最近发现的相同活动之间存在重叠。显然,黑客旨在发动伪造的勒索软件攻击,目的是加密以色列公司的数据并阻止其恢复。攻击是通过使用操作系统中的漏洞或通过最有可能使用受感染的Adobe PDF或Microsoft Excel文件的网络钓鱼攻击来发起的。”
ClearSky首席执行官Boaz Dolev补充表示,“通常,该组织利用社会工程活动来窃取信息并监视其他组织。这是我们第一次暴露出一种完全旨在造成伤害和破坏的网络攻击手段。”
黑客使用了一种基于ShaMoon的恶意软件,该软件多年来一直被伊朗人用作网络武器。最臭名昭著的攻击发生在2012年,当时它抹去了沙特国家石油公司(沙特国家石油公司)数万台电脑的数据。多年来,伊朗人对恶意软件进行了改进,并添加了几个新版本。
诸如ShaMoon之类的病毒被描述为“wipper”恶意软件,旨在擦除存储在计算机或计算机化基础设施上的数据。然而,这次攻击试图将病毒伪装成勒索软件。尽管软件安全系统很容易发现这类攻击,但在过去的一年里,这类攻击已经成为热门。隐藏病毒使其能够掩盖其攻击的程度和来源。
目前尚不清楚被攻击的公司受到了多大程度的损害,报告没有包括名字。不过在接受采访时提到,“许多公司遭到攻击”。虽然目前的试验由于国家网络局、Profero和CyberSky的帮助而失败,但目前还不清楚未来的尝试是否会更复杂。有人建议,想要防止此类损害的公司应该利用EDR系统,更新服务器和访问站,提高员工对网络钓鱼和社交工程企图的认识,并经常更改密码。
参考来源:CalcalistTech http://dwz.date/cVhN
(十)美国发布《关键与新兴技术国家战略》
10月15日,美国总统特朗普发布了《关键与新兴技术国家战略》,概述了美国将如何促进和保护其在人工智能、能源、量子信息科学、通信和网络技术、半导体、军事、以及太空技术等领域的竞争优势。
当美国的竞争对手在这些领域动员大量资源时,美国在科学技术上的主导地位现在比以往任何时候都更为重要,对美国的长期经济和国家安全至关重要。美国不会对中国和俄罗斯这样的国家的战术视而不见,这些国家窃取技术、强迫公司交出知识产权、削弱自由和公平的市场、并暗中转移新兴的民用技术来建立军队。
特朗普政府的《关键与新兴技术国家战略》制定了优先行动,以保护美国的国家安全创新基础,通过加强存在差距的规则,坚持执行协议,并与志同道合的盟友和合作伙伴共同促进、促进,并确保共同原则的成功。特朗普政府将继续捍卫美国的行业,解决不公平的做法,并为美国工人创造公平的竞争环境。
该战略还强调了促进国家安全创新基础的重要性。在特朗普总统领导下,美国在这方面已经取得了历史性进展。从美国AI计划到国家量子计划,特朗普政府采取了大胆的行动,以加快在支持未来工业的技术方面的领导地位,宣布进行空前的研发投资,消除创新的监管障碍,开发出最高质量的美国人劳动力,并与志同道合的盟友和伙伴建立牢固的关系。
该战略为美国继续将思想转变为创新,将发现转化为成功的商业产品和公司奠定了基础,并保护和改善了美国未来许多年的生活方式。
参考来源:WhiteHouse http://dwz.date/cVfn
(十一)网络日光浴室委员会对加强供应链提出建议
继3月份的报告之后,网络空间日光浴委员会(Cyberspace Solarium Commission)10月19日发布了一份详细的后续报告,并就如何确保信息和通信技术供应链的安全提出了建议。该白皮书是对原报告的几个附加内容之一,该报告对3月份报告中的特定主题或建议进行了更深入的探讨。
网络空间日光浴委员会是美国国会2019年成立的一个两党组织,旨在制定一项多管齐下的美国网络战略。它在三月份发表了一份报告,主张采取多种网络威慑措施。
本白皮书的重点是建议国会指导美国政府制定和实施信息和通信技术产业基地战略,以确保供应链更加可靠,关键信息和通信技术的可用性。白皮书措辞严厉地指出,美国在与中国的对抗中缺乏战略。
该报告指出:“在过去20年里,中国动员国有和受国家影响的公司在包括电信设备市场在内的几项新兴技术的市场中占据主导地位。这不是偶然的,而是中国政府协调一致的战略努力的结果,目的是通过政府主导的产业政策;不公平和欺骗性的贸易做法,包括国家主导的知识产权盗窃;操纵国际标准和贸易机构;在外交和贸易谈判的支持下建立越来越大的影响力网络;以及在ICT研发方面的重大投资,来占领这些市场。”
