关键信息基础设施安全动态周报【2022年第17期】
发布时间:
2022-05-07
来源:
作者:
天地和兴
访问量:
368
目 录
第一章 国外关键信息基础设施安全动态
(一)uClibc库存在DNS漏洞全球数百万物联网设备面临风险
(二)攻击者使用事件日志隐藏无文件恶意软件
(三)多款勒索软件遭受DLL劫持阻止文件加密
(四)新型恶意软件Raspberry Robin通过USB驱动器传播
(五)NIST发布最新防御供应链网络攻击指南
(六)美国白宫发布关于量子计算风险的安全备忘录
(七)新型恶意软件加载程序Bumblebee被多个威胁行为者使用
(八)多个黑客组织利用乌克兰话题开展网络攻击
(九)韩国正式加入北约网络防御中心
(十)美国农机制造商AGCO遭受勒索软件攻击
(十一)美国能源供应商Riviera Utilities泄露客户信息
(十二)三菱电机承认伪造安全和质量控制测试数据
第一章 国外关键信息基础设施安全动态
(一)uClibc库存在DNS漏洞全球数百万物联网设备面临风险
Nozomi Networks研究人员在uClibc库的域名系统(DNS)组件中发现了一个安全漏洞,uClibc库是嵌入式系统的C标准库,广泛应用于各物联网产品中,使得数百万IoT设备面临DNS中毒攻击风险。
该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起的,攻击者可以利用该漏洞进行DNS中毒或DNS欺骗攻击,并将受害者重定向到恶意网站,而不是合法网站。
该漏洞编号为CVE-2022-05-02,是大量物联网产品使用的uClibc库的域名系统(DNS)组件中存在的漏洞。该漏洞还影响所有版本的uClibc-ng库的DNS实现,该库是专门为OpenWRT设计的一个分支,OpenWRT是用于各种关键基础设施部门的路由器的通用操作系统。uClibc库被主要供应商使用,包括Linksys、Netgear和Axis,或嵌入式Gentoo等Linux发行版。
Nozomi Networks在发布的公告中表示,“该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起的,这可能允许攻击者对目标设备执行DNS中毒攻击。”
由于库维护人员无法开发修复程序,该漏洞尚未修复。因此研究人员没有透露该漏洞的细节。
Nozomi研究人员通过查看物联网设备在其测试环境中执行的DNS请求跟踪发现了这个问题。研究人员能够从Wireshark的输出中确定执行DNS请求的模式,事务ID首先是递增的,然后重置为值0x2,然后再次递增。请求的事务ID是可预测的,这种情况可能允许攻击者在某些情况下执行DNS中毒。
研究人员分析了可执行文件,发现创建DNS请求的问题在于C标准库uClibc版本0.9.33.2中。
Nozomi Networks报告表示,“源代码审查显示,uClibc库通过调用位于源文件/libc/inet/resolv.c中的内部__dns_lookup函数来实现DNS请求。鉴于交易ID现在是可预测的,要利用该漏洞,攻击者需要制作包含正确源端口的DNS响应,并赢得与来自DNS服务器的合法DNS响应的竞争。问题的可利用性完全取决于这些因素。由于该函数不应用任何显式源端口随机化,如果操作系统配置为使用固定或可预测的源端口,则很可能以可靠的方式轻松利用该问题。”
如果操作系统使用源端口的随机化,则利用该问题的唯一方法是通过发送多个DNS响应来暴力破解16位源端口值,同时赢得与合法响应的竞争。
Nozomi Networks报告表示,“正如预期的那样,截至本博客发布时,该漏洞仍未修补。正如公开对话中所述,维护者无法为该漏洞开发修复程序,希望得到社区的帮助。自2022年1月以来,CERT/CC向200多家受邀参与VINCE案例的供应商披露了该漏洞,并在公开发布前30天通知他们。”
