关键信息基础设施安全动态周报【2022年第25期】
发布时间:
2022-07-02
来源:
作者:
天地和兴
访问量:
771
目 录
第一章 国内关键信息基础设施安全动态
(一)中国上百个重要信息系统被美国植入木马程序
第二章 国外关键信息基础设施安全动态
(一)伊朗大型钢铁厂遭受网络攻击被迫停产
(二)美国德州液化天然气工厂疑似遭受俄罗斯网络攻击发生爆炸
(三)PLC供应链威胁:Codesys修复了11个ICS自动化软件漏洞
(四)MITRE发布2022年最危险的25个漏洞列表
(五)LockBit 3.0勒索软件启动漏洞赏金计划
(六)北约将建立快速响应网络部队,并增强对乌克兰网络防御援助
(七)Linux漏洞PwnKit在野外被积极利用
(八)RansomHouse组织声称窃取芯片巨头AMD 450GB数据
(九)挪威政府网站遭受俄罗斯黑客DDoS攻击
(十)沃尔玛否认遭受勒索软件攻击
(十一)Macmillan出版社遭受网络攻击导致系统关闭
第一章 国内关键信息基础设施安全动态
(一)中国上百个重要信息系统被美国植入木马程序
6月28日,国家计算机病毒应急处理中心和360公司分别发布专题研究报告,同日披露美国国家安全局(NSA)所属的又一款网络攻击武器“酸狐狸”漏洞攻击武器平台。酸狐狸平台是NSA下属计算机网络入侵行动队的主战装备,攻击范围覆盖全球,重点攻击目标指向中国和俄罗斯,美国的做法不能不让人怀疑其正在积极为发动更大规模的网络战做准备。
近期,中国多家科研机构先后发现了“验证器”木马程序的活动痕迹。
360公司28日发布的研究报告表明,根据可考究的美国NSA机密文档显示:“验证器”是一种小型植入木马,可以远程部署,也可以手动部署在任何Windows系统上,从Windows 98到Windows Server 2003都适配。同时,其具有7×24小时在线运行能力,使美国NSA的系统操控者和数据窃密者可以上传下载文件、远程运行程序、获取系统信息、伪造ID,并能够在特定情况下紧急自毁。在这一武器助力下,美国NSA能对攻击目标开展系统环境信息的收集,同时也为安装(植入)更为复杂的木马程序提供条件。
此前,360公司发现并公开披露了美国NSA利用一系列网络武器对包含中国在内的世界各国的政府机构、重要组织和信息基础设施目标发起持续性攻击行动。在整个攻击过程中,美国NSA会通过植入以“验证器”为代表的后门程序,并长期潜伏在目标用户的上网终端中,再通过这些后门程序发起更多复杂的网络攻击渗透。
而该木马程序据信是“酸狐狸”漏洞攻击武器平台默认使用的标配程序。这种情况表明,前文提到的中国科研单位曾经遭受过美国NSA“酸狐狸”漏洞攻击武器平台的网络攻击。
根据介绍,“酸狐狸平台”是NSA特定入侵行动办公室(TAO)对他国开展网络间谍行动的重要阵地基础设施,现已成为计算机网络入侵行动队(CNE)的主力装备。该武器平台主要被用于突破位于受害目标办公内网的主机系统,并向其植入各类木马、后门等以实现持久化控制。酸狐狸平台采用分布式架构,由多台服务器组成,按照任务类型进行分类,包括:垃圾钓鱼邮件、中间人攻击、后渗透维持等。
CNE下设一名或多名“酸狐狸”项目教官,这些教官可以领导一个或多个“酸狐狸”行动组,行动组中包括多名队员,分别承担直接支援特定的网络入侵行动、维护酸狐狸服务器等职责。TAO在全球范围内部署酸狐狸平台服务器,服务器按照目标所处区域进行分布式部署,包括中东地区、亚洲地区、欧洲地区等,其中编号前缀为XS的服务器是统筹多项任务的主服务器。
值得注意的是,编号为XS11的服务器被明确分配给英国情报机构“英国政府通信总部”(GCHQ)开展中间人网络攻击行动。此外,TAO针对中国和俄罗斯目标设置了专用的“酸狐狸平台”服务器,编号为FOX00-64的系列服务器被用于支援计算机网络入侵行动队的漏洞攻击行动,其中编号为FOX00-6401的服务器专门针对中国目标,FOX00-6402的服务器专门针对俄罗斯目标。
