关键信息基础设施安全动态周报【2021年第47期】
发布时间:
2021-12-03
来源:
作者:
天地和兴
访问量:
703
目 录
第一章 国内关键信息基础设施安全动态
(一)台湾多家券商遭黑客攻击
第二章 国外关键信息基础设施安全动态
(一)德国能源系统供应商Kisters遭受勒索软件攻击
(二)新加坡海事服务提供商SPO遭受Clop勒索软件攻击
(三)生物制药公司Supernus Pharmaceuticals遭受Hive勒索软件攻击
(四)新型勒索软件组织Sabbath攻击美国及加拿大关键基础设施
(五)新型勒索软件Yanluowang攻击美国金融组织
(六)黑客组织WIRTE攻击中东政府组织
(七)欧盟网络安全局发布铁路网络安全风险管理实践
(八)常见的Wi-Fi路由器中存在226个漏洞
(九)FBI可合法访问多个加密消息应用程序
(十)松下遭受黑客网络攻击导致数据泄露
(十一)宜家电子邮件系统遭受网络攻击
(十二)美国DNA检测中心泄露超200万个人信息
(十三)加拿大教育委员会CEPEO遭受网络攻击并支付赎金
(十四)洛杉矶计划生育协会PPLA遭受勒索软件攻击泄露40万患者信息
(十五)西兰公国网站存在恶意软件Web Skimmer
第一章 国内关键信息基础设施安全动态
(一)台湾多家券商遭黑客攻击
据多家台湾媒体报道,11月25日,包括中国台湾头部券商元大证券及统一证券在内的多家券商的交易系统,疑似遭到了黑客撞库攻击,大量客户的证券账户被自动下单、批量买入港股。其中,更有投资者账户被动买入深蓝科技控股,当天股价遭遇闪崩暴跌,单日跌幅高达33%。
随后,11月26日中国台湾证期局证实,确实收到了部分券商的通报信息,客户的账户被盗自动下单买入港股。目前已向交易所发出要求,进行清查,尝试掌握黑客的攻击手法。台湾交易所给出的答复是,将做出完整说明。与此同时,台湾证期局明确,一定保障投资人的权益,并要求各大券商对系统进行强化升级。
此次被黑客的盯上的元大证券,来头并不小,是台湾地区最大的综合证券商,其经纪业务、融资融券、财富管理信托以及借贷款项等业务在台湾市场的市占率都是第一,截至2020年年末,元大证券的总资产规模达到9042.5亿元新台币(约合人民币2073亿元),在台湾地区的用户超过100万。突然遭遇黑客攻击,对当地证券市场的影响不可谓不小。
综合多家台湾媒体的报道,证券交易系统遭到入侵始于11月25日下午3点,有投资者在台湾社区平台PTT论坛上爆料,其名下的证券帐户被系统自动下单买入了港股。随后,这则帖子在社区引发炸锅,大量投资者纷纷回帖表示,自己的证券帐户也出现了类似的情况,被迫买入了港股。
甚至有投资者表示:“被扣款超过30万元新台币,买入港股。”同时,多名投资者回帖表示,被动下单买入了深蓝科技控股(01950.HK)。值得一提的是,11月25日当天,深蓝科技股价遭遇暴跌,单日跌幅高达33%。
更为诡异的是,首位发帖的投资者明确表示,11月25日,自己并没有购买港股,也没有开港币或外币帐户,但证券账户中的交易纪录显示,确实在当天下午3点购买了深蓝科技控股的股票。
元大证券表示,元大一直都非常重视客户的信息安全,于2021年11月25日下午3时许主动发现有疑似异常的港股委托后,担心为港股诈骗案,故于联系部分客户确认属非本人交易后,为确保客户权益,紧急采取措施,自当天3点45分起,暂停受理复委托电子交易,改为人工接单。元大证券声明中重复强调,目前元大证券正在调查相关原因,一定会尽力确保客户权益,请客户放心。
此外,有投资者透露,之前曾收到元大营业员电话,要求更改证券账户的密码。不仅如此,元大证券在11月26日下午发布公告称,由于复委托电子交易系统异常,将暂停行动精灵的复委托电子交易,这也让投资者怀疑,元大证券的资金安全出现了问题。同时,元大证券在公告中建议,投资者不定期更改账户密码,并避免通过第三方平台登陆,降低密码外泄的风险。
本文版权归原作者所有,参考来源:券商中国 http://33h.co/9v50n
第二章 国外关键信息基础设施安全动态
(一)德国能源系统供应商Kisters遭受勒索软件攻击
德国能源系统关键基础设施供应商KISTERS AG披露,其在11月10日至11日晚上成为了网络攻击受害者。攻击者通过勒索软件攻击获得了计算机网络访问权限,对其进行加密并威胁要发布窃取的数据。KISTERS是可持续资源管理系统软件提供商。
发现攻击后,KISTERS立即致电刑事调查部门和德国联邦信息安全办公室,并通知了相关监管机构。此外,一个由IT专家和取证专家组成的团队立即开始分析攻击者如何能够在公司采取广泛、多层次和经过认证的安全预防措施的情况下渗透网络。目前调查仍在进行中。
目前该公司无法访问IT系统,因为该系统已完全关闭,以防止进一步损坏。暂时无法通过电子邮件或固定电话与该公司取得联系。KISTERS没有透露哪些数据受到攻击影响,并表示没有迹象表明软件产品受到了损害。