参考来源:SecurityAffairs http://985.so/xwtg
(二)攻击者使用事件日志隐藏无文件恶意软件
卡巴斯基研究人员发现了一种复杂的恶意活动,使用了一种新颖的反检测方法,利用一种前所未有的技术在目标机器上悄悄植入无文件恶意软件。该技术涉及将shellcode直接注入Windows事件日志,这使得攻击者可以使用Windows事件日志作为恶意后期木马的掩护。
研究人员在2022年2月份首次在野外发现了该活动,并认为身份不明的攻击者在过去一个月内一直很活跃。它允许在文件系统中隐藏“无文件”最后阶段的木马。这种对活动中事件日志的关注不仅限于存储shellcode。Dropper模块还修补了与事件跟踪(ETW)和反恶意软件扫描接口(AMSI)相关的Windows原生API功能,以使感染过程更加隐蔽。
除了事件日志之外,威胁行为者的工具集中还有许多其他技术。其中区分攻击者在开发下一个恶意阶段时如何考虑初步侦察:模仿合法域名的C2 Web域名,以及属于受害者使用的现有软件的名称。为了托管攻击者,攻击者使用Linode、Namecheap、DreamVPS上的虚拟专用服务器。
一种更常见的方法是使用大量反检测解密程序。威胁行为者使用不同的编译器,从微软的cl.exe或MinGW下的GCC到最新版本的Go。此外为避免检测,某些模块使用数字证书进行签名。这是由攻击者发布的,因为遥测没有显示任何与之签名的合法软件,只有在此活动中使用的恶意代码。
关于最后阶段的特洛伊木马,威胁行为者决定不只使用一种,有基于HTTP和命名管道的。显然除了事件日志之外,威胁行为者还痴迷于内存注入,许多RAT命令与它相关并且被大量使用。除了上述自定义模块和技术,还使用了一些商业渗透测试工具,如Cobalt Strike和NetSPI等。
木马使用带有RC4加密的HTTP或通过使用命名管道的未加密通信与命令和控制(C&C)服务器进行通信。执行后,HTTP木马会识别受感染系统的指纹,如果对服务器的初始ping成功,则将数据发送到服务器。
该恶意软件支持对系统进行指纹识别、执行接收到的命令、下载和保存有效负载、列出进程、将代码注入目标进程、休眠指定时间段、以及终止与C&C的会话命令。
研究人员并未将这些攻击归因于已知的威胁行为者,但表示该组织之所以引人注目,是因为它修补了与事件跟踪和反恶意软件扫描接口相关的Windows原生API功能,以确保感染保持隐秘。
参考来源:SecureList http://985.so/xkzx
(三)多款勒索软件遭受DLL劫持阻止文件加密
安全研究人员John Page发现,多款勒索软件容易受到DLL劫持,可利用漏洞来控制这些恶意软件,并能够阻止文件加密。受影响的勒索软件包括Conti、REvil、Black Basta、LockBit、AvosLocker。攻击者通常利用这种方法将恶意代码注入合法应用程序。
研究人员John Page一直在运行一个名为Malvuln的项目,该项目对各种恶意软件中发现的漏洞进行分类。该项目于2021年初启动,当时只有20多个条目。而在2021年6月达到了260个条目。截至2022年5月4日,Malvuln已对近600个恶意软件漏洞进行分类。
在5月的头几天,Page添加了10个新条目,描述了在Conti、REvil、Loki Locker、Black Basta、AvosLocker、LockBit和WannaCry勒索软件系列中发现的漏洞。
研究人员发现,这些勒索软件家族以及其他勒索软件家族都受到DLL劫持漏洞的影响。通过将特制文件放置在合法DLL之前可以执行的位置,这些类型的缺陷通常可以被用来执行任意代码和提升权限。
在勒索软件的情况下,攻击者可以创建一个与勒索软件搜索并最终加载的DLL同名的DLL文件。如果新的DLL放置在勒索软件可执行文件旁边,它将被执行,而不是恶意软件。这可用于拦截恶意软件并在它可以加密任何文件之前将其终止。