因此,这份白皮书是委员会的努力,目的是帮助政府制定战略,以便更好地在这一领域竞争,减少对亚洲制造业和资源的依赖,从而促进更大的安全。该白皮书列出了构建可信供应链的五管齐下的战略:
l 通过政府审查和公私伙伴关系确定关键技术和设备,以确定风险;
l 通过战略投资确保最低可行的制造能力;
l 通过更好的情报、信息共享和产品测试保护供应链免受损害;
l 通过有针对性的基础设施投资刺激国内市场,并确保公司有能力在美国提供与国外市场类似的产品;
l 面对中国在全球市场上的反竞争行为,确保值得信赖的供应链(包括美国公司和合作伙伴公司)的全球竞争力。
此外,该文件还列出了实现该战略的一系列建议,其中包括简化信息共享的各种方式,以及联邦政府内部可以采取的努力。该报告从经济和国家安全两个方面阐述了供应链安全,强调了供应链安全是不可分离的。
参考来源:C4ISRnet http://dwz.date/cVn4
(十二)物联网安全基金会推出漏洞披露平台
为了改善物联网安全性,物联网安全基金会(IoTSF)推出了一个在线消费物联网漏洞披露平台(VulnerableThings.com),旨在使物联网设备中漏洞的报告更容易。
消费物联网漏洞披露平台(VulnerableThings.com)与一份关于协调漏洞披露的新报告一起发布,旨在满足安全研究人员和制造商的要求,寻求确保协调漏洞披露管理和报告。
该平台提供自动化通信和漏洞管理,并帮助组织在整个漏洞报告和响应过程中获得所需的支持。还提供了专家目录、术语表和示例策略等资源。
除了安全研究人员,用户也可以向制造商报告安全漏洞,并被称为报告者。消费者物联网制造商(称为会员)可以选择管理报告和与记者联系,以及协调公开披露。
IoTSF指出,“及时识别和响应安全问题为公司和更重要的客户创建了更安全和更具弹性的产品。如果不响应漏洞报告或没有漏洞报告机制,可能会通过新闻界、监管机构或其他渠道披露漏洞,这些渠道可能会对您的业务造成严重的声誉和财务损害,并导致法律行动。”
IoTSF强调,该平台既不是漏洞漏洞赏金计划,也不是分类服务,也不提供第三方之间的披露协调。目前,该平台只接受已经订阅其服务的物联网制造商的报告。该平台专为帮助消费者物联网制造商努力提高其产品和服务的安全性而构建,还可帮助供应商遵守协调的漏洞要求和最佳实践。
IoTSF表示,“我们认为漏洞披露应该是一个简单而直接的过程。共享信息对于提高消费者物联网设备的安全性至关重要。通过创建供消费者物联网制造商和记者进行交流的用户友好服务,我们希望可以报告,修复和负责任地向公众披露更多漏洞。欢迎所有消费物联网产品和/或服务制造商订阅该服务,以获得对漏洞跟踪和通信工具以及其他可用资源的访问,包括漏洞披露案例研究和漏洞披露政策示例。”
IoTSF常务董事John Moor表示,“漏洞管理是物联网网络卫生的一个如此基本的要素,因此世界各地的政府和监管机构将其作为强制性要求也就不足为奇了。我们了解推动这一重要安全实践的必要性,并致力于通过推出Vulnerable Things平台来帮助使其尽可能简单-特别是对于外行和可能缺乏资源的公司。该服务促进了研究人员和供应商之间的良好沟通,并指导双方完成整个流程。”
IoTSF宣布,在2021年1月31日之前,VulnerableThings平台是免费的。这项服务正在进行一段试用期的测试,以观察需求并获得用户的反馈。
参考来源:SecurityWeek http://dwz.date/cVuq
(十三)研究人员发现间谍软件GravityRAT的Android和macOS版本
卡巴斯基安全研究人员10月19日发布了一份报告透露,其发现了针对Android和macOS设备的GravityRAT间谍软件版本。该恶意软件的作者已投入大量资金来使其工具跨平台,并且作为一项持续开展的活动的一部分,除Windows外,现在还同时针对Android和macOS。