KISTERS总经理Klaus Kisters表示,“在这种情况下,透明度对我们来说是最重要的事情。当我们知道哪些数据受到影响,以及何时可以恢复正常业务运营时,我们将明确、公开地通知客户。就目前而言,我们必须尽快通过所有渠道为客户提供服务。我们正在全速进行这方面的工作。下一步,我们将尽一切努力重新工作并获取知识,以便我们以及其他公司在未来能够更好地保护自己。”
11月30日该公司表示,已经到了支付勒索赎金的最后期限,KISTERS不会参与此类勒索活动,因此预计攻击者将公布窃取的数据。一旦获得有关客户数据是否受到影响的信息,KISTERS将立即与受影响的人直接联系。同时,该公司将继续与安全当局密切合作,将始终如一地追究黑客可能发布的数据材料,并将其定为刑事犯罪。
12月2日,据DarkFeed.io报告,威胁行为者Conti将Kisters添加到其泄漏站点,并发布了其窃取的Kisters的5%的数据。
参考来源:Kisters http://33h.co/9vpck
(二)新加坡海事服务提供商SPO遭受Clop勒索软件攻击
新加坡海事服务提供商Swire Pacific Offshore(SPO)披露,其成为网络攻击的目标,涉及未经授权访问其IT系统。未经授权的访问导致一些机密专有商业信息丢失,并导致了一些个人数据的丢失。网络攻击并未对SPO的全球运营产生重大影响。
SPO已立即采取行动,加强现有的安全措施,并减轻事件的潜在影响。SPO认真对待任何网络攻击或非法访问数据或任何可能损害数据隐私或机密性的非法行为,并且不会受到此类行为的威胁。SPO已向有关当局报告了该事件,并将就该事件与他们密切合作。SPO正在联系可能受影响的人士,向他们通报事件。
SPO还与数据安全专家密切合作,调查该事件,并确定可能需要采取哪些进一步行动,并将采取一切必要措施保护其客户和员工,无论是现在还是将来。该事件目前仍在调查中。
Clop勒索软件组织声称对此次攻击负责,并在暗网泄露网站上发布了被盗数据样本,包括姓名、护照、工资单信息、身份证号码、银行帐户详细信息、电子邮件地址等。受影响最多的员工是位于马来西亚和新加坡的员工,但是也有来自英国、菲律宾和中国的雇员的记录。SPO将联系所有可能受影响的个人,向他们通报事件,但尚未公布确切数字。
SPO是一家总部位于新加坡的海事服务供应商,经营一支由50多艘离岸支援船组成的船队,在18个国家拥有2500名航海和陆上员工。
参考来源:SPO http://33h.co/9vbbc
(三)生物制药公司Supernus Pharmaceuticals遭受Hive勒索软件攻击
生物制药公司Supernus Pharmaceuticals在11月24日宣布,其最近成为勒索软件攻击的目标。此次攻击对公司业务没有重大影响,也没有对公司的运营造成任何严重干扰。该公司继续不间断地运营,目前预计不会向任何犯罪勒索软件集团支付任何赎金。
该公司目前认为,该事件始于2021年11月中旬左右。根据正在进行的调查初步结果,犯罪勒索软件集团对公司系统上的某些文件进行了加密,部署了恶意软件,以阻止对公司系统的访问,以及此后威胁要发布从公司系统复制的某些数据。在检测到勒索软件后,该公司通知了政府当局,聘请了网络安全专家及其外部律师事务所,并开始恢复过程。该公司成功恢复了受影响的文件,并采取了额外的措施来进一步保护其网络和文件。
截至目前,该公司尚未支付任何赎金,并已能够恢复由犯罪勒索软件集团加密的所有信息。尽管迄今为,止公司的业务和运营并未受到该事件的重大影响,但不能保证进一步的攻击不会对公司的业务或运营产生重大影响,并且犯罪勒索软件集团不正当获取的信息不会被犯罪勒索软件集团或其他第三方利用。公司将采取适当行动保护任何被盗机密信息,并将继续调查事件并监控未来情况。
Hive勒索软件组织声称对此次攻击负责,在暗网泄密网站上声称于11月14日入侵了Supernus的网络,对文件进行了加密,成功窃取了1,268,906个文件,总计1.5 TB的数据。该组织暗示Supernus向美国证券交易委员会掩盖了这一事件,随后Supernus在11月26日提交给美国证券交易委员会的文件中特别提到了这一勒索软件攻击事件。尽管Hive勒索软件组织声称Supernus正在与他们进行谈判,但Supernus并未提及曾与他们进行过谈判,只提到它没有支付任何赎金。
Supernus是一家生物制药公司,专注于开发和商业化用于治疗中枢神经系统(CNS)疾病的产品。该公司多样化的神经科学产品组合包括已获批准的癫痫、偏头痛、多动症、帕金森病第活动度、颈肌张力障碍和慢性流涎的治疗方法。
参考来源:Supernus http://33h.co/9vam0
(四)新型勒索软件组织Sabbath攻击美国及加拿大关键基础设施
Mandiant研究人员发现了一种新型勒索软件Sabbath,自2021年6月以来一直针对美国和加拿大的关键基础设施。该组织又名UNC2190,是从Arcane及Eruption组织更名而来。
