关键信息基础设施安全动态周报【2022年第18期】
发布时间:
2022-05-16
来源:
作者:
天地和兴
访问量:
183
目 录
第一章 国外关键信息基础设施安全动态
(一)NVIDIA开源Linux GPU内核驱动程序
(二)F5 BIG-IP漏洞被黑客积极利用
(三)英特尔傲腾SSD固件存在多个安全漏洞
(四)西门子及施耐德修复了40多个安全漏洞
(五)德国汽车行业遭受长达数月网络钓鱼攻击
(六)俄罗斯电视台及视频网站遭受黑客攻击
(七)DCRat远程访问木马售价仅需5美元
(八)林肯学院因遭受勒索软件攻击被迫永久关闭
(九)哥斯达黎加因遭受Conti勒索软件攻击进入紧急状态
(十)美国悬赏1500万美元获取Conti勒索软件组织信息
(十一)美国及其盟友警告针对托管服务提供商的攻击不断增加
(十二)俄勒冈州选举网络托管服务提供商遭受黑客攻击
第一章 国外关键信息基础设施安全动态
(一)NVIDIA开源Linux GPU内核驱动程序
NVIDIA已发布了R515驱动程序的Linux内核模块的源代码,使开发人员能够为Linux发行版提供更高的集成度、稳定性和安全性。源代码已经发布到NVIDIA的GitHub存储库中,采用双重许可模式,将GPL和MIT许可证结合在一起,使模块可以合法地重新分发。
这些驱动程序支持的产品包括2018年后发布的基于Turing和Ampere架构的所有机型,包括GeForce 30和GeForce 20系列、GTX 1650和1660,以及数据中心级A系列、Tesla和Quadro RTX。
英伟达(NVIDIA)声称,这是朝着改善其产品在Linux平台上的体验、简化Linux发行版中的集成过程、调试和促进贡献活动迈出的一步。
英伟达表示,“开发人员可以追踪代码路径,并查看内核事件调度如何与工作负载交互,从而加快根本原因调试。此外,企业软件开发人员现在可以将驱动程序无缝集成到为他们的项目配置的定制Linux内核中。”
NVIDIA过去曾因拒绝与开源社区采取更加开放和协作的方式而受到严厉批评,因此这一举措是在多年的压力下做出的。
Red Hat、SUSE和Ubuntu的制造商Canonical都发表了简短的声明来庆祝这一发展,并强调它将为其用户和客户带来的好处。
Canonical硅联盟副总裁Cindy Goldberg评论表示,“新的NVIDIA开源GPU内核模块将简化安装并提高Ubuntu用户的安全性,无论他们是AI/ML开发人员、游戏玩家还是云用户。作为最受开发人员欢迎的基于Linux的操作系统Ubuntu的制造商,我们现在可以通过在Ubuntu上与NVIDIA GPU更紧密地集成,为在AI和ML前沿工作的开发人员提供更好的支持。”
虽然这是NVIDIA采取的对开源最友好的举措,但许多人认为这不是它看起来的样子,因为大部分代码在开源之前就已经转移到了固件中。
此外,用户模式驱动程序将保持封闭源代码,并与预构建的二进制文件一起发布,因此在总体评估时,现代图形驱动程序的很大一部分仍然是封闭源代码。
该开发并未使NVIDIA驱动程序成为Linux内核的一部分,也无法进行上游集成,然而这并不意味着NVIDIA的举动对于Linux世界来说是微不足道的。已发布的源代码可以帮助NVIDIA显卡开源图形驱动程序Nouveau驱动程序的开发人员改进代码,并大幅提升其性能。
以前,这些开发人员不得不依靠逆向工程和大量猜测。现在,他们可以研究时钟和热管理等GPU功能,并对开源驱动程序进行有针对性的改进。
Red Hat图形总监Christian Schaller发表了一篇博文,解释声称NVIDIA的举动最初不会对驱动程序和Linux发行版产生重大影响。
不过从长远来看,二进制(闭源)驱动程序将开始利用内核中仅GPL的API,并且对Linux发行版上新芯片组的开箱即用支持将大大提高。至于Nouveau驱动,Schaller并不指望会立即受益,但从长远来看会带来很多积极的影响。
GNOME博客表示,“对于开源社区,这意味着我们现在将拥有一个内核驱动程序和固件,允许更改GPU的时钟,以提供人们期望从NVidia显卡获得的性能,这意味着我们将拥有一个开源驱动程序,从第一天起就可以访问新一代NVidia硬件的固件和内核更新。”
参考来源:BleepingComputer http://985.so/x0xa
(二)F5 BIG-IP漏洞被黑客积极利用