国家计算机病毒应急处理中心相关专家表示,“酸狐狸平台”在进行漏洞利用前,会对目标主机的软硬件环境进行探测。报告中披露的“酸狐狸平台”规则配置文件表明,该武器平台明确将在我国和俄罗斯的计算机杀毒软件作为“技术对抗”目标。而且美国在国际互联网上专门部署了针对中国和俄罗斯的网络间谍活动服务器,用于植入恶意程序并窃取情报。
美国为了维持其网络霸权,不惜“监控全人类”,这一点在美国各届政府都没有改变过。就在今年6月1日,美国国家安全局局长兼网络司令部司令中曾根证实,在俄乌冲突中,美国对俄罗斯发起了一系列进攻性网络行动以支援乌克兰。
这位专家也表示,美国在变本加厉对全球目标实施攻击窃密的同时,还不遗余力地“贼喊捉贼”,纠集其所谓盟友国家,大肆宣扬“中国网络威胁论”,诋毁污蔑我国网络安全政策和“一带一路”等真正互利共赢的国际经济文化交流合作计划,打压中国在境外合法经营的企业和新闻媒体,甚至煽动民间对立情绪,鼓动所谓民间“道德”黑客向他国目标发动网络攻击。
在成功提取国内某科研机构重要信息系统中的“验证器”木马程序样本的基础上,360公司第一时间在国内开展扫描检测。结果发现该木马程序的不同版本曾在中国上百个重要信息系统中运行,其植入时间远远早于“酸狐狸平台”及其组件被公开曝光时间,说明NSA对至少上百个中国国内的重要信息系统实施网络攻击。时至今日,多个“验证器”木马程序仍在一些信息系统中运行,向NSA总部传送情报。360公司认为,“在本地网络服务器或上网终端中发现‘验证器’样本,表明这些设备已经遭受NSA的网络攻击,系统中的重要信息已被NSA窃取,并且目标系统内网中的其它节点均可能被NSA渗透远控。”
此外,根据“酸狐狸平台”服务器上的过滤器规则片段,可以判断该服务器主要针对中国的主机目标进行攻击,过滤器中重点针对目标环境中的卡巴斯基杀毒软件、瑞星杀毒软件、江民杀毒软件等中国地区流行的杀毒软件进程进行了匹配并进行了可植入条件判断。
360公司认为,不仅在中国,其他国家的重要信息基础设施中,也正在运行大批的“验证器”木马程序,并且数量远超中国。
国家计算机病毒应急处理中心28日发布的报告显示,更为可怕的是,NSA利用这些武器平台与其他“五眼联盟”国家情报机构合作,建立了一个覆盖全球的网络情报搜集体系,在全球范围布设了大量隐蔽的情报搜集服务器和掩护跳板服务器,围绕该情报搜集体系建立了一整套情报工作机制,常态化维持着人类历史上规模最为庞大的间谍网络,而且仍在持续扩张,成为全人类的共同威胁。
上文中的专家也认为,尽管铁证如山,但美国今后还会继续开展网络间谍活动和网络战。今年6月22日,美国会众议院拨款委员会通过了美国2023财年7610亿美元的国防支出法案,其中包括美国防部112亿美元的网络空间活动预算,较上一财年增长8%,并将其网络战部队从137支增加到142支。美军还在全面推进JADC2“陆、海、空、天、网”全域指挥作战能力提升计划,其目标就是在全域空间中都具备压倒性军事优势。
美国近期还连续出台一系列法案,增加网络安全预算规模,加强自身关键信息基础设施安全防御水平,举办各类国内和国际网络战演习,政府、军队和民间联合开展网络安全人才培养,鼓励开展网络安全研究,限制敏感网络安全技术输出等。美国的做法不能不让人怀疑其正在积极为发动更大规模的网络战做准备。
本文版权归原作者所有,参考来源:环球时报 http://985.so/csmc
第二章 国外关键信息基础设施安全动态
(一)伊朗大型钢铁厂遭受网络攻击被迫停产
据报道,伊朗胡齐斯坦钢铁厂6月27日遭受了网络攻击,迫使该公司停止生产,以避免损害其生产线及供应链。同时还有另外两家钢铁厂Mobarakeh及Hormozgan也遭受了网络攻击,该事件是伊朗战略工业部门遭受的最大规模此类攻击之一,加剧了该地区的紧张局势。