研究人员指出,这些DLL可以被隐藏,在PoC视频中通过使用Windows attrib +s +h命令来进行隐藏。
Page解释表示,“端点保护系统和/或防病毒软件可能会在执行恶意软件之前被杀死,但这种方法不能,因为没有什么可杀死的,DLL只是存在于磁盘中等待。从防御的角度来看,您可以将DLL作为分层方法添加到包含重要数据的特定网络共享中。”
Page表示,他测试的一些勒索软件样本是最新的,但指出该方法几乎适用于所有勒索软件,将其比作“潘多拉的漏洞盒子”。
研究人员还发布了视频,展示了每个勒索软件的漏洞利用情况。这些视频展示了如果将特制的DLL文件与勒索软件可执行文件放在同一文件夹中,如何防止恶意软件加密文件。
Malvuln数据库存储有关身份验证绕过、命令/代码执行、硬编码凭据、DoS、SQL注入、XSS、XXE、CSRF、路径遍历、信息泄露、不安全权限、加密相关和其他类型的恶意软件漏洞的信息。
Page最近还推出了开源工具Adversary3,是针对第三方攻击者的恶意软件漏洞情报工具。该工具是用Python编写的,旨在更轻松地访问Malvuln数据库中的数据,允许用户根据漏洞利用类别查找漏洞。
研究人员表示,该工具在红队活动中可能很有用。测试人员可以寻找托管恶意软件的设备,并利用该恶意软件中的漏洞来提升权限。
当该项目启动时,网络安全社区的一些成员担心这些信息可能对恶意软件开发人员有用,帮助他们修复漏洞,其中一些可能已被悄悄地用于威胁情报目的。然而,勒索软件漏洞和Adversary3工具表明,该项目对网络安全社区也很有用。
参考来源:SecurityWeek http://985.so/xxp5
(四)新型恶意软件Raspberry Robin通过USB驱动器传播
Red Canary研究人员发现了一款名为Raspberry Robin的新型蠕虫恶意软件,通过外部USB驱动器传播到Windows计算机上,以使用Microsoft标准安装程序和其他合法进程安装恶意文件,与威胁行为者通信,并执行恶意命令。
Raspberry Robin是Red Canary在2021年9月首次观察到的活动的名称,涉及通常通过USB驱动器安装的蠕虫。该活动集群依赖于msiexec.exe调用其基础设施,通常是受感染的QNAP设备,使用包含受害者用户和设备名称的HTTP请求。Raspberry Robin使用TOR出口节点作为额外的命令和控制(C2)基础设施。最终蠕虫会安装在受感染USB上发现的恶意动态链接库(DLL)文件。
Raspberry Robin最初由Red Canary检测工程团队的Jason Killam注意到。早在2021年9月Red Canary就发现了Raspberry Robin的活动,大多数相关活动发生在2022年1月期间或之后。
尽管研究人员观察到了恶意活动的各种过程和执行情况,但这些观察结果留下了许多悬而未决的问题。研究人员尚未弄清楚Raspberry Robin如何或在何处感染外部驱动器以使其活动永久化,尽管这种感染很可能发生在离线或在视线之外。
Red Canary研究人员也不知道为什么Raspberry Robin会安装一个恶意DLL,他们认为这可能是试图在受感染的系统上建立持久性,但是没有足够的证据来证明这一点。
围绕该蠕虫的最大疑问是其背后的威胁行为者的目标。由于缺乏有关后期活动的额外信息,就很难对这些活动的目标做出推断。
受感染的可移动驱动器通常是USB设备,会将Raspberry Robin蠕虫作为快捷方式LNK文件,伪装成受感染USB设备上的合法文件夹。LNK文件是指向并用于打开另一个文件、文件夹或应用程序的Windows快捷方式。