应用服务提供商F5最近修复了其BIG-IP模块中存在的严重漏洞CVE-2022-1388,该漏洞被威胁行为者广泛使用进行破坏性攻击,未经身份验证的攻击者可以利用该漏洞执行远程代码,试图擦除设备的文件系统并使服务器无法使用。
F5在5月4日通报了影响其产品的50多个漏洞和安全漏洞,其中最严重的是CVE-2022-1388,是严重远程代码执行漏洞,未经身份验证的攻击者可以轻松利用该漏洞,远程攻击者可以root身份在BIG-IP网络设备上执行命令而无需身份验证,可以执行任意系统命令、创建或删除文件或禁用服务。攻击可以从互联网上针对暴露其管理界面的设备发起攻击,也可以从目标组织的网络发起攻击。
F5在5月4日发布了补丁和缓解措施,然而在几天内就发现了攻击尝试。F5发布的补丁和缓解方法可以缓解与代表性状态转移(REST)身份验证组件相关的易受攻击的BIG-IP iControl模块。如果没有打补丁,黑客可以利用漏洞以root系统权限执行命令。
SANS技术研究所发现了利用CVE-2022-1388进行的攻击,涉及擦除文件命令rm-rf的攻击尝试。SANS在Twitter表示,“鉴于网络服务器以root身份运行,这个命令应该处理任何易受攻击的服务器,并摧毁任何易受攻击的BIG-IP设备。”
最新的破坏性攻击尝试涉及命令中的no-preserve-root选项,该选项用于删除包含所有数据和二进制文件的根文件系统。
监控这些攻击的研究人员Kevin Beaumont证实,“现实世界的设备正在被擦除,通过Shodan看到的许多暴露在互联网上的系统已经停止响应。我以为他们正在被远程关闭,但威胁者正在删除整个F5文件系统,这破坏了负载平衡和网站。”
研究人员Germán Fernández最早发现了该漏洞被大规模利用,截至5月10日,超过300台BIG-IP设备安装了恶意攻击者的web shell。他建议用户扫描系统,即使已经部署了可用的补丁,因为可能在安装修复程序之前就已经被破坏了。
Beaumont表示,显然是在伊朗境外活动的威胁行为者一直在“喷洒”网络外壳,并指出破坏性攻击可能导致黑客丢失这些shell。
思科Talos威胁情报和研究部门也发现了利用该漏洞的攻击尝试,并观察到对教育部门的扫描略有增加。但是它承认该活动似乎没有针对性。攻击者可能会试图混淆漏洞利用代码,以逃避检测。
Palo Alto Networks和GreyNoise也看到了扫描活动和利用尝试,但还没有看到破坏性攻击。
美国网络安全和基础设施安全局(CISA)5月10日周二将CVE-2022-1388添加到其已知被利用漏洞目录中。联邦机构必须在5月31日之前解决该漏洞,但鉴于风险升高,希望已经推出了补丁或缓解措施。
BIG-IP应用交付控制器被世界上一些最大的组织使用,包括政府、财富500强公司、银行、服务提供商和消费品牌如微软、甲骨文和Facebook,F5声称财富50强公司中有48家是客户。F5解决方案还部署在所有15个美国联邦行政部门,并被所有全球10大电信运营商和美国15大商业银行使用。
参考来源:SecurityWeek http://985.so/x0bw
(三)英特尔傲腾SSD固件存在多个安全漏洞
芯片制造商英特尔5月10日发布安全公告称,其微处理器固件存在内存漏洞,影响数百款产品。这些基于固件的漏洞存在于英特尔傲腾(Optane)固态硬盘和英特尔傲腾数据中心(DC)产品中,可能导致权限提升、拒绝服务或信息泄露。英特尔正在发布固件更新和说明性指南,以缓解这些潜在漏洞。
固态驱动器(SSD)用于数据存储。英特尔傲腾内存是一种系统加速解决方案,用于增加对最终用户请求的响应时间,傲腾内存安装在处理器和速度较慢的存储设备之间,包括SATA HDD、SSHD、和SSD。傲腾内存将常用数据和程序存储在靠近处理器的位置。英特尔傲腾数据中心SSD用于消除数据中心存储瓶颈,并为更大、更实惠的数据集提供存储,从而优化整体性能。
CVE-2021-33078是CVSS评分为7.9分的高危漏洞,某些英特尔傲腾SSD和英特尔SSD DC产品的固件线程内的竞争条件,可能允许特权用户通过本地访问启用拒绝服务。
CVE-2021-33077是CVSS评分为7.3分的高危漏洞,某些英特尔SSD、英特尔傲腾SSD和英特尔SSD DC产品的固件中控制流管理不足,可能允许未经身份验证的用户通过物理访问潜在地启用权限升级。