胡齐斯坦钢铁公司(Khuzestan Steel Company)是伊朗国有的大型钢铁公司,总部位于石油资源丰富的伊朗西南部胡齐斯坦省阿瓦士,与另外两家大型国有企业一起垄断了伊朗的钢铁生产。
对此伊朗国家网络安全中心发布公告称,该国部分钢铁信息技术系统遭到境外攻击,导致生产中断,并迅速采取了行动遏制抵御网络攻击的影响。
一个自称Gonjeshke Darande的黑客组织在社交媒体Twitter上声称对此次攻击负责,声称攻击了伊朗三大钢铁公司,并分享了胡齐斯坦钢铁厂的闭路影像,显示钢坯生产线上的一台重型机械发生故障并引发大火。
该黑客组织表示,“这些公司受到国际制裁,尽管受到限制,但仍在继续运营。这些网络攻击是为了保护无辜的个人而谨慎进行的,是针对伊斯兰共和国的侵略而进行的。”该黑客组织引用了这些钢铁厂与伊朗准军事革命卫队的联系。
伊朗中部城镇莫巴拉克(Mobarakeh)的一家钢铁厂表示,其系统也遭到攻击,而伊朗国营报纸报道称,伊朗南部港口阿巴斯港(Bandar Abbas)的另一家工厂成为网络攻击的目标。这两家工厂均未承认因此造成任何损坏或停工。
与此同时胡齐斯坦钢铁公司表示,由于网络攻击后导致的技术问题,工厂不得不停工,恢复时间另行通知。目前该公司网站已恢复运营。
然而胡齐斯坦钢铁厂首席执行官Amin Ebrahimi表示,该厂成功地阻止了网络攻击,并防止了可能影响供应链和客户的生产影响。对于黑客组织的镜头中显示的爆炸只字未提。
Ebrahimi表示,“幸运的是,我们及时采取了防御措施,此次袭击没有成功,没有对胡齐斯坦钢铁公司的生产线造成损害。目前钢铁厂的生产线处于活跃状态,各个领域的员工都在工作场所,此外我们正在解决公司网站、信息渠道和短信系统的轻微中断问题。”据当地媒体Jamaran报道,攻击没有成功的原因是当时工厂碰巧因停电而无法运营。
参考来源:美联社 http://985.so/cq6p
(二)美国德州液化天然气工厂疑似遭受俄罗斯网络攻击发生爆炸
美国德克萨斯州液化天然气工厂Freeport LNG在6月8日发生了爆炸,对运营产生了持久影响,幕后黑手可能是俄罗斯威胁行为者。
爆炸发生在德克萨斯州金塔纳岛的Freeport LNG液化厂和出口码头。初步调查表明,该事件是由于一段液化天然气输送管线超压和破裂引起的,导致液化天然气快速闪蒸,并释放和点燃天然气蒸汽云。
目前尚不清楚为什么现有的安全机制不能防止爆炸。专家推测网络攻击可能已经关闭了天然气设施的工业安全控制。
TRITON等ICS恶意软件具有攻击功能,可以关闭工业安全控制,并对工业设施造成广泛破坏。TRITON被认为与俄罗斯APT组织XENOTIME有关。
美国军事新闻网站报道称,“3月24日,美国司法部对四名涉嫌在2012年至2018年期间代表俄罗斯政府在网络攻击中使用TRITON恶意软件的俄罗斯国民提出指控。同一天,美国联邦调查局发布了一项咨询警告,称TRITON恶意软件工具仍然存在,对世界各地的工业系统构成重大威胁。”
华盛顿时报国家安全作家Tom Rogan证实,Freeport LNG设施的爆炸可能与XENOTIME等APT组织进行的黑客活动一致。Rogan表示,该公司确实拥有OT/ICS网络检测系统。
然而Freeport LNG否认了将网络攻击视为事件根本原因的理论。Rogan表示,“除非Freeport LNG适当部署了OT/ICS网络检测系统,并完成了取证调查,否则不能排除网络攻击。”
美国军事新闻网站声称,“另外两位与Rogan交谈的消息人士称,在俄乌冲突期间,俄罗斯GRU军事情报部门的一个网络部门对Freeport LNG进行了目标侦察行动。”
参考来源:SecurityAffairs http://985.so/c555
(三)PLC供应链威胁:Codesys修复了11个ICS自动化软件漏洞