受感染的驱动器连接到系统后不久,蠕虫会更新UserAssist注册表项,并在破译时记录引用LNK文件的ROT13加密值的执行。例如q:\erpbirel.yax被破译为d:\recovery.lnk。
当Raspberry Robin使用cmd.exe读取并执行存储在受感染外部驱动器上的文件时,执行就开始了。该命令在迄今为止看到的Raspberry Robin检测中是一致的,使其成为潜在蠕虫活动的可靠早期证据。
在下一个执行阶段,cmd.exe通常会启动explorer.exe和msiexec.exe。前者的命令行可以是对外部设备的混合大小写引用,例如人名LAUREN V或LNK文件的名称。该蠕虫还在其命令中广泛使用混合大小写字母,最有可能避免被发现。
Raspberry Robin使用启动的第二个可执行文件msiexec.exe尝试与恶意域进行外部网络通信,以进行命令和控制。在研究人员观察到的几个活动示例中,蠕虫使用msiexec.exe安装恶意DLL文件,但是仍然不确定DLL的用途。
该蠕虫还使用msiexec.exe来启动一个合法的Windows实用程序fodhelper.exe,而后者又会生成rundll32.exe来执行恶意命令。
fodhelper.exe启动的进程以提升的管理权限运行,无需用户账户控制提示。由于这对该实用程序来说是不寻常的行为,因此活动可用于检测受感染机器上是否存在Raspberry Robin。
rundll32.exe命令然后启动另一个合法的Windows实用程序odbcconf.exe,并传递其他命令来执行和配置最近安装的恶意DLL文件。
参考来源:RedCanary http://985.so/xeet
(五)NIST发布最新防御供应链网络攻击指南
美国国家标准与技术研究院(NIST)5月5日发布了有关保护供应链免受网络攻击的最新指南《系统和组织的网络安全供应链风险管理实践》,为识别和应对供应链网络安全风险提供指导。
自2020年以来,NIST发布了两份关于企业如何更好地防御供应链攻击的文件草案。5月5日为了响应14028号行政命令,改善国家网络安全,NIST发布了该指南。
该指南的作者之一NIST的Jon Boyens表示,“管理供应链的网络安全是一项一直存在的需求。如果机构或组织还没有开始使用它,这是一个综合工具,可以从爬行到步行到跑步,并且可以帮助您立即完成。”
该指南篇幅很长,有326页,但包含有关供应链风险的宝贵信息,从评估外国对软件/产品开发的控制,到与使用外部IT服务提供商相关的风险。
NIST信息安全专家、该指南另一位作者Angela Smith表示,“这与信任和信心有关。组织需要有更大的保证,确保购买和使用的东西是可信的。这一新指南可以帮助您了解要寻找哪些风险,以及考虑采取哪些应对措施。”
由于文档的长度和复杂性,NIST计划发布快速入门指南,以帮助刚刚开始C-SCRM(网络安全供应链风险管理)工作的组织。
供应链攻击正成为威胁行为者越来越受欢迎的目标,因为它允许他们破坏单个产品,并影响众多使用它的下游公司。
供应链攻击的严重性在现实世界的场景中得到了证明,当威胁者破坏SolarWinds以感染下游客户时,Kaseya的MSP软件被用于加密超过1000家公司,以及如何使用npm模块执行远程命令。
这些攻击仅通过破坏单一来源就对许多组织产生了广泛的影响,这表明企业需要增加针对供应链攻击的保护措施。
参考来源:BleepingComputer http://985.so/xkv0
(六)美国白宫发布关于量子计算风险的安全备忘录
美国白宫5月4日发布国家安全备忘录,要求政府机构采取措施,减轻量子计算机对美国国家网络安全构成的风险。该备忘录概述了密码分析相关量子计算机(CRQC)的风险,例如可能阻止当前公钥加密的能力。量子计算可能危及民用和军用通信、破坏关键基础设施的监督和控制系统、破坏绝大多数基于互联网的金融交易的安全协议。