该RAT最初于2018年进行了详细说明,之前曾用于针对印度军方的攻击,这是自2015年以来一直活跃的攻击活动的一部分。该工具针对Windows系统,主要用于间谍目的。对新样本的调查显示,超过10种GravityRAT变种被伪装成合法应用程序分发,包括安全文件共享软件和媒体播放器。
GravityRAT中包含的间谍软件功能使恶意软件可以检索设备信息、联系人列表、通话记录、电子邮件地址和SMS消息,甚至可以根据以下扩展名查找和泄露文件:.docx,.doc,.ppt,.pptx,txt,.pdf,.xml,.jpg,.jpeg,.log,.png,.xls,.xlsx和.opus。
该恶意软件据信是由一个巴基斯坦组织开发的,它还能够检索系统上正在运行的进程的列表、记录击键、截屏、执行shell命令、记录音频以及扫描开放端口。
卡巴斯基安全专家塔季扬娜·希什科娃(Tatyana Shishkova)说表示,“我们的调查表明,GravityRAT背后的参与者正在继续对其间谍功能进行投资。狡猾的伪装和扩展的操作系统产品组合使我们预期在亚太地区会出现更多与该恶意软件有关的事件,而且这也支持了更广泛的趋势,即恶意用户不一定专注于开发新的恶意软件,而是开发经过验证的恶意软件。”
对该木马程序已经分发的一些应用程序进行分析后发现,样本之间具有相似的功能,并且还使安全研究人员可以识别攻击者使用的命令和控制(C&C)服务器,例如nortonupdates[.]online,windowsupdates[.]eu ,mozillaupdates[.]com,mozillaupdates[.]us,msoftserver[.]eu,microsoftupdate[.]in等。
卡巴斯基透露,分布恶意软件的域被隐藏在Cloudflare的后面,因此安全研究人员很难发现他们的IP。卡巴斯基的研究人员还发现GravityRAT的运营商已经开发了该威胁的.NET,Python和Electron变体,这使他们可以轻松地将Windows和macOS设备作为攻击目标。Android版本具有类似的功能。
此前报道的GravityRAT攻击使用了虚假的Facebook帐户进行分发,并通过社交平台联系了预期的受害者,并要求安装伪装成安全信使应用程序的恶意软件。确定了大约100名受害者,其中包括国防、警察以及其他部门和组织的员工。
卡巴斯基在文章中总结表示,“可以肯定地说,当前的GravityRAT活动使用了类似的感染方法,向目标个人发送指向恶意应用程序的链接。在新的GravityRAT活动中看到的主要修改是多平台性:除了Windows,现在还有适用于Android和macOS的版本。网络罪犯也开始使用数字签名来使应用看起来更加合法。”
参考来源:SecurityWeek http://dwz.date/cUHa
(十四)勒索软件运营商将ThunderX更名为Ranzy Locker并增加数据泄漏网站
勒索软件ThunderX已更名为Ranzy Locker,并推出了一个数据泄露网站,以泄漏未支付赎金的受害者的数据。
ThunderX是一个勒索软件,于2020年8月底发现。此后不久,该勒索软件中就发现了漏洞,使得Tesorion发布了一个免费的解密程序。该勒索软件运营商迅速修复了漏洞,并以Ranzy Locker的名义发布了新版本的勒索软件。虽然名称已更改,但与勒索软件可执行文件中PDB调试文件相关联的字符串仍显示它与ThunderX相同。该勒索软件重新命名并从头开始,是避免与先前发布的解密程序相关联的耻辱。
使用MalwareHunterteam发现的勒索软件样本,可以更深入地了解勒索软件是如何运作的。启动后,Ranzy Locker将首先清除卷影副本,以使受害者无法使用它恢复加密的文件。vssadmin.exe Delete Shadows /All /Quiet;。加密文件时,勒索软件将使用称为“Windows Restart Manager”的Windows API,它将终止使文件保持打开状态并防止其被加密的进程或Windows服务。对于每个加密文件,勒索软件都会在文件名后附加新的.ranzy扩展名。例如,名为1.doc的文件将被加密并重命名为1.doc.ranzy。