根据Mandiant在11月29日发布的报告,该组织之前以Arcane和Eruption的名义运营,并于去年被观察到部署了ROLLCOAST勒索软件。2021年9月,Mandiant研究人员注意到了exploit.in黑客论坛上的一个帖子,该帖子正在寻找新的勒索软件运营附属机构。2021年10月21日,这个名为54BB47h(Sabbath)的新组织开始活动,运营者建立了一个泄露网站及博客。
10月,勒索软件组织感染了美国德克萨斯学区的系统,并要求支付数百万美元的赎金。仅在11月中旬,该组织就在两天内在其泄露网站上增加了6名受害者。
与其他勒索软件操作不同,Sabbath运营商为其附属公司提供了预配置的Cobalt Strike BEACON后门负载。Mandiant表示,“与大多数其他附属程序相比,该勒索软件运营商两次向其附属程序提供预配置的Cobalt Strike BEACON后门有效载荷。虽然使用BEACON是勒索软件入侵的常见做法,但使用由BEACON提供的勒索附属程序运营商是不寻常的,它既给归因工作带来了挑战,同时也提供了额外的检测途径。”
Sabbath勒索软件团伙的目标是关键基础设施,包括美国和加拿大的教育、卫生和自然资源。
2020年7月,UNC2190威胁行为者部署了ROLLCOAST勒索软件,并将其标记为Eruption。Mandiant研究人员没有发现2021年使用相同勒索软件的证据。ROLLCOAST勒索软件在内存中运行并检查系统语言,以避免感染俄罗斯和其他独立国家联合体成员国。
ROLLCOAST还显示出与Tycoon勒索软件的相似之处,例如在GCM模式下使用AES进行加密,以及被忽略的目录、文件和扩展名(包括被忽略的扩展名.lolz)之间的重叠。
2021年,来自Sabbath和Arcane勒索软件附属服务的BEACON 样本和基础设施没有改变。Mandiant发现勒索软件运营商正在使用Themida打包程序来打包UNC2190 BEACON恶意软件并避免检测。
Mandiant表示,“尽管UNC2190是一个鲜为人知且可能规模较小的勒索软件附属组织,但它的规模较小,并且反复更名,使其能够避免受到公众的大量审查。UNC2190在过去一年中继续运营,同时仅对其战略和工具进行了微小的更改,包括引入商业包装机和重新命名其服务产品。这突显了BEACON等知名工具如何能够导致有影响力且有利可图的事件,即使是在鲜为人知的团体利用的情况下。”
参考来源:SecurityAffairs http://33h.co/9ver3
(五)新型勒索软件Yanluowang攻击美国金融组织
赛门铁克研究人员发现,一个威胁行为者正在使用Yanluowang勒索软件,该行为者至少自2021年8月以来一直在对美国公司发起有针对性的攻击。攻击者使用的许多工具、策略和程序(TTP)许多与之前的Thieflock勒索软件攻击有关,这表明该威胁行为者可能是Thieflock的附属机构,现转向于新的Yanluowang勒索软件组织。攻击者主要针对金融部门的组织,但也针对制造、IT服务、咨询和工程部门的公司。
在大多数情况下,PowerShell用于将工具下载到包括BazarLoader在内的受感染系统,以协助侦察。攻击者然后通过注册表启用RDP以启用远程访问。在获得初始访问权限后,攻击者通常会部署一个合法的远程访问工具ConnectWise,以前名为ScreenConnect。
为了执行横向移动并识别感兴趣的系统,例如受害者的Active Directory服务器,攻击者部署了Adfind和SoftPerfect Network Scanner(netscan.exe)。Adfind是一种可用于查询Active Directory的免费工具,netscan.exe是一种公开可用的用于发现主机名和网络服务的工具。
攻击的下一阶段是凭证窃取,攻击者使用广泛的凭证窃取工具,包括:
1、GrabFF:一个可以从Firefox转储密码的工具;
2、GrabChrome:一个可以从Chrome转储密码的工具;
3、BrowserPassView:一种可以从Internet Explorer和许多其他浏览器转储密码的工具。
除了这些工具,攻击者还使用了许多开源工具,例如KeeThief,这是一种PowerShell脚本,用于从KeePass复制主密钥。在某些情况下,还观察到开源凭证转储工具的定制版本secretsdump.exe,凭据也从注册表中转储。
此外,攻击者还使用了许多其他数据捕获工具,包括屏幕捕获工具和文件泄露工具filegrab.exe。Cobalt Strike Beacon也被部署到至少一个目标组织。其他使用的工具包括ProxifierPE,它可用于将连接代理回攻击者控制的基础设施,以及免费的基于Chromium的Cent网络浏览器。