美国政府正在大力推进缓解未来量子计算威胁的计划,该备忘录指示联邦机构迅速启动一种全方位的方法,来迁移到抗量子技术。
这份安全备忘录与一项旨在促进美国在量子计算领域的领导地位的计划一起发布,指导各机构在将易受攻击的计算机系统迁移到抗量子密码学的耗时多年的过程中采取具体行动。
该备忘录表示,“研究表明,在不久的将来,当量子计算机达到足够的规模和复杂程度时,它们将能够破解目前保护我们在互联网上的数字通信安全的大部分加密技术。”
白宫指出,量子计算对美国的经济和国家安全构成“重大风险”,并警告称,足够大且足够复杂的量子计算机“将能够破解美国和各国的数字系统中使用的大部分公钥密码”。
白宫表示,“当它可用时,这可能会危及民用和军用通信、破坏关键基础设施的监督和控制系统、并破坏大多数基于互联网的金融交易的安全协议。”
为了启动这一进程,政府表示,美国国家安全局(NSA)和美国国家标准与技术研究院(NIST)将开发和发布新的抗量子加密标准,以防止这些未来的攻击。首批这些标准预计将于2024年公开发布。
白宫表示,一旦这些措施到位,将有必要制定“整个政府和整个社会的战略”,以在2035年之前尽可能多地减轻量子风险。
政府表示,“这项迁移工作的核心将是强调加密敏捷性,以减少过渡所需的时间,并允许对未来的加密标准进行无缝更新。这项工作在美国经济的所有部门都是必不可少的,从政府到关键基础设施,从商业服务到云提供商,以及任何其他易受攻击的使用密钥加密技术的公共部门。”
该备忘录概述了量子迁移计划的多机构协调的最后期限和计划,并且随着开源工具现在配备了新功能,以防止与量子计算进步相关的“现在捕获,以后解密”攻击。
根据OpenSSH 9.0发布的说明,开源组织现在默认使用混合的流线型NTRU Prime + x25519密钥交换方法,这一举措包括防止未来发现NTRU算法中的缺陷。
OpenSSH解释表示,“NTRU算法被认为可以抵抗未来量子计算机启用的攻击,并与X25519 ECDH密钥交换(以前的默认值)配合使用,作为对未来可能发现的NTRU Prime任何漏洞的支持。这种组合确保了混合交换提供的安全性至少与现状一样好。我们现在正在做出这种改变,即先于密码相关的量子计算机,以防止“现在捕获,以后解密”攻击,一旦有足够先进的量子计算机,可以记录和存储SSH会话密文的攻击者能够对其进行解密。”
参考来源:SecurityWeek http://985.so/xxd2
(七)新型恶意软件加载程序Bumblebee被多个威胁行为者使用
Proofpoint研究人员发现了一个名为Bumblebee的新型恶意软件加载程序,该加载程序被多个威胁组织使用,取代了之前使用的BazaLoader和IcedID恶意软件。
Bumblebee正在积极开发中,是一种高度复杂的恶意软件,并使用精心设计的规避技术,包括复杂的反虚拟化。Bumblebee自2022年3月首次被发现,恰逢BazaLoader自2022年2月使用频率下降。
与大多数其他使用进程空洞或DLL注入的恶意软件不同,此加载程序利用异步过程调用(APC)注入从命令和控制(C2)接收到的命令启动shellcode。
Bumblebee传播了Cobalt Strike、shellcode、Sliver和Meterpreter。使用Bumblebee的威胁行为者与后续勒索软件活动相关联的恶意软件有效负载相关联。
Bumblebee是用C++编写的,主要集中在一个函数中,负责初始化、处理响应和发送请求。目前,下载程序的配置以明文形式存储,但其开发人员将来可能会开始使用模糊处理。
一旦在受害机器上执行,就会收集有关系统的信息,然后开始与命令和控制(C&C)服务器进行通信。根据Bumblebee接收作业执行所需的时间,有效负载可能是手动部署的。Bumblebee还包含反虚拟机和反沙盒检查,并且在最新版本中添加了随机睡眠间隔,以及网络通信的加密层。