CVE-2021-33080是CVSS评分为7.3分的高危漏洞,由于某些英特尔SSD DC、英特尔傲腾SSD和英特尔傲腾SSD DC产品的固件中存在未清除的调试信息,导致敏感系统信息泄露,可能允许未经身份验证的用户可能通过物理访问实现信息泄露或特权升级。
CVE-2021-33074是CVSS评分为6.8分的中危漏洞,某些英特尔SSD、英特尔SSD DC和英特尔傲腾SSD产品的固件中的保护机制故障可能允许未经身份验证的用户通过物理访问潜在地启用信息泄露。
CVE-2021-33069是CVSS评分为6.0分的中危漏洞,某些英特尔SSD、英特尔SSD DC、英特尔傲腾SSD和英特尔傲腾SSD DC的资源关闭或固件释放不当,可能允许特权用户可能通过本地访问启用拒绝服务。
CVE-2021-33075是CVSS评分为6.0分的中危漏洞,某些英特尔傲腾SSD、英特尔傲腾SSD DC和英特尔SSD DC产品的固件中的竞争条件,可能允许特权用户通过本地访问潜在地启用拒绝服务。
CVE-2021-33083是CVSS评分为6.0分的中危漏洞,某些英特尔SSD、英特尔傲腾SSD、英特尔傲腾SSD DC和英特尔SSD DC产品的固件身份验证不正确,可能允许特权用户潜在地启用通过本地访问公开信息。
CVE-2021-33082是CVSS评分为5.3分的中危漏洞,资源中的敏感信息在重新用于某些英特尔SSD和英特尔傲腾SSD产品的固件之前未删除,可能允许未经身份验证的用户通过物理访问潜在地启用信息泄露。
受影响的产品包括所有版本的英特尔傲腾SSD DC D4800X,和P4800X/P4801X系列,包括之前的版本E2010600。L3010200之前的英特尔傲腾SSD P5800X系列以及905P/900P系列所有版本都会受到影响。受影响的产品还包括适用于所有版本的英特尔傲腾内存H10和带有固态存储系列的H20。
参考来源:Intel http://985.so/xtbe
(四)西门子及施耐德修复了40多个安全漏洞
工业巨头西门子和施耐德电气在5月10日补丁星期二共计发布了15份安全公告,涉及43个安全漏洞,其中一些为严重漏洞。这两家公司均已发布补丁或缓解措施来解决这些漏洞。
西门子共计发布了12条安全公告,涉及35个漏洞,其中最严重的11个漏洞影响SICAM P850和P855设备的Web服务器。其中最严重的漏洞允许未经身份验证的攻击者执行任意代码或发起DoS攻击。其他五个高危漏洞可能导致DoS攻击、代码执行、流量捕获和干扰设备功能、跨站点脚本(XSS)攻击、或访问设备的管理界面。
Desigo PXC3、PXC4、PXC5和DXR2设备中也存在严重及高危漏洞,这些漏洞可被用于任意代码执行、密码喷洒、或撞库攻击。Simcenter Femap、JT2Go和Teamcenter Visualization以及使用cURL库的各种西门子工业产品中都发现了高危代码执行漏洞。
在Desigo DXR和PXC控制器、CP 44x-1 RNA通信处理器模块、Teamcenter以及使用OPC本地发现服务器的各种工业产品中发现了可用于DoS攻击的高危漏洞。经过身份验证的攻击者可以利用另一个高危漏洞逃离SIMATIC WinCC中的Kiosk模式。
西门子已开始发布针对这些漏洞的补丁程序,但目前并非所有受影响的产品都提供修复程序。
施耐德电气发布了3条安全公告,涉及8个漏洞。其中6个漏洞影响了一些Wiser Smart家居自动化产品,包括一个严重的硬编码凭据漏洞,以及可用于暴力攻击、管理员账户劫持、跨域攻击、和获取身份验证凭据的高危漏洞。
施耐德还向客户通报了Saitel DP远程终端单元(RTU)产品中的中危DoS漏洞,以及用于计量设备的PowerLogic ION安装工程工具中的高危远程代码执行漏洞。
施耐德已发布适用于Saitel DP RTU和PowerLogic ION产品的补丁程序。对于Wiser Smart,受影响的产品已经达到使用寿命,不再收到补丁,但施耐德提供了一些缓解措施。
参考来源:SecurityWeek http://985.so/x7yg
(五)德国汽车行业遭受长达数月网络钓鱼攻击
CheckPoint研究人员发现,德国汽车行业遭受了长达数月的网络钓鱼攻击,旨在部署各种类型的信息窃取恶意软件。威胁行为者注册了多个相似的域名,所有这些域名都模仿现有的德国汽车企业,用来发送网络钓鱼电子邮件和托管恶意软件基础设施。受影响的德国汽车企业包括汽车制造商和汽车经销商。