这些Yanluowang攻击与涉及由Canthroid(又名Fivehands)组织开发的勒索软件即服务Thieflock的较旧攻击之间存在初步联系。这些攻击者使用的几个TTP与Thieflock攻击中使用的TTP重叠,包括:
1、使用自定义密码恢复工具,例如GrabFF和其他开源密码转储工具;
2、使用开源网络扫描工具,例如SoftPerfect Network Scanner;
3、使用免费浏览器,例如s3browser和Cent浏览器。
这种联系引出了一个问题,即Yanluowang是否是由Canthroid开发的。然而,对Yanluowang和Thieflock的分析并没有提供任何共同作者的证据。相反,最有可能的假设是,这些Yanluowang攻击可能是由前Thieflock附属公司实施的。
参考来源:Symantec http://33h.co/9vrrp
(六)黑客组织WIRTE攻击中东政府组织
卡巴斯基研究人员发现,一个名为WIRTE的秘密黑客组织自2019年以来就使用恶意Excel 4.0宏攻击政府组织,攻击目标主要包括中东的知名公共及私人实体,但也包括其他地区的攻击目标。卡巴斯基分析了该活动的工具集和攻击方法,认为WIRTE与巴基斯坦有关,且有可能是“加沙网络攻击组织”的一部分。与其他附属黑客组织相比,WIRTE拥有更好的运营安全及更隐蔽的技术,并且可以长时间躲避检测。
WIRTE的网络钓鱼电子邮件包括Excel文档,这些Excel文档执行恶意宏,以在收件人的设备上下载和安装恶意软件负载。虽然WIRTE的主要目标是攻击政府和外交实体,但是卡巴斯基发现,这些攻击针对整个中东和其他地区的各种行业。恶意文档是为了提高目标受害者的兴趣而定制的,并使用模仿品牌、权威或目标组织的徽标和主题。
卡巴斯基表示,“我们的遥测数据表明,威胁行为者有针对性的攻击各种垂直行业,包括外交和金融机构、政府、律师事务所、军事机构和技术公司。受影响的实体位于亚美尼亚、塞浦路斯、埃及、约旦、黎巴嫩、巴勒斯坦、叙利亚和土耳其。”
Excel Dropper首先在隐藏列中运行一系列公式,该列隐藏原始文件的“启用编辑”请求,并取消隐藏包含诱饵的辅助电子表格。然后,Dropper会运行第三个带有隐藏列的电子表格中的公式,该电子表格会执行以下三个反沙箱检查:获取环境名称、检查鼠标是否存在、及检查主机是否可以播放声音。
如果所有检查均通过,宏将编写一个VBS脚本,该脚本编写嵌入式PowerShell代码段和两个用于持久性的注册表项。然后,宏将继续在%ProgramData%上使用VB代码编写PowerShell,代码段LitePower stager将下载有效负载并接收来自C2的命令。
卡巴斯基在各种受监控/分析入侵期间观察到的命令包括:列出本地磁盘驱动器、获取已安装的AV软件列表、检查当前用户是否为管理员、获取操作系统架构、检查是否存在后门服务、检查为COM劫持添加的注册表项、列出所有已安装的修补程序、获取屏幕截图并保存到%AppData%直到下一个POST请求。
攻击者已将其C2域放在Cloudflare后面,以隐藏实际的IP地址,但卡巴斯基能够识别其中的一些域,并发现它们托管在乌克兰和爱沙尼亚。其中许多域至少可以追溯到2019年12月,这表明WIRTE能够长时间逃避检测、分析和报告。
最近的入侵在C2通信中通过HTTPS使用TCP/443,但它们也使用TCP端口2096和2087。与旧版本的另一个相似之处是脚本中的睡眠功能,其范围仍然在60到100秒之间。
现在已经看到,WIRTE试探性地将其目标范围扩大到金融机构和大型私人组织,这可能是试验的结果,也可能是重点逐渐改变的结果。卡巴斯基警告称,尽管这些参与者使用的TTP很简单,而且相当普通,但它们仍然非常有效地打击了该组织的目标。
参考来源:BleepingComputer http://33h.co/9vug6
(七)欧盟网络安全局发布铁路网络安全风险管理实践
欧盟网络安全局ENISA于11月25日发布了一份报告《铁路网络安全风险管理最佳实践》,详细介绍了铁路组织网络风险管理的最佳实践。
ENISA表示,欧洲铁路企业(RU)和基础设施管理者(IM)需要以系统的方式解决网络风险,作为其风险管理流程的一部分。自2016年网络和信息安全(NIS)指令生效以来,这种需求变得更加紧迫。该报告的目的是为欧洲RU和IM提供有关如何评估和减轻网络风险的适用方法和实例。
该报告所提出的最佳实践基于铁路利益相关者的反馈。包括基于该行业使用的标准和最佳实践的工具,例如资产和服务列表、网络威胁情景、和适用的网络安全措施。这些资源可用作铁路公司网络风险管理的基础。因此,这旨在成为参考点,并促进整个欧盟铁路利益相关者之间的合作,同时提高对相关威胁的认识。