Proofpoint研究人员已经追踪了至少三组与Bumblebee相关的活动,这些活动与谷歌威胁分析小组在3月份详细描述的旨在分发Conti和Diavol勒索软件的活动重叠。
Bumblebee实现了反虚拟化检查,并通用下载器功能的独特实现,传播了Cobalt Strike、shellcode、Sliver和Meterpreter。
ProofPoint在分析文章中表示,“Bumblebee是一个复杂的恶意软件加载程序,展示了持续开发的证据,该程序被多个网络犯罪威胁行为者使用。根据该软件在威胁环境中出现的时间以及被多个网络犯罪团伙使用的情况,如果不是BazaLoader的直接替代品,那么Bumblebee很可能是一种新的多功能工具,被历来支持其他恶意软件的行为者使用。”
Proofpoint观察发现,攻击使用了DocuSign品牌的邮件,旨在诱骗收件人下载托管在OneDrive上的恶意ISO文件。
在一条路径中,威胁行为者发送包含“查看文档”超链接的消息,而另一条路径则利用包含URL的HTML附件,该URL使用称为Prometheus的流量引导系统(TDS)来根据潜在受害者的时区和cookie过滤下载。
攻击者还试图滥用目标网站上的联系表格,并向收件人发送一条声称侵犯图像版权的消息。该消息包含指向登录页面的链接,该链接将用户引导至下载包含DOCUMENT_STOLENIMAGES.LNK和neqw.dll的ISO文件。
Proofpoint还观察到,2022年4月的第二次活动涉及线程劫持活动,该活动提供的电子邮件似乎是对带有恶意压缩ISO附件doc_invoice_[number].zip的现有良性电子邮件对话的回复。
Proofpoint报告声称,在4月份的活动中使用的最新版本的加载程序中,Bumblebee的功能发生了重大变化,例如对多个C2的支持以及在网络通信中添加了加密层。使用Bumblebee的威胁行为者可能是从同一个威胁行为者那里获得加载程序的初始访问代理。
参考来源:SecurityAffairs http://985.so/xwqf
(八)多个黑客组织利用乌克兰话题开展网络攻击
谷歌威胁分析小组一直在密切关注东欧与乌克兰战争有关的网络安全活动,观察到越来越多的威胁行为者利用战争作为网络钓鱼和恶意软件活动的诱饵,威胁行为者越来越多地针对关键基础设施实体,包括石油和天然气、电信和制造业。
来自伊朗、朝鲜和俄罗斯的政府支持的威胁行为者以及各种未署名的组织,利用各种与乌克兰战争相关的主题,试图让目标打开恶意电子邮件或点击恶意链接。出于经济动机和犯罪行为者也将时事用作针对用户的手段。
APT28或Fancy Bear是俄罗斯GRU的威胁行为者,使用新的恶意软件变种针对乌克兰用户。该恶意软件通过受密码保护的zip文件(ua_report.zip)中的电子邮件附件分发,是一个.Net可执行文件,执行时会从Chrome、Edge和Firefox浏览器中窃取cookie和保存的密码。然后通过电子邮件将数据泄露到被盗用的电子邮件账户。
Turla是俄罗斯FSB旗下的一个组织,继续针对波罗的海国家开展活动,针对该地区的国防和网络安全组织。与最近观察到的活动类似,这些活动是通过电子邮件发送的,并且每个目标都包含一个唯一链接,该链接指向托管在攻击者控制的基础设施上的DOCX文件。打开时,DOCX文件会尝试从同一攻击者控制的域下载唯一的PNG文件。
COLDRIVER是俄罗斯的威胁行为者,有时被称为Callisto,继续使用Gmail账户向各种Google和非Google账户发送凭据网络钓鱼电子邮件。目标包括政府和国防官员、政治家、非政府组织和智囊团以及记者。该组织针对这些活动的策略、技术和程序(TTP)已从将网络钓鱼链接直接包含在电子邮件中,略微转变为链接到托管在Google Drive和Microsoft One Drive上的PDF和/或DOC。这些文件中包含指向攻击者控制的网络钓鱼域的链接。
