关键信息基础设施安全动态周报【2020年第48期】
发布时间:
2020-12-14
来源:
作者:
访问量:
99
目 录
第一章 国内关键信息基础设施安全动态
(一)研华遭受勒索软件Conti攻击并泄露数据
第二章 国外关键信息基础设施安全动态
(一)施耐德电气StruxureWare中发现6个零日漏洞
(二)巴西飞机制造商巴西航空工业公司Embraer遭受网络攻击
(三)信息设备漏洞被恶意使用 日本逾600个组织遭网络攻击
(四)网络安全公司Sophos因数据库配置错误泄露客户数据
(五)FBI及CISA联合发布警告称APT组织正针对美国智库发起攻击
(六)FBI发布警告称诈骗者会在攻击中使用电子邮件自动转发功能
(七)俄罗斯黑客组织Turla使用新型Crutch木马渗透欧盟国家
(八)越南黑客组织Bismuth将加密货币挖矿软件与网络间谍工具一起使用
(九)研究人员发现间谍软件Bandook新变种
(十)COVID疫苗生产商AstraZeneca遭受朝鲜黑客攻击
(十一)针对COVID-19的黑客攻击已延伸到疫苗温度控制供应链中
(十二)法国药品分销平台Apodis Pharma泄漏1.7 TB机密数据
(十三)美国医疗保健提供商AspenPointe泄露29.5万患者数据
(十四)美国最大连锁生育诊所遭受勒索软件攻击
(十五)安卓应用程序GO SMS Pro泄露百万用户私人信息
第一章 国内关键信息基础设施安全动态
(一)研华遭受勒索软件Conti攻击并泄露数据
IIoT芯片制造商研华近日遭受勒索软件Conti攻击,勒索超过1300万美金的赎金,以避免泄露被盗文件并提供恢复加密文件的密钥。研华在全球拥有8000名员工,2019年的年销售收入超过17亿美元。
Conti勒索软件组织于2020年11月21日宣布,如果研华在第二天内不支付赎金,就会泄露被盗数据。作为恢复数据能力的证明,Conti勒索软件运营商愿意解密其中两个加密文件。11月26日,Conti勒索软件运营商开始泄露从研华窃取的数据,是一个3.03GB的档案,占被盗数据总量的2%。
Conti勒索软件团伙还承诺,在支付赎金后,将从公司网络中删除所有后门。Conti运营商还宣布,被盗数据将从其服务器上永久删除,并将提供如何保护网络以防止未来感染的安全提示。
Conti勒索软件运营商实施私人勒索软件即服务(RaaS),该恶意软件于2019年12月底出现在威胁环境中,通过TrickBot感染传播。自2020年8月以来,Conti启动了其泄密网站,在该网站上泄露受害者被盗的数据。
参考来源:SecurityAffairs http://dwz.date/dzEU
第二章 国外关键信息基础设施安全动态
(一)施耐德电气StruxureWare中发现6个零日漏洞
意大利电信运营商TIM的网络安全研究团队Red Team Research近日在施耐德电气StruxureWare中发现了6个新零日漏洞。施耐德电气已在2020年4月至2020年11月间解决了这些漏洞。
施耐德电气是专门从事能源和自动化产品(如ICS,SCADA和IoT产品)的供应商。StruxureWare Building Operations是与物理设备集成的软件,用于对能源、照明、消防安全和HVAC进行集成监视、控制和管理。
这六个漏洞是在实验室测试期间发现的,并与供应商一起通过CVD(协调漏洞披露)流程进行了及时处理。这六个漏洞信息如下:
CVE-2020-7569是危险类型文件无限制上传漏洞,CVSS评分为4.6,受影响版本为Schneider Electric StruxureWare Building Operation WebReports版本1.0–3.1。
该不受限制的危险类型文件上传漏洞,由于对用户提供的文件进行了不正确的验证,因此可能导致经过身份验证的远程用户能够上传任意文件并实现远程代码执行。
CVE-2020-7572是对XML外部实体引用限制不当漏洞,CVSS评分为6.7,受影响版本为 Schneider Electric StruxureWare Building Operation WebReports 版本 1.9 – 3.1。通过构建操作WebReports的身份验证的远程用户能够通过精心编制的HTTP请求将包含对外部实体的引用的任意XML代码注入服务器端XML解析器,而无需进行清理。通过利用此漏洞,攻击者可以通过服务器端伪造请求、从解析器所在机器的角度扫描端口以及其他系统影响(如拒绝服务)访问系统上可能包含敏感数据的文件内容、其他受限的web资源。