该活动始于2021年7月左右,目前仍在进行中。攻击者发送用德语精心编写的带有收据和合同的电子邮件,发送给特定的收件人,其中包含绕过许多互联网安全控制的ISO磁盘映像文件。主要的恶意软件托管网站是一个伊朗托管的非政府网站。
研究人员分析的网络钓鱼电子邮件假装包含发送给目标经销商的汽车转账收据。该档案又包含一个.HTA文件,该文件包含通过HTML走私执行的JavaScript或VBScript代码。
这是所有技能级别的黑客都使用的一种常用技术,从依赖自动化工具包的脚本小子到部署自定义后门的国家支持的攻击者。当受害者看到由HTA文件打开的诱饵文档时,恶意代码会在后台执行,以获取恶意软件有效负载并启动它们。
CheckPoint在分析报告中表示,“我们发现了这些脚本的多个版本,一些触发PowerShell代码,一些经过模糊处理,以及其他纯文本版本。所有这些脚本都下载并执行各种MaaS(恶意软件即服务)信息窃取程序。”
此活动中使用的MaaS信息窃取程序各不相同,包括Raccoon Stealer、AZORult和BitRAT,这三个都可以在网络犯罪市场和暗网论坛上购买。
在HTA文件的更高版本中,会运行PowerShell代码以更改注册表值并启用Microsoft Office套件上的内容。这使得威胁行为者无需诱骗接收者启用宏并提高其有效负载释放率。
Check Point可以将这些攻击追踪到14个目标实体,这些都是与汽车制造行业有一定联系的德国组织,然而并没有提及具体的公司名称。
信息窃取有效载荷托管在由伊朗人注册的站点bornagroup[.]ir上,而同一电子邮件用于网络钓鱼子域,例如groupschumecher[.]com。
威胁分析人员能够找到针对桑坦德银行客户的不同网络钓鱼操作的链接,支持该活动的网站托管在伊朗ISP上。伊朗威胁行为者很有可能策划了这场运动,但CheckPoint没有足够的证据证明其归属。
该活动的目标很可能是针对这些公司或其客户、供应商和承包商的工业间谍活动或BEC(商业电子邮件泄露)。发送给目标的电子邮件留有足够的通信余地,因此与受害者建立融洽的关系并获得信任是一种可能的情况,从而为BEC假设提供可信度。
参考来源:BleepingComputer http://985.so/x7w8
(六)俄罗斯电视台及视频网站遭受黑客攻击
在俄罗斯红场阅兵期间,俄罗斯电视台及视频网站RuTube遭受了黑客攻击,攻击者破坏了俄罗斯在线电视节目表页面,以显示反动信息,并关闭了RuTube网站。
受到影响的俄罗斯的主要网络,包括Channel One、Rossiya-1、MTS、Rostelecom和NTV-Plus。通过智能电视访问电视节目表的俄罗斯公民会看到反对俄罗斯的宣传,声称“你们的手上沾满了乌克兰暴力行为的鲜血。”
Google及Yandex等索引电视节目表的搜索引擎捕捉到了这些反动信息,并在网上进一步被动传播。
同时,俄罗斯视频内容提供商RuTube也宣布他们的网站在遭受网络攻击后下线。RuTube是一个类似于YouTube的视频流媒体网站,每月约有300万访问者,主要面向讲俄语的访问者。
访问者在访问站点时会看到一条消息,显示“站点正在进行技术工作”,因为该站点受到攻击。但是该服务表示,所有用户内容和数据都不会受到攻击者的影响。
尝试通过移动或智能电视应用程序访问RuTube时,情况也是如此,因此这似乎是对其所有服务器的网络攻击,而不仅仅是特定平台。
目前,跟踪RuTube攻击进展的唯一官方方式是通过平台的Telegram频道,其中包含一些额外的信息。Telegram早期的帖子解释声称,致力于恢复RuTube系统的专家确认,威胁行为者无法访问该服务的视频档案,并且它们保持完好无损。
该攻击被描述为“强大”,但其类型尚未确定,RuTube没有提供恢复过程何时完成的估计。RuTube表示,“随着俄罗斯部门的网站在过去两个月中不断受到网络攻击,黑客已经到达了RUTUBE。视频托管遭受了强大的网络攻击。目前无法访问该平台。”
尽管自2022年2月冲突开始以来,针对俄罗斯的网络攻击一直保持稳定,但对于该国的民族自豪感具有高度象征意义,因此反对入侵的黑客活动家加大了力度。目前没有已知的黑客组织对此次网络攻击负责,因此可能是外国行为者、内部持不同政见者、或两者兼而有之。