CODESYS修复了ICS自动化软件中存在的11个安全漏洞,攻击者可以利用这些漏洞触发拒绝服务(DoS)条件、泄露信息、执行任意代码、以及进行其他恶意活动。
CoDeSys是一个根据国际工业标准IEC 61131-3对控制器应用程序进行编程的开发环境。该软件套件的主要产品是CODESYS开发系统,是一种IEC 61131-3工具。
其中两个漏洞CVE-2022-31805和CVE-2022-31806是CVSS评分9.8分的严重漏洞,其余7个为高危漏洞,2个为中危漏洞。
NSFOCUS研究人员在深入研究CODESYS V2和使用此内核的ABB AC500 PLC时发现了这些漏洞。
NSFOCUS在公告中表示,“这些漏洞很容易被利用,可以被成功利用,造成敏感信息泄露、PLC进入严重故障状态、任意代码执行等后果。结合现场的工业场景,这些漏洞可能会使工业生产陷入停滞、设备损坏等问题。CodeSys已发布官方安全公告,修复了上述漏洞。然而,许多使用CODESYS V2 Runtime的供应商尚未及时更新,在这种情况下,使用这些受影响产品的工厂仍面临严重风险。”
研究人员表示,很多厂商都在使用CODESYS V2 Runtime,而且这些厂商中的大多数仍然使用过时的版本。这些漏洞影响了大量使用低于V2.4.7.57的CODESYS V2 Runtime版本的制造商。
以下产品可能受到这些漏洞影响,需要增强安全性,包括:ABB AC500控制器、WAGO 750/PFC200控制器、FESTO FEC&ECCC控制器、伊顿 XV&XV控制器、Bosh Rexroth IndraMotion/IndraLogic控制器、EXOR eTop400/500/600控制器、KINCO F122 CAN BUS控制器、KEBA CPxxx控制器、以及Bachmann M1控制器。
研究人员推荐的保护及缓解措施包括:
1、定位安全防护设备背后的受影响产品,对网络安全进行纵深防御。
2、在需要远程访问时,尝试使用安全的VPN网络,并执行适当的访问控制和审核。
3、注意供应商的安全更新,并在测试后升级受影响的产品,以保护它们免受威胁。
4、尽量减少受影响设备的私有通信端口暴露,并根据业务场景选择性关闭1200/1201/2455等受影响端口。
5、建议使用CODESYS V2 Runtime的厂商及时自我调查,并积极修复和发布补丁版本的固件。
在6月23日发布的另一份公告中,CODESYS表示,其还修复了CODESYS网关服务器中的其他三个漏洞CVE-2022-31802、CVE-2022-31803和CVE-2022-31804,这些漏洞可被用来向绕过身份验证并使服务器崩溃。
参考来源:SecurityAffairs http://985.so/csv6
(四)MITRE发布2022年最危险的25个漏洞列表
美国CISA和非营利组织MITRE发布了2022年最危险的25个漏洞列表。该列表包含最常见和最有影响力的漏洞类型,并基于对前两年近38,000条CVE记录的分析。越界写入和跨站点脚本(XSS)仍然是两个最危险的漏洞。
一些最重要的变化包括,竞争条件排名从第33到22,代码注入从28到25,以及不受控制的资源消耗从27到23,这些也是2022年列表中新出现的漏洞类型。命令注入和空指针取消引用也在列表中上移了几个位置。
与2021年列表相比,删除了三种类型的漏洞:敏感信息暴露给未经授权的参与者下降到第33位,凭据保护不足下降到第38位,以及关键资源权限分配不正确下降到第30位。
用于构建2022年CWE前25名的方法的一项重大变化与使用CISA已知利用漏洞(KEV)目录中的数据有关,该目录于2021年11月推出,现在包括大约800个已知漏洞在攻击中被利用。
今年的列表还包括一个KEV计数,代表目录中与每种类型的漏洞相关的2020年和2021年CVE的数量。