该报告指出,现有的风险管理方法因铁路信息技术(IT)和运营技术(OT)系统而异。对于铁路IT系统的风险管理,引用最多的方法是国家级NIS指令、ISO 2700x系列标准和NIST网络安全框架的要求。对于OT系统,引用的框架是ISA/IEC 62443、CLC/TS 50701,以及Shift2Rail项目X2Rail-3或CYRail项目的建议。这些标准或方法通常以互补的方式使用,以充分解决IT和OT系统问题。虽然IT系统通常使用更广泛和更通用的方法(例如ISO 2700x或NIS指令)进行评估,但OT系统需要专为工业列车系统设计的特定方法和框架。
ENISA表示,目前还没有统一的铁路网络风险管理方法。参与该研究的利益相关者表示,他们结合使用上述国际和欧洲方法来解决风险管理问题,然后与国家框架和方法相辅相成。
对于RU和IM管理网络风险,确定需要保护的内容至关重要。该报告强调了五个关键领域;利益相关者提供的服务、支持这些服务的设备(技术系统)、用于提供这些服务的物理设备、维护或使用它们的人员、以及使用的数据。
RU和IM需要确定哪些网络威胁适用于他们的资产和服务。该报告还审查了可用的威胁分类,并提供了可用作基础的威胁列表。该报告还分析了网络风险场景的示例,这可以在执行风险分析时帮助铁路利益相关者。它们展示了如何将资产和威胁分类法一起使用,并基于该部门的已知事件和研讨会期间收到的反馈。
关于应用网络安全措施,每个场景都与相关安全措施的列表相关联。该报告包括源自NIS指令、当前标准(ISO/IEC 27002、IEC 62443)和良好实践(NIST的网络安全框架)的网络安全措施。
ENISA和欧盟铁路局于2021年3月组织了一次关于铁路网络安全的虚拟会议。该会议几乎举行了两天,汇集了来自铁路组织、政策、行业、研究、标准化和认证的600多名专家。参与者投票的热门话题之一是铁路的网络风险管理,这激发了ENISA的最新研究。
参考来源:ENISA http://33h.co/9v5ap
(八)常见的Wi-Fi路由器中存在226个漏洞
IoT Inspector及CHIP的研究人员对9台知名厂商的Wi-Fi路由器在实验室条件下进行了安全测试,发现其中共有226个潜在安全漏洞。这九台测试的路由器包括Asus、AVM、D-Link、Netgear、Edimax、TP Link、Synology和Linksys,使用量超过数百万。其中漏洞数量最多的是TP-Link Archer AX6000,有32个漏洞,其次是Synology RT-2600ac,有30个漏洞。
IoT Inspector研究人员与CHIP杂志合作进行了安全测试,重点关注主要由小型公司和家庭用户使用的型号。IoT Inspector首席技术官兼创始人Florian Lukavsky通过电子邮件表示,“在测试中,供应商向CHIP提供当前型号的路由器,这些型号均已升级到最新的固件版本。IoT Inspector自动分析了固件版本,并检查了5,000多个CVE和其他安全问题。”
调查结果表明,即使使用最新的固件,许多路由器仍然容易受到公开披露的漏洞的影响。虽然并非所有漏洞都具有相同的风险,但研究人员发现了一些影响大多数测试型号的常见问题:
1、固件中过时的Linux内核;
2、过时的多媒体和VPN功能;
3、过度依赖旧版本的BusyBox;
4、使用弱默认密码,如admin;
5、以纯文本形式存在硬编码凭据。
IoT Inspector首席执行官Jan Wendenburg表示,保护路由器的最重要方法之一是在首次配置设备时更改默认密码。“首次使用时更改密码并启用自动更新功能必须成为所有物联网设备的标准做法,无论该设备是在家中使用还是在公司网络中使用。除了制造商引入的漏洞之外,最大的危险是根据Plug、Play、Forget使用物联网设备。”
除了有关提取D-Link路由器固件映像的加密密钥的案例外,研究人员没有公布其他发现的技术细节。该研究团队找到了一种在D-Link DIR-X1560上获得本地权限并通过物理UART调试接口获得shell访问权限的方法。接下来,研究人员使用内置的BusyBox命令转储整个文件系统,然后找到负责解密例程的二进制文件。
通过分析相应的变量和函数,研究人员最终提取出了用于固件加密的AES密钥。使用该密钥,攻击者可以发送恶意固件映像更新以通过设备上的验证检查,从而可能在路由器上植入恶意软件。此类问题可以通过保护本地存储图像的全盘加密来解决,但这种做法并不常见。
所有受影响的制造商都对研究人员的发现做出了回应,并发布了固件补丁。CHIP的作者Jörg Geiger表示,路由器供应商解决了研究人员发现的大部分安全漏洞,但不是全部。未修补的漏洞大多是重要性较低的漏洞,但是研究人员没有进行后续测试,来确认安全更新修复了报告的相关问题。
如果正在使用报告中提到的任何型号,建议应用可用的安全更新,启用“自动更新”,并将默认密码更改为唯一且强大的密码。此外,如果不经常使用远程访问、UPnP和WPS功能,则应禁用这些功能。