CVE-2020-28209是Windows未引用搜索路径漏洞,CVSS评分为3.2, 受影响版本为施耐德电气StruxureWare Building Operation Enterprise Server Installer版本1.0–3.1和Enterprise Central Installer版本2.0–3.1。必须对连接代理服务二进制路径的至少一个子文件夹具有写入权限的任何本地Windows用户,能够获得启动该服务的用户的权限。默认情况下,Enterprise Server和Enterprise Central始终安装在需要管理员权限的位置,因此只有在应用程序安装在不安全的位置时,该漏洞才有效。
CVE-2020-7570是跨站点脚本存储漏洞,CVSS评分为6.4, 受影响版本为施耐德电气StruxureWare Building Operation WebReports 1.9–3.1版,网页生成过程中输入的不正确中和(存储跨站点脚本)漏洞存在,该漏洞可能导致经过身份验证的远程用户由于对用户提供的数据的不正确清理而能够注入任意Web脚本或HTML,并对其他WebReport用户实现跨站点脚本存储攻击。
CVE-2020-7571是跨站点脚本反射漏洞,CVSS评分为6.1,受影响版本为施耐德电气StruxureWare Building Operation WebReports版本1.9–3.1,网页生成过程中存在多个输入不正确的中和(跨站点脚本反射)漏洞,该漏洞可能导致远程攻击者由于对用户提供的数据的不正确清理而注入任意Web脚本或HTML,并对其他WebReport用户实现跨站点脚本反射攻击。
CVE-2020-7573是访问控制不当漏洞,CVSS评分为5.0,受影响版本为施耐德电气StruxureWare Building Operation WebReports版本1.9–3.1,由于访问控制不当,远程未经身份验证的攻击者能够访问受限的web资源。
参考来源:GBHackers http://dwz.date/dzbt
(二)巴西飞机制造商巴西航空工业公司Embraer遭受网络攻击
巴西飞机制造商巴西航空工业公司(Embraer)11月30披露其遭受了网络攻击,攻击涉及勒索软件。
巴西航空工业公司生产商用、商务、军用和农业飞机,其网站称,该公司是第三大商用喷气式飞机制造商,迄今已交付8000多架飞机。
该公司在新闻稿中表示,其IT系统最近遭到入侵,这是11月25日发现的一次攻击的一部分。该公司几乎没有透露这起事件的细节,声称只有一个“单一环境”的文件由于攻击而无法访问。Embraer表示其迅速启动了事件响应程序,由于需要隔离某些系统,导致某些操作暂时中断。
Embraer财务和投资者关系执行副总裁Antonio Carlos Garcia表示,“公司继续使用应急系统进行运营,不会对公司的活动造成实质性影响。本公司正竭尽全力使其业务完全正常化,调查攻击的情况,确定是否对其业务和第三方造成任何影响,并确定将采取的措施。”
巴西新闻机构Globo从巴西航空工业公司内部消息人士处获悉,攻击涉及一个勒索软件。Globo还报道说,这起事件暂时中断了在家工作的员工对公司系统的访问。
值得一提的是,今年早些时候,巴西航空工业防务安全公司投资了两家网络安全公司Tempest Security Intelligence和Kryptus,以实现业务多元化。
参考来源:SecurityWeek http://dwz.date/dyA6
(三)信息设备漏洞被恶意使用 日本逾600个组织遭网络攻击
据日本共同社报道,由于远程办公及远程操作的信息设备漏洞被恶意使用,至少607家日本国内企业及行政机构等遭到网络攻击,多家机构蒙受损失。
据报道,有漏洞的设备被称为“VPN(虚拟专用网络)”。出现问题的VPN由美国Fortinet(飞塔)公司制造,漏洞未修复的设备全球约有五万台,其中约5400台设备与日本有关。
专家称,遭到网络攻击的日本组织名单上包括有名的宾馆、网络安全企业、公立医院等。日本警察厅及国家旅游局、岐阜县政府、札幌大学等均蒙受损失,多为ID和密码等验证信息被盗。