参考来源:BleepingComputer http://985.so/x5wh
(七)DCRat远程访问木马售价仅需5美元
BlackBerry研究人员发现了一种名为DCRat的远程访问木马,在俄罗斯网络犯罪论坛上出售,售价仅为5美元/月。
DCRat又名DarkCrystal RAT,是远程访问木马,在2018年首次发布,在俄罗斯网络犯罪论坛上出售,是由名为boldenis44、crystalcoder或Coder的威胁行为者开发和维护的。
DCRat后门售价非常便宜,两个月的售价为500卢布,约合5美元,一年的售价为2200卢布,约合21美元,终身订阅价格为4200卢布,约合40美元。
BlackBerry研究报告表示,“该木马主要在俄罗斯地下论坛上销售,DCRat是我们遇到过的最便宜的商业RAT之一。起售价为500卢布两个月,在特别促销期间偶尔会更低。难怪它如此受专业威胁行为者和脚本小子的欢迎。”
DCRat是一个有效的恶意软件,开发者一直在有效地维护它。BlackBerry表示,这种恶意软件的价格只是俄罗斯地下论坛上RAT的标准价格的一小部分。DCRat于2018年首次出现在威胁领域,但一年后它被重新设计并重新启动。
DCRat是用.NET编写的,具有模块化结构,分支机构可以使用名为DCRat Studio的专用集成开发环境(IDE)开发自己的插件。该恶意软件的模块化架构允许为多种恶意目的扩展其功能,包括监视、侦察、信息盗窃、DDoS攻击和任意代码执行。
DCRat由三个组件组成:窃取程序/客户端可执行文件、用作命令和控制(C2)端点/接口的PHP页面、以及管理员工具。
BlackBerry研究报告表示,“所有DCRat营销和销售业务都是通过流行的俄罗斯黑客论坛lolz[.]guru完成的,该论坛还处理一些DCRat售前查询。DCRat支持主题在这里向更广泛的公众开放,而主要的DCRat提供线程仅限于注册用户。”
该恶意软件正在积极开发中,作者通过一个拥有大约3000订阅者的专用Telegram频道宣布任何新闻和更新。最近几个月,研究人员经常观察到DCRat客户端通过Prometheus TDS(交通指挥系统)使用Cobalt Strike信标进行部署。
DCRat还实现了一个终止开关,这将使DCRat管理员工具的所有实例都无法使用,而与订户许可证的有效性无关。管理员工具允许订阅者登录到活动的C2服务器,配置和生成DCRat客户端可执行文件的构建,在受感染的系统上执行命令。RAT每天都在维护,这意味着开发者正在全职从事这个项目。
BlackBerry研究报告表示,“在这种威胁中肯定有一些编程选择,表明这是一个新手恶意软件开发者,还没有找到合适的定价结构。选择在JPHP中编写威胁程序,并添加一个奇怪的非功能性感染计数器肯定指向这个方向。可能这种威胁来自试图获得恶名的开发者,尽最大努力使其木马尽快流行起来。虽然作者明显缺乏经验,可能会使这种恶意工具看起来不那么吸引人,但有些人可能会将其视为一个机会。更有经验的威胁行为者可能会将这种缺乏经验视为一个卖点,因为作者似乎投入了大量时间和精力来取悦他们的客户。”
参考来源:SecurityAffairs http://985.so/xt8q
(八)林肯学院因遭受勒索软件攻击被迫永久关闭
林肯学院是美国伊利诺伊州林肯市的一所私立文理学院,由于最近的网络攻击引发的一系列问题,该学院宣布即将永久关闭,该学院已为来自世界各地的学生提供服务超过157年。这是勒索软件攻击首次导致学校关闭。
林肯学院由于新冠疫情及勒索软件攻击对其财务造成了严重打击,导致其决定将在2022年5月13日关闭。勒索软件攻击是最后一根稻草。该学院在多次灾难中幸存下来,包括1912年的一场大火、西班牙流感、大萧条、世界大战和2008年的全球金融危机。
该学院网站上发布的公告显示,“林肯学院是2021年12月网络攻击的受害者,该攻击导致招生活动中断,并阻碍了对所有学院数据的访问,从而导致2022年秋季招生入学率预测不清楚。”
该学院在2019年秋季经历了创纪录的学生入学率,宿舍楼达到了最大容量。
此外该机构表示,新冠疫情大流行从根本上影响了招聘和筹款工作、体育赛事、以及所有校园生活活动。由于入学人数下降,该学院无法在一个学期后维持生计。