参考来源:BleepingComputer http://33h.co/9vqhn
(九)FBI可合法访问多个加密消息应用程序
最近发现的FBI培训文件显示,美国执法部门可以有限地访问来自安全消息服务的加密消息内容,如iMessage、Line和WhatsApp,但不能访问通过Signal、Telegram、Threema、Viber、WeChat或Wickr发送的消息。
这份文件是11月19日在Property of The People提交FOIA请求后获得的,Property of The People是一家致力于政府透明度的美国非营利组织。这份文件包含了培训建议,内容涉及代理可以从加密消息服务运营商处获得何种数据,以及必须经历的法律程序。该文件日期为2021年1月7日,不包含任何新信息,但是总结了FBI目前可以从每个列出的服务中获取的信息类型。
福布斯记者Thomas Brewster在Twitter上表示,过去的新闻报道已经披露,FBI可以利用法律手段来获取各种类型的个人信息,即使是从经常声称为其用户提供更多隐私的安全信息提供商那里获取。
虽然该文件证实FBI无法访问通过某些服务发送的加密消息,但他们可以从提供商那里收集的其他类型的信息,可能仍有助于当局调查的其他方面。
值得注意的是,该表格内容中包含微信,显示FBI无法访问微信的消息内容,但是可以“接受账户保存函和传票,但不能提供在中国创建的账户的记录。对于非中国帐户,可以提供基本信息,如姓名、电话号码、电子邮件、及IP地址,只要帐户处于活动状态,这些信息就会保留。”
参考来源:TheRecord http://33h.co/9v46a
(十)松下遭受黑客网络攻击导致数据泄露
松下11月26日证实,其网络于11月11日被第三方非法访问。根据内部调查的结果,确定在入侵过程中访问了文件服务器上的某些数据。在检测到未经授权的访问后,该公司立即向有关部门报告了该事件,并实施了安全策略,包括采取措施防止外部访问网络。
除了进行内部调查外,松下目前正在与专业的第三方组织合作调查泄漏事件,并确定泄露是否涉及客户的个人信息和/或与社会基础设施相关的敏感信息。对于由此事件造成的任何担忧或不便,松下表示最诚挚的歉意。
NHK和Mainichi等日本新闻媒体报道,攻击者获得了敏感信息,包括客户详细信息、员工个人信息、松下公司国内运营技术文件等。据报道,黑客在6月22日至11月3日期间访问了该公司的服务器四个多月,之后因网络流量异常而被该公司发现。
参考来源:Panasonic http://33h.co/9v2w5
(十一)宜家电子邮件系统遭受网络攻击
宜家(IKEA)的电子邮箱正在持续遭受网络攻击,攻击者使用窃取的回复链电子邮件将员工作为内部网络钓鱼攻击的目标。
回复链电子邮件攻击(Reply-Chain Email Attack)是指威胁行为者窃取合法的公司电子邮件,然后通过指向在收件人设备上安装恶意软件的恶意文档的链接对其进行回复。由于回复链电子邮件是来自公司的合法电子邮件,并且通常是从受感染的电子邮件帐户和内部服务器发送的,因此收件人会信任该电子邮件,并更有可能打开恶意文档。
在内部电子邮件中,宜家警告员工,正在发生针对内部邮箱的回复链网络钓鱼网络攻击。这些电子邮件也来自其他受感染的宜家组织和业务合作伙伴。
宜家在发送给员工的内部电子邮件中表示,“宜家内部邮箱正在遭受网络攻击。其他宜家组织、供应商和业务合作伙伴也受到了同样的攻击,并进一步向宜家内部人员传播恶意电子邮件。这意味着攻击可能来自合作伙伴及任何外部组织电子邮件,并作为对已在进行的对话的回复。因此很难检测到,对此我们要求您格外小心。”
宜家IT团队警告员工,回复链电子邮件包含末尾有七位数字的链接,并分享了一封示例电子邮件。此外,员工被告知不要打开电子邮件,无论是谁发送的,并立即向IT部门报告。收件人还被告知通过Microsoft Teams聊天告诉邮件发件人以报告电子邮件。
攻击者最近开始使用ProxyShell和ProxyLogin漏洞来破坏内部Microsoft Exchange服务器,以执行网络钓鱼攻击。一旦获得对服务器的访问权限,就会使用内部Microsoft Exchange服务器,对使用窃取的公司电子邮件的员工进行回复链攻击。由于电子邮件是从内部受感染服务器和现有电子邮件链发送的,因此人们更相信这些电子邮件不是恶意的。
也有人担心,收件人可能会从隔离区中释放恶意网络钓鱼电子邮件,认为他们被错误的被截获在了过滤器中,因此宜家禁止员工发布邮件,直到攻击得到解决。宜家表示,“我们的电子邮件过滤器可以识别一些恶意电子邮件,并将其隔离。由于该电子邮件可能是对正在进行的对话的回复,因此很容易认为电子邮件过滤器出错,并将电子邮件从隔离区中释放。因此,我们将在进一步通知之前禁止所有人从隔离区释放电子邮件。”