报道称,若不法分子使用被盗的ID和密码进入系统内部,就很容易盗取秘密信息,因此损失有可能扩大。对于发现ID和密码外泄的组织,日本中央政府机构及网络服务商正依次进行联络。此外,专业机构“日本互联网应急响应中心(JPCERT/CC)”也在呼吁注意。
网络安全企业“S&J”社长三轮信雄警告称:“名单上的设备已经有很多遭受攻击,今后或许会有组织的系统被侵占。”
其实,早在2019年5月时,出现问题的VPN便发布了修复漏洞的软件,日本的专业机构等也多次提醒注意。据分析,遭到非法访问的组织并没有利用修复漏洞的软件。
本文版权归原作者所有,参考来源:中国新闻网 http://dwz.date/dzkJ
(四)网络安全公司Sophos因数据库配置错误泄露客户数据
英国网络安全供应商Sophos正在通过电子邮件通知其客户,该公司遭受了数据泄露事件。
公司在发送给其客户的电子邮件中表示,“在2020年11月24日,Sophos被告知用于存储与Sophos Support联系的客户信息的工具中存在访问许可问题 。”可能公开泄露的信息包括客户的姓名、电子邮件地址和电话号码。
Sophos一位发言人11月26日确认了这封电子邮件的真实性,并表示该公司的客户中只有一小部分受到了影响,但未提供大概数量。Sophos从安全研究人员那里获悉了配置错误,并立即修复了所报告的问题。
该公司表示:“在Sophos,客户隐私和安全始终是我们的头等大事。我们正在与所有受影响的客户联系。此外,我们正在实施其他措施,以确保访问权限设置持续安全。”
这是Sophos今年处理的第二起重大安全事件。今年4月份,一个网络犯罪组织在Sophos XG防火墙中发现并滥用了一个零日漏洞,以破坏全球的公司。攻击者部署了Asnarok木马,一旦公开了零日漏洞,他们便尝试部署勒索软件, 但最终失败了。
参考来源:ZDNet http://dwz.date/dv7F
(五)FBI及CISA联合发布警告称APT组织正针对美国智库发起攻击
美国联邦调查局(FBI)和国土安全部网络安全与基础设施安全局(CISA)12月2日发布警告称,有APT组织正针对美国智库和涉及国际事务或国家安全政策的个人发起攻击,攻击者使用恶意网络钓鱼电子邮件,并尝试利用远程网络和其他互联网连接设备中的漏洞。
FBI及CISA在警报中表示,“鉴于智库在制定美国政策方面的重要性,CISA和FBI敦促国际事务和国家安全部门的个人和组织立即采取行动提高意识形态。”该警报指出,在COVID-19大流行期间增加远程工作的做法增加了攻击者的威胁面,包括通过瞄准用于远程访问安全工作网络的虚拟专用网络的能力。
FBI及CISA在警告中表示,“一旦成功,这些低投入、高回报的方法就允许威胁参与者窃取敏感信息、获取用户凭证,并持续访问受害者网络。”FBI和CISA建议智库立即采取措施提高网络安全性,包括通过员工网络安全意识培训、在个人员工设备上安装防病毒软件、对公司帐户使用多因素身份验证以及在访问链接和电子邮件附件时“谨慎行事”。
美国、英国和加拿大政府于7月发出联合警告,指出俄罗斯的APT黑客组织的目标是参与COVID-19疫苗研究的组织,包括智库和其他安全组织。 微软在9月份报告中指出,外国针对参与COVID-19研究的美国公共政策团体和组织的努力激增,包括俄罗斯在内的外国针对包括美国智库在内的参与国际事务和国家安全工作的团体。在COVID-19大流行期间,网络空间中的恶意活动普遍大量增加,参与应对新冠病毒疫情的组织越来越多地成为民族国家的目标。
参考来源:The Hill http://dwz.date/dzdE
(六)FBI发布警告称诈骗者会在攻击中使用电子邮件自动转发功能
美国联邦调查局(FBI)11月25日联合CISA发布私营行业通知(PIN),警告美国企业诈骗者会滥用基于Web的电子邮件客户端的自动转发规则,以增加成功进行商业电子邮件(BEC)攻击的可能性。
BEC诈骗者以使用社交工程、网络钓鱼或黑客攻击来破坏企业电子邮件帐户而闻名,其最终目标是将未来或待处理的付款重定向到他们控制下的银行帐户。
FBI的互联网犯罪投诉中心(IC3)还在2019年9月发布了一项公共服务公告(PSA),警告称BEC骗局每年都在持续增长,在2016年6月至2019年7月之间,受害者的投诉总额超过了260亿美元,在2018年5月至2019年7月之间,已确定的全球泄露损失增加了100%。IC3在《2019年互联网犯罪报告》中还披露,BEC是2019年报告的受害者总损失最高的网络犯罪类型,仅在去年一年,其个人和企业损失就达到约18亿美元。