MITRE表示,CWE Top 25可以帮助广泛的专业人士降低风险,包括软件设计师、开发人员、测试人员、项目经理、用户、教育工作者、安全研究人员以及制定标准的人员。
参考来源:SecurityWeek http://985.so/cjag
(五)LockBit 3.0勒索软件启动漏洞赏金计划
LockBit 3.0勒索软件最近启动了一个漏洞赏金计划,为漏洞和各种其他类型的信息提供高达100万美元的资金。
LockBit自2019年以来一直存在,LockBit 2.0勒索软件即服务操作于2021年6月出现,一直是最活跃的勒索软件操作之一,占2022年所有勒索软件攻击的近一半,在LockBit 2.0泄密网站上有800多名受害者的名字。
网络犯罪分子正在对受损系统上的文件进行加密,并窃取潜在的有价值信息,如果受害者拒绝付款,就威胁要公开这些信息。随着LockBit 3.0的发布,该组织似乎正在通过“漏洞赏金计划”将部分利润再投资于自身安全性。
与合法公司奖励研究人员以帮助他们提高安全性的方式类似,LockBit运营商声称,他们准备向安全研究人员和道德或不道德的黑客支付1,000至100万美元赏金。
网站漏洞、勒索软件加密过程中的漏洞、Tox消息传递应用程序中的漏洞、以及暴露其Tor基础设施的漏洞都可以获得奖励。他们还准备奖励有关如何改进其网站和软件的“绝妙想法”,以及有关竞争对手的信息。解决这些类型的安全漏洞有助于保护网络犯罪活动免受研究人员和执法人员的攻击。
100万美元将提供给任何能够识别被称为LockBitSupp的LockBit经理真实身份的人,他被描述为附属项目老板,至少从2022年3月开始提供此赏金。据信主要勒索软件集团已经赚了数亿甚至数十亿美元,这意味着LockBit组织可以拥有此类漏洞赏金计划所需的资金。
Tenable高级研究工程师Satnam Narang评论表示,“随着Conti勒索软件组织的倒台,根据其近几个月的攻击量,LockBit将自己定位为当今运营的顶级勒索软件组织。LockBit 3.0的发布以及漏洞赏金计划的推出,是对网络犯罪分子的正式邀请,以帮助帮助该组织寻求保持领先地位。”
然而安全和运营分析SaaS公司Netenrich首席威胁猎手John Bambenek表示,他怀疑漏洞赏金计划是否会吸引很多人。“我知道,如果我发现了一个漏洞,我会用它把他们关进监狱。如果犯罪分子发现了一个漏洞,那就是从他们那里窃取,因为勒索软件运营商没有荣誉。”
漏洞赏金平台Bugcrowd创始人兼首席技术官Casey Ellis表示,“就像黑客并不总是坏的一样,赏金模式也不一定只对好事有用。由于Lockbit 3.0漏洞赏金计划本质上是邀请人们以重罪以换取奖励,他们最终可能会发现,鉴于他们所面临的风险,1,000美元的低奖励有点轻。”
LockBit 3.0推出的其他新功能包括允许受害者购买更多时间或“销毁所有信息”。网络犯罪分子还为任何人提供下载从受害者那里窃取的所有文件的选项。这些选项中的每一个都有一定的价格。
提供恶意软件样本和其他资源的服务Vx-underground也指出,现在也鼓励骚扰受害者。韩国网络安全公司AhnLab上周报告称,LockBit勒索软件已通过声称提供版权声明的恶意电子邮件传播。
参考来源:SecurityWeek http://985.so/cjku
(六)北约将建立快速响应网络部队,并增强对乌克兰网络防御援助
北约6月29日宣布了一项计划,承诺建立一支快速响应网络部队,并加强与民间社会和工业界的军事伙伴关系,以应对网络威胁。
在一次包括所有30个盟国领导人在内的会议之后,马德里峰会宣言表示,北约将采取更多措施,支持乌克兰的网络弹性和对俄罗斯的防御,同时还将关注中国这一长期且日益严重的网络威胁。
该宣言表示,“我们面临着网络、空间、混合和其他不对称威胁,以及对新兴和破坏性技术的恶意使用。我们面临着来自包括中国在内的国家的系统性竞争,这些国家挑战我们的利益、安全和价值观,并试图破坏基于规则的国际秩序。”