林肯学院表示,“由于疫情引发的金融危机涉及对技术和校园安全措施的大量投资,以及入学人数大幅下降,学生选择推迟上学或请假,这影响了该机构的财务状况”。
林肯学院院长David Gerlach表示,“历史、职业以及学生和校友社区的损失是巨大的”。
网络攻击在大学陷入困境的这段时间里减缓了招生和筹款活动。招聘、保留和筹款工作所需的所有系统都无法运行。幸运的是,没有暴露任何个人身份信息。在2022年3月完全恢复后,预测显示入学人数严重不足,需要转型捐赠或合作来维持林肯学院在本学期之后的发展。
该机构通过筹款活动、出售资产、巩固员工职位、以及探索在正常情况下租赁建筑物的替代方案,来努力加强其财务状况。最近推出了一个GoFundMe,希望能筹集到2000万美元。然而该页面仅获得了19次捐款,总计1,252美元。
林肯学院院长David Gerlach表示,“无法将招生申请录入系统,因此无法招收学生,此次攻击使招生活动停止了一个半月。”
因此面对疫情,所有这些努力并没有为林肯学院创造长远的可能性。
学校和学院是攻击的天然目标,因为它们存储大量个人、学术和财务信息,而且机构的IT预算低且安全实践不佳,这很容易成为受害者。
林肯学院承诺伊利诺伊州教育委员会将接管学生的成绩单和记录,以满足未来的需要。该学院确保在本学期剩余时间内为学生提供学术支持和过渡服务。
参考来源:GBHackers http://985.so/xsim
(九)哥斯达黎加因遭受Conti勒索软件攻击进入紧急状态
哥斯达黎加新上任的总统Rodrigo Chaves在5月8日宣布,国家网络安全进入紧急状态,多个政府机构遭到Conti勒索软件组织网络攻击,导致政府和经济陷入瘫痪。由于哥斯达黎加政府拒绝支付高达1000万美元的赎金,Conti泄露了672 GB数据,并声称将进行更多针对政府的攻击。
这次攻击归因于Conti勒索软件组织,事件发生在三周前,在Chaves刚上任后不久。该紧急状态是Chaves作为总统的首批法令之一。第一个受到攻击的政府机构是财政部,自4月18日以来一直没有数字服务。
其他受影响的哥斯达黎加机构包括:劳动和社会保障部;科学、创新、技术和电信部;国家气象研究所等。目前尚不清楚损坏的整个范围。
据报道,Conti向哥斯达黎加政府索要1000万美元的赎金,以换取不向财政部公布被盗信息。据报道,哥斯达黎加迄今为止拒绝付款,这导致Conti更新了其数据泄露网站,该组织声称672 GB数据中有97%包含从哥斯达黎加政府机构窃取的信息。
5月7日,Conti还泄露了秘鲁情报机构9.41GB的数据。DIGIMIN是秘鲁的情报机构,负责国家、军事和警察情报以及反情报工作,对情报机构的攻击可能导致机密和机密文件的泄露,并对国家安全构成风险。
Conti是一个顶级的俄罗斯勒索软件组织,被称为游戏中最无情的团伙之一,采用不拘一格的方法,专门从事双重勒索。攻击者威胁声称,如果受害者不在截止日期前付款,就会暴露被盗的数据,或将其用于未来的攻击。
Conti采用勒索软件即服务(RaaS)模式,拥有庞大的附属机构和访问代理网络,可用于完成其相关工作。该组织还以攻击可能危及生命的组织而闻名,例如医院、紧急号码调度运营商、紧急医疗服务和执法机构。
对哥斯达黎加的袭击可能是Conti活动即将到来的迹象,因为该组织在其新闻网站上向哥斯达黎加政府发布了一条消息,称这次袭击只是demo版本。该组织还表示,这次袭击完全是出于经济利益,以及表达了普遍的政治厌恶,这是更多政府主导的袭击的另一个信号。
安全专家观察到,该事件表明,网络攻击可能与军事行动或自然灾害一样严重,尤其是当它影响到像哥斯达黎加这样的发展中国家时。
安全公司Stairwell首席逆向工程师Silas Cutler在电子邮件中表示,“哥斯达黎加在Conti袭击后进入紧急状态,是对世界其他地区的重要号召。虽然紧急状态的直接影响可能有限,但它将这种违规的严重程度与自然灾害或军事事件归为一类。”
另一位安全专业人士指出,不仅仅是Conti组织,而且还有许多其他勒索软件组织也使用双重勒索方法,也可以助长更多的勒索软件攻击,因为大多数目标组织愿意支付,而不是冒险泄露敏感数据的风险,这为威胁行为者提供了更多动力。
安全公司KnowBe4的数据驱动防御宣传者Roger Grimes在电子邮件中表示,“这是大多数受害者今天付费的一个重要原因。Conti可能拥有每个员工的个人登录凭据,在勒索软件在系统上处于活动状态之前访问过的任何哥斯达黎加政府网站,然后才锁定文件,如果Conti确实泄露了信息,这对于使用在线政府服务的公民来说是一个大问题。”