该警告提供了有关欺诈者如何成功破坏BEC骗局业务以及如何使用自动转发电子邮件规则来收集信息并限制受害者检测欺诈行为的能力的详细信息。
BEC诈骗者使用添加到目标的基于Web的电子邮件客户端的电子邮件规则来隐藏其活动,同时冒充员工或业务合作伙伴。
FBI表示,“根据联邦调查局的最新报告,网络犯罪分子正在对受害者的基于网络的电子邮件客户端实施自动转发规则,以掩盖其活动。基于Web的客户端的转发规则通常不与桌面客户端同步,从而限制了规则对网络安全管理员的可见性。”
FBI还提供了有关2020年8月以来两次攻击的信息,其中BEC骗子利用基于Web的电子邮件转发规则来针对总部位于美国的制造和医疗设备公司。在这两种情况下,攻击者都可以通过将所有恶意电子邮件自动转发到攻击者的邮件帐户,从而成功地向公司安全团队隐藏其活动。这使他们可以假冒其他供应商,并要求将提供的服务付款发送到他们控制的银行帐户中。
(1)2020年8月,网络犯罪分子在一家美国医疗设备公司的最新升级的Web客户端上创建了自动转发电子邮件规则。该网络邮件未同步到桌面应用程序,受害者公司没有注意到,该公司仅在桌面客户端上遵守自动转发规则。桌面应用程序上也未启用RSS。BEC参与者获得网络访问权后,他们冒充了一个知名的国际供应商。演员创建了一个与受害者的拼写相似的域名,并使用基于英国的IP地址与供应商进行了沟通,以进一步增加付款的可能性。演员从受害人那里获得了17.5万美元。
(2)在2020年8月的另一起事件中,同一位参与者在制造业公司使用的基于Web的电子邮件中创建了三个转发规则。第一条规则将带有搜索词“银行”,“付款”,“发票”,“电汇”或“支票”的任何电子邮件自动转发到网络罪犯的电子邮件地址。其他两个规则基于发件人的域,并再次转发到相同的电子邮件地址。
参考来源:BleepingComputer http://dwz.date/dyKC
(七)俄罗斯黑客组织Turla使用新型Crutch木马渗透欧盟国家
网络安全公司ESET近日披露了一个全新的木马恶意程序家族Crutch,认为它是由俄罗斯APT黑客组织Turla所打造,虽然未曾被纪录过,但Crutch从2015年就开始活动,一直到今年初。
ESET是在欧盟其中一个国家的外交部电脑上发现了Crutch的踪迹,由于它与Turla过去所使用的另一个木马程序Gazer有太多的关联,诸如它们的样本都放在同一台机器上,或是所使用的CAB文档都包括各种恶意程序,载入程序都位于类似的PDB路径,还用同样的RC4密钥来解密酬载,因此相信Crutch也是来自Turla。Turla一向自行打造木马程序,而且不与其它黑客集团分享,也让Crutch得以藏匿在安全雷达之下。
根据ESET的分析,Crutch主要功能在于窃取机密文件与档案,并将它们上传到由Turla所控制的Dropbox帐号上,Crutch迄今已发展出4个版本,最新版本除了具备侦察、横向行动与间谍能力之外,还能自动将受害系统及外接硬件的档案上传到Dropbox上。
有趣的是,ESET在受害电脑上不只发现了Crutch,也发现了来自另一个俄罗斯APT黑客组织Dukes/APT29所植入的FatDuke木马程序。
本文版权归原作者所有,参考来源:iThome http://dwz.date/dzPX
(八)越南黑客组织Bismuth将加密货币挖矿软件与网络间谍工具一起使用
微软11月30日发表博客文章称,越南政府支持的黑客组织APT32最近被发现与常规的网络间谍工具套件一起部署加密货币挖掘恶意软件。该报告强调了网络安全行业日益增长的趋势,越来越多的国家支持的黑客组织也将目光投向了常规的网络犯罪活动,这使得区分出于财务动机的犯罪与情报收集活动变得更加困难。
该越南黑客组织被微软追踪为Bismuth,自2012年以来一直活跃,并以APT32和OceanLotus等代号广为人知。该组织一直在策划复杂的黑客活动,包括在越南境内和国外,目的是收集信息以帮助其政府处理政治、经济和外交政策决策。
但是微软在11月30日发布的报告中称,其最近观察到该组织今年夏天的策略有所变化。微软表示:“在2020年7月至2020年8月的攻击活动中,该组织在针对法国和越南私营部门以及政府机构的攻击中部署了Monero货币挖矿机。”