研究人员可以从网络钓鱼电子邮件的URL识别出针对宜家的攻击。访问这些URL时,浏览器将被重定向到包含恶意Excel文档的名为“charts.zip”的下载。此附件告诉收件人单击“启用内容”或“启用编辑”按钮以正确查看它。
单击这些按钮后,将执行恶意宏,从远程站点下载名为“bestb.ocx”、“bestb.ocx”和“bestc.ocx”的文件,并将它们保存到C:\Datop文件夹中。这些OCX文件被重命名为DLL,并使用regsvr32.exe命令执行以安装恶意软件负载。
使用此方法的活动安装了Qbot木马,又名QakBot和Quakbot,还有可能安装Emotet。Qbot和Emotet木马都会导致进一步的网络入侵,并最终在被破坏的网络上部署勒索软件。
由于这些感染的严重性以及他们的Microsoft Exchange服务器可能遭到入侵,宜家将这次安全事件视为一次重大的网络攻击,可能会导致更具破坏性的攻击。
参考来源:BleepingComputer http://33h.co/9vmw4
(十二)美国DNA检测中心泄露超200万个人信息
美国俄亥俄州DNA测试公司DDC披露,其在8月份发现了一起黑客攻击事件,包含210万人个人信息的数据库被访问并获取。
在11月29日提交给缅因州总检察长办公室的一份报告中,位于俄亥俄州费尔菲尔德的DNA诊断中心(DDC)表示,在5月24日至7月28日期间遭受了外部黑客攻击,影响了一个存档数据库,其中包含十多年前收集的个人信息,涉及超过210万人,其中包括225名缅因州居民。
DDC在违规通知声明中表示,8月6日,其检测到其网络上发生了潜在的安全事件。在此期间,有人未经授权访问和获取了包含2004年至2012年期间收集的个人信息的存档数据库。DDC表示,“受影响的数据库与DDC于2012年收购的国家基因检测组织系统相关。该系统从未在DDC的运营中使用过,自2012年以来一直没有启用过。”
DDC表示,其调查于10月29日完成,确定未经授权的行为者可能从其遗留数据库的部分删除了某些文件和文件夹。受影响的个人可能已经在事件中泄露了信息,包括社会安全号码或付款信息。
发现事件后,DDC表示其“控制并保护了威胁”,通知了执法部门,并与第三方网络安全专业人员合作进行了调查。该公司表示,“DDC已经并将继续全面运行,并且DDC活跃使用的系统和数据库没有被渗透。”
DDC网站显示,该公司提供范围广泛的DNA和相关检测服务,包括亲子鉴定、血统、生育能力、基因分型和宠物DNA检测,该公司还提供各种新冠疫情检测。该公司正在为受影响的个人提供12个月的补充信用监控服务。
在一份声明中DDC表示,“虽然DDC保持严格的安全标准,以确保我们系统的安全,但不幸的是,网络安全事件在当今的商业环境中变得非常普遍。确保委托给DDC的个人信息的安全和保障仍然是公司的主要责任,并且DDC将继续与第三方专家合作以加强其网络安全防御。迄今为止,DDC未获悉任何关于此事件导致身份欺诈或信息使用不当。在发现此事件后,DDC还与执法部门密切协调。”
DDC表示,其事件不属于应报告HIPAA的违规行为。一些专家表示,涉及任何DNA测试公司的数据安全事件都可能引发各种监管问题,但不一定是HIPAA。
Polsinelli律师事务所隐私律师Iliana Peters表示,“只有当实体在HIPAA保护范围内才会涉及到HIPAA,许多基因检测实体是直接面向消费者的,不受HIPAA保护,因为它们不会向健康保险公司收取检测费用。然而,这可能成为联邦贸易委员会的一个问题。”
Hales Law Group监管律师Paul Hales提供了类似的评估,“这是维护受保护健康信息但不受HIPAA约束的组织构成的重大危险之一。因此不进行HIPAA风险分析,不维护隐私和安全政策和程序,以使他们能够发现安全漏洞并防止违规行为。”
此外Peters表示,当公司购买或出售实体时,对机密、专有和敏感数据的尽职调查是关键。“鉴于我们当前对数据构成重大威胁的环境,与数据及其安全性相关的彻底尽职调查过程对于任何交易都是必不可少的。”
Peters指出,遗留系统可能会给HIPAA涵盖的实体和未涵盖的实体带来潜在的数据安全风险,“因此企业风险评估,在HIPAA下被称为风险分析,也应该包括遗留系统。”
数据安全公司Comforte AG经理Trevor Morgan表示,任何时候都可以从数据环境中访问数据,即使它是某种遗留存储库中的静态数据,该数据也应该受到保护,而不仅仅是基于边界或基于访问的安全性。“通过标记化以数据为中心的安全性可以应用于生产数据以及不再用于日常生产的存档数据。关键是在数据进入工作流程或数据生态系统的任何时候对其进行保护,然后在整个生命周期中保持其保护。”
参考来源:InfoRiskToday http://33h.co/9vgu8
(十三)加拿大教育委员会CEPEO遭受网络攻击并支付赎金
加拿大安大略省东部公立学校委员会(CEPEO)披露,其在10月份遭受了网络攻击,导致员工及个人信息泄露。该组织向黑客支付了赎金,以保护被盗数据。