Grimes表示,“如果哥斯达黎加在受感染的域中托管面向客户的网站,就像他们可能的那样,他们客户的凭据,通常在客户访问的其他网站和服务上重复使用,也可能会被泄露。不支付赎金不仅会危及哥斯达黎加自己的服务,还会使其员工和客户的服务面临风险。”
事实上,去年塔尔萨市政府在遭受勒索软件攻击后,Conti在暗网上泄露了大约18,000份城市文件,其中大部分是警方的传唤,因此塔尔萨市的市民对潜在的网络欺诈行为保持警惕。
对此美国国务院悬赏高达1500万美元获取Conti勒索软件组织信息。安全专家指出,在当局追捕Conti的同时,政府可以采取一些措施来防止勒索软件攻击。
安全公司Cerberus Sentinel解决方案架构副总裁Chris Clements在邮件中表示,“这是一种在网络安全方面采取的文化变革。各国政府应将关注点从将网络安全作为IT成本中心的历史心态,转变为将其视为一种文化根深蒂固的方法,将网络安全投资(包括工具和人员)视为关键的战略防御屏障。在这种情况发生变化之前,网络攻击的问题会在变得更好之前变得更糟。”
Clements建议,政府还可以采取积极措施,例如进行边界审查,以缓解Conti附属访问代理用来渗透系统的一些方法。这可以更好地保护边界,并对攻击做出更快的反应。然而,考虑到像Conti这样的RaaS组织,可以利用其分支机构和访问代理网络来破坏系统,即使这样也不会完全阻止此类攻击。
参考来源:ThreatPost http://985.so/xsfi
(十)美国悬赏1500万美元获取Conti勒索软件组织信息
美国国务院5月6日称,将悬赏高达1000万美元,用于奖励能够提供信息识别和/或定位在Conti勒索软件变体跨国有组织犯罪集团中担任关键领导职务的任何个人。此外国务院还悬赏高达500万美元,用于奖励提供在任何国家合谋参与或试图参与Conti变种勒索软件事件的任何个人被捕和/或定罪的信息。
在过去的两年中,Conti勒索软件组织已对数百起勒索软件事件负责。FBI估计,截至2022年1月,已有超过1,000名与Conti勒索软件相关的攻击受害者,受害者支付的金额超过1.5亿美元,这使得Conti勒索软件变体成为有史以来成本最高的勒索软件。2022年4月,该组织对哥斯达黎加政府实施了勒索软件攻击,破坏了该国的海关和税收平台,严重影响了该国的对外贸易。通过提供这一奖励,美国表明了其保护全球潜在勒索软件受害者免受网络犯罪分子利用的承诺。美国国务院希望与愿意为受勒索软件影响的受害者伸张正义的国家合作。
该奖励由国务院的跨国有组织犯罪奖励计划(TOCRP)提供。该部门与联邦执法合作伙伴密切协调,管理TOCRP,这是政府在全球范围内打击和消除跨国有组织犯罪(包括网络犯罪)的整体努力的一部分。自1986年以来,根据TOCRP和麻醉品奖励计划(NRP),已将超过75名跨国犯罪分子和主要毒品贩运者绳之以法。迄今为止,该部门已根据这些计划支付了超过1.35亿美元的奖励。
参考来源:DoS http://985.so/xs4i
(十一)美国及其盟友警告针对托管服务提供商的攻击不断增加
英国(NCSC-UK)、澳大利亚(ACSC)、加拿大(CCCS)、新西兰(NCSC-NZ)和美国(CISA)、(NSA)、(FBI)的网络安全机构最近都报告称,针对托管服务提供商(MSP)的恶意网络活动有所增加,并预计这一趋势将持续。
对此这些网络安全机构联合发布了该网络安全咨询(CSA),提供了MSP及其客户可以采取的行动,以降低成为网络入侵受害者的风险。该咨询描述了信息和通信技术(ICT)服务和功能的网络安全最佳实践,重点关注能够在MSP与其客户之间就保护敏感数据进行透明讨论的指导。组织应根据其特定的安全需求,并遵守适用的法规,根据其独特的环境实施这些指南。MSP客户应核实与其供应商的合同安排包括符合其特定安全要求的网络安全措施。
该公告中提供的指导是专门为MSP及其客户量身定制的,是英国国家网络安全中心(NCSC-UK)、澳大利亚网络安全中心(ACSC)、加拿大网络安全(CCCS)、新西兰国家网络安全中心(NCSC-NZ)、美国网络安全和基础设施安全局(CISA)、国家安全局(NSA)、联邦调查局(FBI)、联合网络防御合作组织(JCDC)联合发布的。