目前尚不清楚该组织为何进行此更改,但是Microsoft有两种理论。第一种是该组织正在使用通常与网络犯罪操作相关的加密挖矿恶意软件来掩饰其来自事件响应者的某些攻击,并诱使他们认为其攻击是低优先级的随机入侵。第二种是该组织正在尝试新的方式,从感染了常规网络间谍活动一部分的系统中赚取收入。
这最后一种理论也符合网络安全行业的普遍趋势,近年来,中国、俄罗斯、伊朗和朝鲜政府资助的黑客组织也仅出于个人赚钱目的的攻击,而非网络间谍活动。
攻击的原因很简单,而且攻击者也逍遥法外。这些组织通常在当地政府的直接保护下开展活动,无论是作为承包商还是情报人员,他们都在与美国没有引渡条约的国家/地区内开展活动,从而使他们能够进行自己想要的攻击,并且几乎不会面临任何后果。
由于越南也缺乏与美国的引渡条约,因此Bismuth进军网络犯罪被认为是一个注定要“边缘化”的国家,在未来10年内,这个国家将成为未来网络犯罪中心和主要的网络间谍活动参与者。
参考来源:ZDNet http://dwz.date/dycZ
(九)研究人员发现间谍软件Bandook新变种
Check Point研究人员11月26日发布研究报告称,其发现了长时间休眠的间谍软件Bandook的新变种,这些变种正在世界范围内的间谍活动中使用。
该安全公司在一份新的报告中表示,Bandook是一种商用特洛伊木马后门,研究人员在2007年首次发现,但最后一次被发现是在2018年广泛传播。该恶意软件据信源自位于贝鲁特的黎巴嫩安全总局,这是一家情报机构。据安全公司Lookout称,这与针对该地区记者和持不同政见者的间谍袭击有关。
该报告指出,这款恶意软件在过去三年里一直处于休眠状态,直到今年早些时候,Check Point的研究人员发现了新的数字签名Bandook版本。研究人员说,从那以后,恶意软件就被用来攻击美国、德国、意大利、瑞士、新加坡、塞浦路斯、智利和印度尼西亚的政府、金融、能源、食品工业、医疗保健、教育、IT和法律组织。
该报告表示,“在最近的一波攻击中,我们再次确定了不同寻常的目标区域和地点。这进一步证实了之前的假设,即恶意软件不是内部开发的,由单一实体使用,而是由第三方出售给各国政府和全球威胁行为者的攻击性基础设施的一部分,以促进网络攻击行动。”
Check Point的研究人员注意到,最新的Bandook版本是以zip文件中的恶意微软Word文档的形式传播的,这些文档伪装成来自基于云的服务,如Office365、OneDrive或Azure。Check Point的研究人员观察到的一些诱饵包括伪造政府签发文件的文件,比如护照和公证文件。
报告称,当受害者下载并点击“启用内容”来查看文档时,第二阶段的恶意软件就会被下载,然后执行PowerShell脚本。解码后的PowerShell脚本从一个云服务(比如Dropbox、Bitbucket或AWS S3 bucket)下载一个包含四个文件的zip文件。zip文件存储在用户的公用文件夹中,这四个文件是本地提取的。其中一个文件是包含隐藏组件的PNG,然后下载最后阶段的恶意软件组件,即Bandook远程访问特洛伊木马。一旦安装到设备上,该恶意软件可以截图、下载和上传文件以及执行其他命令。
Check Point的研究人员指出,尽管Bandook恶意软件最初是作为一种远程访问特洛伊木马(RAT)开发的,但自从其源代码被泄露以来,它已经经历了多次迭代。
然而,新的变种并不是从2007年泄露的Bandook初始源代码中开发出来的,而是从其他恶意软件源代码中开发出来的。所有新的Bandook变种似乎都是由同一运营商开发的,因为它们使用相同的AES加密以及命令和控制服务器。
尽管Bandook在过去13年里一直活跃,但Check Point的研究人员指出,它的能力仍处于开发阶段,与NSO的Pegasus等其他间谍软件相比是有限的。
参考来源:HealthCareInfoSecurity http://dwz.date/dzQJ
(十)COVID疫苗生产商AstraZeneca遭受朝鲜黑客攻击
英国制药公司阿斯利康(AstraZeneca)是率先研发新冠肺炎疫苗的制造商之一,最近几周,该公司已成为朝鲜黑客的攻击目标。
黑客在LinkedIn和WhatsApp上冒充招聘人员,向阿斯利康员工提供虚假的招聘机会。该报告称,这些据称是职位描述的文件中夹杂着“旨在侵入受害者电脑的恶意代码”。