Ghostwriter是白俄罗斯的威胁行为者,在战争期间一直很活跃,最近恢复了通过凭据网络钓鱼攻击Gmail账户。该活动针对乌克兰的高风险个人,包含指向托管第一阶段网络钓鱼页面的受感染网站的链接。如果用户单击继续,将被重定向到收集用户凭据的攻击者控制的站点。
4月中旬,TAG检测到一个针对Facebook用户的Ghostwriter凭证钓鱼活动。这些目标主要位于立陶宛,通过Facebook安全团队的域欺骗向攻击者控制的域发送链接。
参考来源:Google http://985.so/xd74
(九)韩国正式加入北约网络防御中心
据韩联社首尔5月5日报道,韩国国家情报院(下称国情院)5日表示,国情院代表韩国作为正式会员加入北大西洋公约组织(NATO)合作网络防御卓越中心(CCDCOE)。由此,韩国成为首个加入该机构的亚洲国家。
报道称,国情院网络安全负责人在爱沙尼亚首都塔林的合作网络防御卓越中心本部出席了会员加入活动。
报道还称,合作网络防御卓越中心成立于2008年5月。国情院2019年提交加入意向书,并从2020年起连续两年出席合作网络防御卓越中心主办的全球最大规模网络演习“锁盾”演习。
报道指出,韩国加入该机构后,正式会员国增至32个,包括北约27个成员国和其他5个非成员国。国情院将代表韩国同各国情报机构参与机构演习和研究。
对此胡锡进在推特上表示,“如果韩国走上了敌视邻国的道路,这条道路的终点可能是乌克兰。”
本文版权归原作者所有,参考来源:参考消息 http://985.so/xx68
(十)美国农机制造商AGCO遭受勒索软件攻击
美国农业机械生产商AGCO宣布其遭受了勒索软件攻击,部分生产设施受到影响。AGCO没有披露导致中断的详细信息,但可能关闭了其部分IT系统,以防止攻击蔓延。
AGCO表示,“AGCO仍在调查攻击的程度,但预计其业务运营将在几天内受到不利影响,甚至可能更长的时间,才能完全恢复所有服务,具体取决于公司能够修复其系统的速度。公司将随着情况的进展提供更新。”
该事件调查仍在进行中,在恢复系统的过程中,预计这次网络攻击的影响将持续很长一段时间。
AGCO是该领域的巨头,收入超过90亿美元,拥有21,000名员工,拥有Fendt、Massey Ferguson、Challenger、Gleaner和Valtra等品牌。
因此,勒索软件攻击造成的任何生产中断都可能对设备的生产和交付产生重大的供应链影响。
联邦调查局最近警告称,勒索软件攻击的攻击目标是美国的农业部门,并强调了2022年两起值得注意的案例。该机构于2021年9月发布了类似的通知,随后针对两家大型农民合作社NEW Cooperative和Crystal Valley进行了高影响力的勒索软件攻击。
所有与国家粮食生产和供应直接相关的实体都被视为关键基础设施,并以获取巨额利润为目标。在当前形势下,鉴于政治紧张局势,这种网络攻击可能具有报复性动机,旨在破坏公司的生产。
参考来源:BleepingComputer http://985.so/xd5z
(十一)美国能源供应商Riviera Utilities泄露客户信息
美国阿拉巴马州鲍德温县公用事业公司Riviera Utilities发生了数据泄露事件,在员工电子邮件账户被访问后暴露了客户的个人详细信息。在5月2日发布的一份声明中,该公司证实一名身份不明的威胁行为者获得了内部数据的访问权限。
泄露的详细信息包括“有限数量的”的个人信息,例如姓名、社会安全号码、驾驶执照或州身份证号码、护照号码、医疗信息、健康保险信息、信用卡或借记卡号码、卡到期日期、和信用卡CVV。