该公告将MSP定义为通过合同安排(例如服务水平协议)为其客户提供、运营或管理ICT服务和功能的实体。除了提供自己的服务外,MSP还可以与其他提供商的服务一起提供服务。产品可能包括平台、软件和IT基础设施服务;业务流程和支持功能;和网络安全服务。MSP通常在其客户的网络环境中管理这些服务和功能,无论是在客户的场所还是托管在MSP的数据中心。
MSP提供的服务通常需要受信任的网络连接,也需要访问客户系统的特权。从大型关键基础设施组织到中小型企业,许多组织都使用MSP来管理ICT系统、存储数据或支持敏感流程。许多组织利用MSP来扩展和支持网络环境和流程,而无需扩大其内部员工或必须在内部开发功能。
无论客户的网络环境是在本地还是在外部托管,威胁行为者都可以使用易受攻击的MSP作为对多个受害网络的初始访问向量,从而产生全球级联效应。英国、澳大利亚、加拿大、新西兰和美国网络安全当局预计,恶意网络行为者,包括国家支持的APT组织,将加强针对MSP的攻击,以利用提供商与客户网络信任关系。例如,成功入侵MSP的威胁行为者可能会针对MSP以及整个MSP的客户群发起后续活动,例如勒索软件和网络间谍活动。
英国、澳大利亚、加拿大、新西兰和美国网络安全当局此前已发布针对MSP及其客户的一般指南。该公告提供了具体指导,以实现MSP与其客户之间以保护敏感信息和数据为中心的透明、知情的讨论。这些讨论应导致对安全流程和合同承诺的重新评估,以适应客户的风险承受能力。对安全的共同承诺将降低MSP及其客户以及全球ICT社区的风险。
该警告建议的缓解措施包括:防止最初的入侵、启用/改进监控和记录过程、实施多因素身份验证、管理内部架构风险并隔离内部网络、应用最小权限原则、弃用过时的账户和基础架构、应用更新、备份系统和数据、制定和实施事件响应和恢复计划、了解并主动管理供应链风险、促进透明度、以及管理账户身份验证和授权。
参考来源:CISA http://985.so/xtwg
(十二)俄勒冈州选举网络托管服务提供商遭受黑客攻击
美国俄勒冈州选举网络托管服务提供商遭受了勒索软件攻击,泄露了竞选财务记录,对此州办公室正在采取行动,保护其在线系统的完整性。
俄勒冈州务卿Shemia Fagan办公室表示,将记录输入ORESTAR州竞选财务报告系统的人可能受到了影响,并已收到有关如何进行的详细说明。
Fagan办公室在声明中向选民保证,“俄勒冈州国务卿没有被黑客入侵。我们系统上的敏感数据没有被泄露。没有任何与选举管理相关的系统受到损害。”
十分之一的登记选民已经为5月17日的初选投票。俄勒冈人通过邮寄或使用官方投递箱投票。俄勒冈州选举部门表示,竞选金融公司C&E Systems使用的网络托管服务提供商Opus Interactive是勒索软件攻击的受害者。
Fagan声明表示,C&E的数据库遭到破坏,其中包括客户的ORESTAR账户登录凭据,并要求所有1,100名受影响的用户重置密码。
但C&E Systems所有者Jef Green给出的受影响用户数量较少,声称只有大约300名客户是参与俄勒冈州2022年中期选举的政治委员会。
Green表示,至少有500个委员会已经不存在了,他的公司在竞选合规和报告的各个方面提供帮助,并表示勒索软件攻击比任何事情都更令人烦恼。
Green表示,“就竞选支出和捐款报告而言,这不会影响我们的任何客户。任何候选人都不会受到此影响,因为即使我们无法访问我们的高级数据库,使其变得简单,但我们仍然可以手动完成需要做的事情。”
虽然州和地方选举的候选人使用ORESTAR,但国会等国家办公室的候选人使用不同的系统。Opus Interactive的网站于周二早上关闭。
Opus Interactive在关于该问题的在线“状态页面”称,“Opus Interactive和某些Opus托管的客户虚拟服务器和备份受到勒索软件攻击,该攻击加密了服务器磁盘文件。”
Fagan办公室表示,它全年与美国网络安全和基础设施安全局、选举基础设施信息共享和分析中心以及FBI合作,以确保其系统的完整性。根据国务卿的非官方选票统计,截至周二上午,已从超过290万登记选民中,退回了288,337张已完成的选票。
参考来源:美联社 http://985.so/xtnr
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