尽管没有成功,但攻击的目标范围很广,包括新冠肺炎研究的工作人员。据报道,朝鲜驻日内瓦联合国代表团拒绝讨论这些指控。
Reuters消息人士说,“攻击中使用的工具和技术表明,它们是正在进行的黑客行动的一部分,美国官员和网络安全研究人员认为这是朝鲜所为。”据三名调查过攻击事件的人士透露,此前攻击的重点是国防公司和媒体组织,但最近几周转向了与COVID相关的目标。
微软(Microsoft)本月表示,它发现两家朝鲜黑客组织在多个国家攻击疫苗研发人员,包括“发送捏造的职位描述信息”。微软没有透露被攻击的组织的名字。韩国官员表示,韩国情报机构已多次挫败了多次这样的企图。
路透社此前曾报道,来自伊朗、中国和俄罗斯的黑客今年曾试图侵入主要制药企业,甚至世界卫生组织。德黑兰、北京和莫斯科都否认了这些指控。其中一名消息人士称,攻击阿斯利康所用的一些账户是用俄罗斯的电子邮件地址注册的,这可能是为了误导调查人员。
朝鲜被指责为几起最重要的网络事件的罪魁祸首,包括2014年对索尼影业(Sony Pictures)发起的攻击、2017年全球流行的WannaCry勒索软件,以及其他许多事件。平壤称这些指控是华盛顿试图抹黑其形象的一部分。
参考来源:GBHackers http://dwz.date/dzGW
(十一)针对COVID-19的黑客攻击已延伸到疫苗温度控制供应链中
IBM研究人员12月3日披露了一场全球性的鱼叉式钓鱼活动,该活动针对的是在温度控制环境中储存和运输疫苗的公司,这些温度控制使得药品可以被送到遥远的地方。IBM怀疑攻击者者与某个政府有关联,但没有足够的证据来确定是哪个政府。
研究人员表示,攻击者的目标可能是窃取这些公司的登录凭证,以便将来获得“进入公司网络和与新冠肺炎疫苗分发相关的敏感信息”的权限。目前还不清楚网络钓鱼是如何成功的。
这些发现表明,制药公司长达数月的疫苗生产项目几乎每一步都成为黑客攻击的目标。美国政府今年5月指责中国黑客以疫苗研究为目标,与朝鲜和俄罗斯有关的类似间谍行动的例子也层出不穷。
IBM发现的网络钓鱼活动始于9月,目标是欧洲和亚洲六个国家的组织。所有这些组织似乎都与处理疫苗的国际组织Gavi运营的供应链项目有关。
攻击者的目标是能源、制造和软件行业的公司,这些公司正在支持疫苗的分发。IBM没有透露其中任何一家的名字。IBM的研究人员说,通过获取这些公司的内部通讯,攻击者可以收集有关“政府打算用来向供应疫苗的供应商分发疫苗的基础设施”的信息。
IBM Security X-Force高级网络威胁分析师克莱尔·扎博瓦(Claire Zaboeva)在一封电子邮件中表示,“这个对手选择了完美的掩护,一个可以通过审查和怀疑的掩护。”黑客冒充Gavi疫苗供应链项目供应商海尔生物医药的高管,并向支持该项目运输需求的公司发送网络钓鱼邮件。总部位于中国的海尔自称为“世界上唯一完整的冷链供应商”,也就是提供储存生物医疗设备所需的全方位温度的组织。
美国国土安全部网络安全和基础设施安全局(CISA)3日强调了IBM的这项研究,并敦促各组织防范黑客攻击。CISA医疗保健首席策略师Josh Corman表示:“报告强调了疫苗供应链每一步网络安全调查的重要性。”CISA鼓励所有参与疫苗储存和运输的组织硬化攻击面,特别是冷藏操作,并对这一领域的所有活动保持警惕。
参考来源:CyberScoop http://dwz.date/dzR9
(十二)法国药品分销平台Apodis Pharma泄漏1.7 TB机密数据
CyberNews调查小组发现了一个不安全、可公开访问的Kibana ElasticSearch数据库,其中包含法国软件公司Apodis Pharma超过1.7 TB的商业机密数据,包括药品销售数据、Apodis制药合作伙伴和员工的全名、客户仓库库存统计、药品装运地点和地址等。11月17日,Apodis Pharma关闭了该数据库,公众无法再访问该数据库。
Apodis Pharma是一家为药房、医疗机构、制药实验室和医疗保险公司提供数字供应链管理平台和其他软件解决方案的公司。
不安全的Apodis Pharma ElasticSearch数据库包含7个唯一索引,其中包括:
1、机密药品装运数据、装运储存状态、卖家或分销商提货的确切时间和地点,以及装运中的药品数量的档案。
2、由Apodis Pharma分销平台提供服务的25,000多个合作伙伴和客户组织(如制药实验室和药房)的档案。