战略与国际研究中心战略技术项目负责人Jim Lewis表示,宣言中提到的与工业界进行更多军事合作至关重要。“第10段是关键,因为它宣布了更多的军民合作和快速反应部队,这些是乌克兰成功的网络防御的关键要素。”Lewis曾担任联合国四个信息安全政府专家组的报告员和高级顾问。
合作是该文件的一个常规主题。该宣言表示,“我们将通过加强军民合作,显著加强我们的网络防御。我们还将扩大与行业的合作伙伴关系。盟国已决定,在自愿的基础上,利用国家资产,建立和行使虚拟快速响应网络能力,以应对重大恶意网络活动。”
捍卫民主基金会网络技术创新中心高级主任、网络空间日光浴室委员会前执行董事Mark Montgomery表示,该声明与过去的迭代不同,过去的迭代倾向于依赖常规关注网络的附加声明,而这并不是该声明的实质性重点。
Montgomery表示,该宣言增加了对网络防御支持的承诺,以维持乌克兰关键基础设施的弹性,这一承诺意义重大。“因为俄罗斯对乌克兰的网络攻击持续存在,并且在没有西方支持的情况下,可能更有效地影响乌克兰。”
Montgomery还表示,他很高兴看到该联盟确认“作为一个统一的群体在灰色地带与中国抗衡的重要性,面对中国在网络、信息运营和其他新兴技术方面的竞争。”一些东欧国家在网络领域与中国进行了斗争。
该宣言在其所谓的“彻底改变的安全环境”中提出了其网络安全建议。联盟防御的“新基线”将依赖于宣言所称的360度方法,“跨越陆地、空中、海上、网络和太空领域,并应对所有威胁和挑战。”
奥巴马总统国务院前高级网络官员Chris Painter表示,该声明的基调对于加强对网络安全的关注具有重要意义。“网络现在是北约面临的威胁和应对措施的重要组成部分,它不再是一些外来物体。这是自多年前里斯本北约峰会以来一直在稳步建设的东西,随着时间的推移,这变得越来越突出,这是恰当的。”
参考来源:CyberScoop http://985.so/cj3v
(七)Linux漏洞PwnKit在野外被积极利用
美国CISA发现,一个名为PwnKit的高危Linux漏洞在野外被利用。该漏洞CVE-2021-4034存在于所有主要发行版使用的Polkit的pkexec组件中。PwnKit是一个内存损坏漏洞,可以被利用来提升权限,允许任何非特权本地用户将权限提升到root。
该漏洞于1月份曝光,影响了Polkit,该组件旨在控制类Unix操作系统中的系统范围权限。Polkit由Red Hat开发,但也被其他Linux发行版使用,包括Ubuntu、Debian、Fedora和CentOS。
该漏洞会影响几家大公司的产品,Juniper Networks、Moxa、IBM、VMware、Siemens和其他公司已发布公告,涉及CVE-2021-4034的影响。
概念验证(PoC)漏洞利用已经可用,并且漏洞利用很容易,因此专家一直警告称,恶意漏洞利用的可能性很高。
CISA将该漏洞添加到其已知被利用漏洞目录中,该目录也称为该机构的“必须修补”列表,并指示联邦机构在7月18日之前安装补丁。
虽然似乎没有任何公开报告描述涉及利用PwnKit的攻击,但CISA只会在有可靠的野外利用证据的情况下才会在必须修补列表中添加一个漏洞,因此该机构有可能私下获得了有关积极利用的信息。
安全专家指出,虽然利用CVE-2021-4034应该在日志文件中留下痕迹,但也可以在不留下痕迹的情况下利用该漏洞。
除了PwnKit漏洞之外,CISA还在其目录中添加了其他七个漏洞,包括最近在勒索软件攻击中利用的Mitel VOIP零日漏洞、在恶意攻击活动中利用的Chromium漏洞、以及被意大利间谍软件利用的多个iOS漏洞。
联邦机构已接到指示,在7月18日之前解决所有这些漏洞,但也建议私营公司使用CISA目录来确定补丁的优先级,并改进其漏洞管理流程。