Riviera Utilities补充表示,不同客户的个人信息元素各不相同。2022年3月28日进行的取证调查确定,电子邮件账户在2021年10月17日左右被访问,受影响的人在4月26日收到通知。Riviera Utilities得知问题后立即查明账目并立案调查,并与外部网络安全专家密切合作。
Riviera Utilities在声明中表示,“这种访问不包括存储自动支付、银行汇票数据或其他个人信息的系统。此外,通过Riviera网站输入和提交的任何个人信息均不受此安全事件的影响。”
Riviera Utilities在声明中表示,“我们没有证据表明任何个人信息因此次事件而被滥用。但是出于谨慎考虑,我们通知了一些个人,他们的信息可能已包含在受影响员工电子邮件账户中的文件中。”
Riviera Utilities已向被通知的个人提供了保护其信息的最佳做法,并且正在为受影响文件中存在社会安全号码的个人提供免费的信用监控服务。
参考来源:TheDailySwig http://985.so/xd01
(十二)三菱电机承认伪造安全和质量控制测试数据
三菱电机是世界领先的大型电气和HVAC系统制造商之一,承认数十年来一直在欺诈性地对其变压器进行质量保证测试,承认伪造了安全测试数据。
成千上万台这种未经正确测试的变压器被运往日本国内和海外。这不是三菱第一次被发现作弊。
总部位于日本东京的电子巨头三菱电机(Mitsubishi Electric)披露了其质量保证(QA)测试程序中的缺陷,包括伪造变压器测试报告中的数字。
三菱电机在全球拥有340亿美元的收入和138,000名员工,是汽车设备、空调系统、重型变压器和半导体生产领域的领导者。
在今年4月发布的一系列声明中,该公司宣布了由2021年7月成立的外部委员会牵头的调查结果,旨在深入调查三菱电机的质量控制不当行为。
该委员会的调查结果发现,“对三菱电机位于兵库县赤穗市的输配电系统中心生产的额定22KV 2MVA或以上变压器进行了多次检查,未完全符合客户要求的测试标准,该标准要求符合日本电工委员会(JEC)、国际电工委员会(IEC)、或电气和电子工程师协会(IEEE)标准。”
委员会证实,在某些情况下,检查报告中出现了不当陈述。此外,一些单元设计偏离了内部设计指南中提出的或与客户商定的内容。
例如在“温升测试”中,22kV 2MVA变压器单元远远超过了监管机构规定的最高温度,但三菱电机的测试报告却谎称这些单元没有过热风险。类似地,测量设备承受高电压(例如在浪涌事件和尖峰期间)的能力的介电测试,是在低于各种行业标准要求的电压下进行的。
在1982年至2022年3月期间,共有8,363台额定22kV 2MVA或以上的三菱电机变压器已交付给客户。其中3,384台(略高于40%)未经过充分测试。在这些未正确测试的设备中,有1,589台在日本国内交付,1,795台在海外交付。
事实证明,三菱集团的公司并没有太大的变化,这些公司有不诚实的质量控制做法的历史。2021年10月,在发布有关质量控制丑闻的初步报告后,前董事长Masaki Sakuyama从三菱电机辞职。
在此之前7月,该公司时任总裁兼首席执行官Takeshi Sugiyama也因“三十年的系统性欺骗”而辞职,在此期间,这家电子制造商伪造了安装在火车上的空调和制动压缩机的检查报告。
2016年,三菱电机的姊妹公司三菱汽车因燃油经济性测试报告不准确而遭到抨击。2000年,三菱承认掩盖了30年的汽车缺陷,并表示将召回100万辆汽车。
虽然原定于今年4月结束,但目前对三菱电机所有22家生产变压器的设施的调查仍在进行中,尚未确定完成日期。委员会调查人员的更新报告预计将在本月发布。该公司制定了一套“强有力的政策”,以防止此类事故再次发生。
参考来源:BleepingComputer http://985.so/xk0n
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