3、存储在Apodis Pharma客户仓库的两个产品档案,每个档案包含17,324,382个条目和32,960,114个条目。存档包括产品数据,如产品数量和ID,以及仓库数据。
4、包含17,556,928个季度条目的机密产品销售数据档案,其中包括销售日期、地点、价格和Apodis Pharma客户(如制药实验室和药房)之间的销售数量等信息。
5、包含4436个条目的用户数据存档,其中包括Apodis Pharma客户、合作伙伴和员工的全名。
6、消费者和客户数据可视化和分析,包括消费者性别统计,以及可能保密的客户销售和仓库库存图表。
在没有任何认证程序的情况下,将客户和患者的机密数据存储在可公开访问的服务器上是非常危险的,尤其是在疫情全球大流行期间,对与药品相关的组织来说更是如此。
目前还不清楚谁有权访问公开的Apodis Pharma数据库。然而,该数据库已经在至少一个流行的物联网搜索引擎上建立了索引,这意味着,数据已经被外部机构出于潜在的恶意目的访问并下载了。
擅自访问该数据库的恶意行为者不仅会对Apodis Pharma的客户造成巨大损害,而且还会给法国各地无数的患者造成巨大损失,包括:
1、攻击者可能会泄露机密信息以严重损害人们对该公司的信任,或者通过劫持数据库并将其扣为人质来勒索Apodis Pharma及其客户。
2、意图扰乱法国药品供应链的恶意行为者可能会干预客户和患者的姓名、价格、地址和产品ID,以便在大流行期间在法国各地超过2.5万家实验室、仓库和药店造成大范围的混乱和潜在的药品短缺。
3、入侵者可以下载数据库并将其出售给Apodis Pharma客户的竞争对手,后者将能够根据数据库中发现的机密信息做出商业决策。
参考来源:CyberNews http://dwz.date/dyAF
(十三)美国医疗保健提供商AspenPointe泄露29.5万患者数据
美国医疗保健提供商AspenPointe通知其患者,2020年9月12日至22日期间其遭受了网络攻击,发生了未经授权的网络访问,导致数据泄露,攻击者获取了患者受保护的健康信息(PHI)及个人身份信息(PII)。
AspenPointe是一个非营利性组织,由医疗补助、州政府、联邦政府和地方政府合同以及捐款资助,管理着12个组织,每个组织为超过5万个个人和家庭提供服务。
AspenPointe在发送给客户的通知中表示,“我们最近发现,在2020年9月12日至2020年9月22日之间发生了未经授权的网络访问。根据我们于2020年11月10日结束的全面调查和文件审查,我们发现与该事件有关的客户的姓名和以下一个或多个与此事件有关数据从网络中删除,包括:出生日期、社会保障号码、医疗补助号码、最后就诊日期、入院日期,出院日期和/或诊断代码。”
AspenPointe聘请了外部安全专家调查这起事件,并找出影响其网络的信息泄露程度。尽管AspenPointe表示,没有证据表明攻击期间窃取的数据被任何第三方不当使用,但也敦促患者保护自己,以防潜在的欺诈企图。
为了阻止身份欺诈,AspenPointe建议受此事件影响的用户在他们的信用文件上设置安全冻结或欺诈警报,并获得免费的信用报告,以检测任何欺诈企图使用他们的信息。
AspenPointe还向受数据泄露事件影响的用户提供IDX身份盗窃保护服务,包括“12个月的信用和网络扫描监控、100万美元的保险赔付政策、以及全面管理的身份盗窃恢复服务。”
AspenPoint还表示,“自事件发生以来,我们已强制更改密码,实施额外的端点保护,加强监控,并实施防火墙更改等。我们会不断评估和修改我们的做法和内部控制,以增强您个人信息的安全性和隐私性。”
虽然AspenPointe没有透露这起事件中受影响的患者数量,但AspenPointe于11月19日向美国卫生与公众服务部(HHS)报告了数据泄露事件。提交给HHS的报告称,在这起事件中,295617名AspenPointe客户的PHI和PII数据被攻击者窃取。
参考来源:BLee平Computer http://dwz.date/dxUE
(十四)美国最大连锁生育诊所遭受勒索软件攻击
美国最大连锁生育诊所之一U.S. Fertility证实,其遭受了勒索软件攻击,并泄露了数据。