10月18日上午,该组织获悉,身份不明的攻击者未经授权访问了该组织计算机网络。当晚该网络得到了保护,该组织在网络安全专家的帮助下展开了调查。随后证实,威胁行为者获取了一组存储在委员会主要办公室服务器上的文件,大约有75 GB数据被盗。保护社区成员是CEPEO的首要任务,因此CEPEO向威胁行为者付款,并收到数据被删除的声明。对此CEPEO发布了通知。
如果受害者在2000年之后的任何时间受雇于CEPEO,个人信息可能已经存储在服务器上。如果社会保险号、银行帐号、未过期的信用卡号或出生日期被泄露,CEPEO将在一周内联系相关受害者。如果需要,CEPEO会免费提供24个月的信用监察服务。
较少数量的现任和前任学生和家长受到影响。CEPEO会仔细分析数据,并会尽快通知受影响的人。CEPEO呼吁社区的所有成员保持警惕。与往常一样,应该注意网络钓鱼电子邮件和其他可疑通信,并监控财务账户是否有任何欺诈使用的迹象。
CEPEO向受害者表示诚挚的歉意。由于这次事件,CEPEO已采取措施提高网络安全性,并将在调查事件时实施进一步的改进。CEPEO已将此事报告给执法当局和安大略省信息和隐私专员。
参考来源:CEPEO http://33h.co/9v4sd
(十四)洛杉矶计划生育协会PPLA遭受勒索软件攻击泄露40万患者信息
洛杉矶计划生育协会(PPLA)披露,其在10月份遭受了一起勒索软件攻击,泄露了约40万名患者的个人信息。根据发送给PPLA患者的数据泄露通知,网络攻击发生在10月9日至17日之间,攻击者可以从受感染的网络中窃取文件。
泄露通知显示,“2021年10月17日,我们发现了计算机网络上的可疑活动。我们立即将系统下线,通知了执法部门,并聘请了第三方网络安全公司协助我们进行调查。调查确定,一名未经授权的人在2021年10月9日至2021年10月17日期间访问了我们的网络,并在此期间从我们的系统中窃取了一些文件。然而,直到11月4日,PPLA才确定被盗文件包含患者的个人信息,包括地址、保险信息、出生日期、及临床信息,如诊断、手术和/或处方信息。”
PPLA发言人John Erickson表示,被盗文件包含的约400,000例患者的个人资料,并通过勒索攻击造成的。
当威胁行为者进行勒索软件攻击时,他们会在受感染的网络中潜伏数天甚至数周,同时悄悄窃取文件,并将其上传到他们的服务器。一旦他们完成了有价值的数据的收集,威胁行为者就会部署勒索软件来加密网络上的所有设备。然后使用被盗数据作为筹码,来威胁受害者支付赎金,否则这些数据将在勒索软件团伙的数据泄露站点上公开发布。
目前尚不清楚是哪个勒索软件团伙对此次袭击负责,以及是否已支付赎金。但是,如果没有支付赎金,很可能会在数据发布后知道谁负责。
由于据称被盗数据包含医疗信息,包括PPLA采取的程序,因此公开发布数据可能会对受影响的患者产生重大影响。虽然这次泄露没有暴露任何财务信息,但访问者的姓名、地址、出生日期和健康信息,可能会让威胁行为者进行更有针对性的攻击。
因此,所有受影响的患者都应注意有关其PPLA就诊、健康信息或其他相关信息的奇怪电子邮件或短信。如果患者收到任何声称来自PPLA并要求提供敏感信息的电子邮件,应立即联系Planned Parenthood以查看电子邮件是否合法。
参考来源:BleepingComputer http://33h.co/9v4uu
(十五)西兰公国网站存在恶意软件Web Skimmer
一名威胁行为者入侵了微型国家西兰公国(Principal of Sealand)的网站,并在其网上商店植入恶意代码。该国政府正在该网站上出售男爵、伯爵、公爵和其他贵族头衔。西兰公国是一个由小组织宣称建立而未被国际普遍承认的国家。
该恶意代码名为Web Skimmer,允许黑客收集从该国在线商店购买贵族头衔的任何人的用户和支付卡详细信息。
网络安全公司Sansec创始人威Willem de Groot表示,从10月12日起,在该网站上进行的所有交易都被黑客拦截。De Groot表示,他在分析一个自去年以来一直活跃的Web Skimmer组织的基础设施时发现了该代码。他也在一家法国安全服务提供商的网站上找到了相同的代码。由于错误,该代码今天无法运行,但自首次在西兰网站上植入以来一直处于活动状态。
西兰公国在1968年由Paddy Roy Bates创立,他是海盗电台Caroline的运营者,位于北海英国海岸11公里外的一座退役的二战军事堡垒上。虽然该国在60年代宣布独立和主权,但从未被任何其他联合国国家承认为正式国家,被视为媒体噱头。
如今,该公国主要以通过其网站出售贵族头衔而闻名,许多其他小国或地方政府采用这种做法为其地方预算筹集资金。目前该国发言人没有置评。
参考来源:TheRecord http://33h.co/9v23b
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