参考来源:SecurityWeek http://985.so/c71g
(八)RansomHouse组织声称窃取芯片巨头AMD 450GB数据
半导体巨头AMD正在调查一起网络攻击事件,此前RansomHouse组织声称去年从该公司窃取了450GB数据。
RansomHouse是一个数据勒索组织,破坏公司网络,窃取数据,然后要求支付赎金,以避免公开泄露数据或将其出售给其他威胁行为者。
在过去的一周里,RansomHouse一直在Telegram上调侃称,他们将出售一家以字母A开头的著名三字母公司的数据。27日,勒索组织将AMD添加到数据泄露站点,声称窃取了450GB的数据。
RansomHouse表示,他们的合作伙伴大约在一年前入侵了AMD的网络。尽管该网站称数据在2022年1月5日被盗,但威胁行为者表示,该日期是黑客无法访问AMD网络的日期。
虽然RansomHouse之前曾与WhiteRabbit等勒索软件操作相关联,但他们声明他们不加密设备,并且勒索软件未在AMD上使用。威胁行为者表示,他们没有联系AMD索要赎金,因为将数据出售给其他实体或威胁行为者更有价值。
RansomHouse代表表示,“不,我们还没有联系AMD,因为我们的合作伙伴认为这是在浪费时间。出售数据会更值得,而不是等待AMD代表在涉及大量官僚机构的情况下做出反应。”
RansomHouse声称,被盗数据包括研究和财务信息,正在对其进行分析以确定其价值。除了一些包含据称从AMD的Windows域收集的信息的文件外,威胁行为者没有提供任何有关这些被盗数据的证据。
该数据包括泄露的CSV,其中包含似乎属于AMD内部网络的70,000多台设备的列表,以及具有弱密码的用户AMD公司凭据列表,例如password、P@ssw0rd、amd!23和Welcome1。
AMD表示,他们知道这些说法,并正在调查此事件。“AMD知道一名不良行为者声称拥有来自AMD的被盗数据。目前正在进行调查。”
RansomHouse于2021年12月开始运营,当时它泄露了第一个受害者萨斯喀彻温省酒类和博彩管理局(SLGA)。虽然勒索组织声称不会在攻击中使用勒索软件,但White Rabbit勒索软件说明清楚表明,它们与勒索软件组织有关。
自12月以来,RansomHouse在其数据泄露站点中增加了5名受害者,其中包括AMD。其中一个受害者是非洲最大的连锁超市Shoprite Holdings,该公司于6月10日确认了一次网络攻击。
参考来源:BleepingComputer http://985.so/c76i
(九)挪威政府网站遭受俄罗斯黑客DDoS攻击
挪威国家安全局(NSM)6月29日发表声明警告称,由于一些最重要的网站和在线服务遭受了DDoS攻击,因此无法访问。据信此次攻击是俄罗斯黑客组织发起的。
DDoS攻击是一种特殊类型的网络攻击,会导致互联网服务器被许多请求和垃圾流量所淹没,从而使合法访问者和用户无法访问托管站点和服务。
此类低成本的攻击如今已变得非常普遍,并构成了亲俄罗斯和亲乌克兰黑客活动之间正在进行的网络战的一部分。
最近,这种针对立陶宛政府和国家运输服务的攻击正在展开。早些时候,俄罗斯黑客攻击意大利和罗马尼亚,因为其为乌克兰提供全方位支持。在这种情况下,挪威当局报告了针对向民众提供基本服务的大公司的攻击。
NSM主管Sofie Nystrøm评论表示,“我们最近在其他国家看到了类似的袭击,但这些袭击都没有报告持久的后果。这些袭击仍然能够给民众带来不确定性,并给人留下一种我们是欧洲当前政治局势中的一员的印象。”
尽管NSM的公告没有提及黑客是谁,以及他们针对的服务是什么,但还是能够在Legion Cyber Spetsnaz RF的Telegram频道上找到一些目标网站。