勒索软件会在每个遍历的文件夹中创建一个名为“readme.txt”的勒索信件,其中包含有关受害者数据发生了什么的信息,警告称其数据被盗,以及指向受害者可以与威胁者协商的Tor网站的链接。在早期版本的ThunderX中,勒索软件操作员通过电子邮件而不是专用的Tor网站与受害者进行通信。
当受害者访问Tor付款站点时,将收到一条“Locked by Ranzy Locke”的消息,并显示一个实时聊天屏幕,与威胁参与者进行谈判。作为这项“服务”的一部分,勒索软件操作员允许受害者免费解密三个文件,以证明他们可以这样做。
许多勒索软件团伙利用双重勒索攻击方法,即在对公司网络上的设备进行加密之前,从受害者那里窃取未加密的文件。这种攻击方法为威胁参与者提供了两种利用受害者支付勒索软件的方法,付费取回他们的文件,而不是公开泄露他们的数据。
同时,Ranzy Locker团伙发布了一个 名为“Ranzy Leak”的数据泄漏网站,以泄漏未付款受害者的数据。该网站目前包括一名开发电源控制解决方案的受害者。
有趣的是,Ranzy Leak网站使用的Tor onion URL与Ako Ransomware之前使用的URL相同。使用Ako的URL可能表明这两个组合并形成了Ranzy Locker,或者它们的合作类似于Maze cartel。Ako勒索软件运营商表示ThunderX是其运营的一部分,并且他们已更名为Ranzy Locker。
参考来源:BleepingComputer http://dwz.date/cUE7
(十五)勒索软件组织Darkside给慈善组织捐赠2万美元
近日勒索软件组织Darkside将其部分勒索赎金捐赠给了慈善组织,包括国际儿童组织(Children International)及The Water Project。根据比特币区块链上的交易记录,每个组织收到了0.88个比特币,折合约1万美元。
Children International是一个旨在资助赤贫儿童的非盈利组织,The Water Project是一个旨在为整个撒哈拉以南非洲地区提供清洁可靠水源的非盈利组织。
Darkside自2020年8月活跃至今,是一个典型的“大型游戏猎人”,这意味着它专门研究大型公司网络,加密其数据并要求数百万美元的巨额赎金。如果受害者不付款,Darkside会在线泄漏他们的数据,并在暗网运行的门户上泄漏数据。Darkside 10月19日在暗网的页面上发布写道,“就像我们在第一份新闻稿中所说的那样,我们仅针对大型盈利的公司,我们认为他们所支付的部分钱将用于慈善事业是公平的。无论您认为我们的工作有多糟,我们都很高兴我们帮助改变了有些人的生活。”
同时Darkside还公布了他们的两次捐款证明。不过,这两个非营利组织都不能保留这些“捐赠”;由于接收和使用因犯罪而收到的资金是违法的,因此捐赠很可能会被扣押或退还。
此前8月,该组织在网上发布了一份类似的新闻稿,该组织承诺不会加密属于医院、学校、大学、非营利组织和政府部门的文件。他们是否信守诺言目前还无法判断。其他勒索团伙也承诺在COVID-19爆发之初不会攻击医疗行业,但最终还是食言。
此外,Darkside集团不是第一个向慈善机构和非营利组织捐款的网络犯罪团伙。2016年,一个名叫菲纳斯·费舍尔(Phineas Fisher)的黑客组织声称他们入侵了一家银行,并将这笔钱捐赠给了叙利亚Rojava自治省。2018年,GandCrab勒索软件组织为饱受战争的叙利亚受害者发布了免费的解密密钥。
GandCrab犯罪团伙还在其代码中添加了一项豁免条款,即不会对该位于该国的受害者加密文件。具有讽刺意味的是,当GandCrab小组关闭并试图以新名称(REvil或Sodinokibi)开展一项新行动时,对叙利亚受害者的这种非常规豁免使安全研究人员将小组与REvil勒索软件联系起来。
参考来源:ZDNet http://dwz.date/cU9A
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,工控安全,工业网络安全,关键信息基础设施,安全周报
相关资讯