U.S. Fertility成立于五月份,由在美国东海岸拥有数十个分支机构的生育诊所Shady Grove Fertility与主要投资于医疗保健领域的私募股权公司Amulet Capital Partners合作成立,作为一家合资企业,US Fertility现在在美国拥有55个分支机构。
US Fertility在一份声明中表示,黑客在9月14日发动勒索攻击之前,在其系统中活动了一个月时间,获得了有限数量的文件。这是一种常见的数据窃取勒索软件技术,在加密受害者的网络以获取勒索之前窃取数据。如果不支付赎金,有些勒索组织就会在其网站上公布被盗文件。
U.S. Fertility表示,黑客在攻击中窃取了一些个人信息,如姓名和地址,一些患者的社会安全号码也被黑客盗走。攻击还可能涉及受保护的健康信息,这些信息可能包括个人的健康或医疗状况信息,如测试结果和医疗记录等。
U.S. Fertility没有说明为何要花两个多月的时间才公开披露这起黑客攻击事件,但表示,其披露时间并非应执法部门的要求而延迟。
该事件是针对医疗保健行业的最新一起攻击。9月份,美国最大医院系统之一环球医疗服务公司(Universal Health Services)遭受勒索软件Ryuk攻击,迫使一些受影响急诊室关闭,并将病人拒之门外。最近几个月,其他几家生育诊所也遭到了勒索软件的攻击。
参考来源:TechCrunch http://dwz.date/dzhv
(十五)安卓应用程序GO SMS Pro泄露百万用户私人信息
GO SMS Pro是一款安卓即时通讯应用程序,安装量超过1亿。Trustwave安全研究人员三个月前发现了一个漏洞,并于11月19日公开披露,未经验证的攻击者能够无限制地访问GO SMS Pro用户私下共享的语音消息、视频和照片。尽管开发者已为该漏洞进行了近两周的修复工作,但该应用程序仍泄露了数百万用户的私人共享信息。
用户发送给未安装GO SMS Pro的联系人的私人文件可以通过一个缩短的URL从应用服务器访问,该URL重定向到用于存储所有共享消息的内容交付网络(CDN)服务器。但是,每次在用户和CDN服务器上存储的媒体之间共享文件时,都会顺序生成发送给没有应用程序的联系人的缩短URL。这使得即使不知道共享URL的完整列表,也可以非常轻松地浏览所有这些私有共享文件。
研究人员发现并证实,共享文件包括用户汽车的照片、其他私人消息和Facebook帖子的截图、视频和音频、敏感文档照片、甚至是裸照。
研究人员表示,“通过获取生成的URL,并将其粘贴到上Chrome或Firefox浏览器多标签页的扩展中,访问用户发送的私有(可能是敏感的)媒体文件非常简单。我们在发布公告的前一天,一个新版本的应用程序上传到Play商店,然后Google在11月20日星期五的某个时间从Play商店中删除了该应用程序。不过,从11月23日星期一开始,Google恢复了Play商店应用的更新版本。”
尽管如此,在发布新版本解决该漏洞之后,此修复程序只部分解决了暴露用户私人文件的漏洞,因为以前共享的所有媒体仍然可以访问,即使共享功能在最新版本中不再起作用。不幸的是,对于那些已经使用GO SMS Pro共享敏感文件的人来说,无法将其从应用程序的存储服务器中删除。因此,任何人都可以使用脚本批量下载它们,该脚本会生成地址列表,这些地址链接到使用易受攻击的应用程序版本共享的照片和视频。
研究人员补充说:“不幸的是,我们已经看到许多有关此漏洞的活动。在诸如Pastebin和Github之类的网站上发布了更多利用此漏洞的工具和脚本。”更糟的是,从GO SMS Pro服务器下载的图像已经在地下论坛上共享,并且用于列出和下载此类私人消息的多个脚本的开发人员每天都在对其进行更新。
到目前为止,尽管进行了尝试,但该应用程序的开发人员仍无法在部分解决此缺陷之前阻止访问数百万用户上传的私人照片、视频和语音消息。因此,任何人使用公开可用的工具都可以访问用户的敏感消息。
不幸的是,即使Google决定从Play商店中删除该应用程序,也无法解决该问题。即使Trustwave在8月18日与该应用程序的开发人员共享了该漏洞的详细信息,他们仍未收到对其电子邮件的任何回复。
参考来源:BleepingComputer http://dwz.date/dyKF
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,工控安全,工业网络安全,关键信息基础设施
相关资讯