与其他黑客组织一样,Legion招募志愿者来帮助攻击,并且是最近针对立陶宛的同一组织。此外,Legion被认为与Killnet有关联,Killnet是另一个在前几个月通过DDoS攻击袭击罗马尼亚、意大利和许多其他国家的组织。
根据俄罗斯黑客行动者的说法,挪威一些目标实体包括:挪威国家警察、国家公共服务门户、NAV办公网站(移民)、Altinn数字政府文档门户、和UDI门户(移民和旅行)。
最新一波针对挪威的破坏性网络攻击的原因有两个。首先,挪威阻止了20吨货物从俄罗斯大陆运往斯瓦尔巴群岛,这些货物的目的地是居住在该群岛的俄罗斯矿工。
其次,挪威向乌克兰捐赠了远程火箭炮系统和5000发炮弹,以帮助该国挫败俄罗斯正在进行的入侵。
考虑到DDoS攻击的简单性和低成本特性,与它们可以带来的破坏程度相比,专家认为,它们将继续为全球政治不稳定保驾护航。
参考来源:BleepingComputer http://985.so/ctrt
(十)沃尔玛否认遭受勒索软件攻击
黑客组织Yanluowang声称加密了美国零售商沃尔玛的数万台计算机,对此沃尔玛否认遭受了勒索软件攻击。
沃尔玛在一份声明中表示,其信息安全团队正在24/7全天候监控其系统,并认为这些说法不准确。“我们认为这种说法是不准确的,并且我们不知道在这方面对我们的设备进行了成功的攻击。”
6月27日,相对较新的Yanluowang勒索软件操作在其数据泄露网站上发布了一个条目,声称其入侵了沃尔玛,并加密了40,000至50,000台设备。“我们加密了大约40,000至50,000台沃尔玛计算机,并提供了帮助,但他们决定走另一条路,我们在这里发布。”
该勒索软件组织进一步表示,他们在一个多月前进行了攻击,并且能够加密设备,但没有窃取任何数据。作为这次攻击的一部分,他们要求支付5500万美元的赎金,但从未收到沃尔玛的回应。
数据泄漏站点上的条目包括各种文件,这些文件声称包含在攻击期间从沃尔玛的Windows域中提取的信息。
虽然沃尔玛否认攻击成功,但这些文件包含声称来自沃尔玛内部网络的信息,包括安全证书、域用户列表、和kerberoasting攻击的输出。
攻击者在网络上站稳脚跟后,会使用Kerberoasting来提取Windows服务账户及其哈希NTLM密码。然后这些哈希密码被暴力破解,以提取纯文本密码,用于提升Windows域权限。
参考来源:BleepingComputer http://985.so/c7c4
(十一)Macmillan出版社遭受网络攻击导致系统关闭
Macmillan出版社在6月25日遭受了网络攻击,为了防止攻击蔓延对网络造成进一步损害,其已关闭了所有IT系统,以及关闭了虚拟和实体办公室,导致无法处理、接受、下达或运送订单。
Macmillan在邮件中声称,其遭受了安全事件,涉及对网络上的一些文件进行了加密,这表明其遭受的可能是勒索软件攻击。该电子邮件没有提供关闭影响的详细信息,只是表示“客户、员工和其他第三方合作伙伴可能会注意到某些系统不可用”,而Macmillan正在努力恢复其网络。
但Macmillan场销售团队发给客户的一封电子邮件声称,虽然出版商在退回其系统方面取得了进展,但仍然无法“处理、接收、下达或运送订单”。
Macmillan的编辑们在推特上声称,由于其无法访问系统、电子邮件和文件,因此无法联系代理和客户,并不是故意忽视他们。
目前Macmillan已经开始让系统恢复在线,员工可以访问电子邮件。目前尚不清楚攻击背后的勒索软件团伙以及数据是否被盗。
勒索软件附属公司通常会在加密设备之前窃取数据,以用于双重勒索攻击,然后威胁受害者,如果不支付赎金,就会发布被盗数据。如果在攻击期间数据被泄露,并且没有支付赎金,可能会在几周内看到勒索软件组织在其数据泄露站点上发布被盗文件。
参考来源:PublishersWeekly http://985.so/ctnz
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