安全研究
全部分类

关键信息基础设施安全动态周报【2020年第3期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-01-17 17:42
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第3期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第3期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第3期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-01-17 17:42
  • 访问量:
详情

目   录

(一)北美电力系统再遭新威胁多个黑客组织可破坏北美电网

(二)美伊冲突燃爆网络攻击,网络安全专家热议关键基础设施防护

(三)微软超级漏洞CVE-2020-0601来袭

(四)俄罗斯黑客成功入侵乌克兰天然气公司Burisma

(五)博通芯片组件出现漏洞约2亿电缆调制解调器受影响

(六)澳大利亚银行P&N Bank数据泄露,用户余额暴露

(七)CheckPeople.com泄露5625万美国居民信息

(八)勒索软件Maze泄漏了Southwire的14GB文件

(九)勒索软件Sodinokibi首次公开被盗数据

(十)红海地区陷入大面积断网危机

(十一)黑客出售美国数据经纪商LimeLeads4900万用户记录

 

(一)北美电力系统再遭新威胁多个黑客组织可破坏北美电网

近日,美国网络安全服务厂商Dragos发布《北美电力网络威胁观点》报告,该报告指出,针对北美电力行业的威胁活动正在扩大并在增加,其原因是存在大量以侦察和研究为目的发起的ICS网络入侵,以及针对ICS的威胁行为者表明了对电力行业产生了浓厚兴趣。

同时该报告调查结果显示,对电力公司的攻击可能会产生重大的地缘政治、人道主义和经济影响。因此,与国家相关的参与者将越来越多地瞄准电力和天然气等相关行业,以实现其目标。重大威胁包括活动组针对原始设备制造商、第三方供应商、和电信提供商的主动供应链攻陷。攻击者有意图并有能力针对有防护的并安全的设备并导致其长期中断、设备破坏、以及人类健康和安全的问题。所有国家的整个“能源基础设施部门”(电力,石油和天然气等)都处于危险之中,网络攻击正在成为能源领域越来越多使用的攻击手段。

Dragos跟踪了11个活动组织,其中七个有针对北美地区电力公司的活动,包括:PARISITE、XENOTIME、DYMALLOY、Allanite、MAGNALLIUM,、ASPITE和COVELLITE。

该报告表示,黑客组织已经开展了广泛的密码喷洒攻击活动,而这些密码针对的正是美国的电力、石油和天然气公司,而且它们试图利用虚拟专用网(VPN)设备中的漏洞来初步访问目标ICS网络。

六种涉及北美电力企业的可能攻击方式包括:破坏性事件导致电力中断、第三方和OEM厂商攻陷、发电阶段系统性攻击、OT通信网关、攻击者通过移动网络或卫星连接进行访问及断电时给攻击者提供破坏的机会。

天地和兴工控安全研究院翻译整理,参考来源:Dragos http://dwz.date/gW9

 

(二)美伊冲突燃爆网络攻击,网络安全专家热议关键基础设施防护

正当美伊冲突持续激烈发酵之际,双方的争斗已然延伸至网络空间。美国一政府网站已被伊朗攻击者小试牛刀。网络大战,一触即发。1月8日,美国中情局和国土安全部发布警告称,伊朗近期除对海外美国人发动袭击之外,还可能针对美国采取网络攻击。1月9日,知名工业网络安全公司Dragos在其名为《北美电力网络威胁形势》的最新报告中,指出众多网络攻击组织已瞄准了北美的电力公司。《安全周刊》(securityweek.com)则采访了CyberX、Dragos、CrowdStrike、Nozomi Networks等知名网络安全公司的专家,全面解析伊朗攻击美国关键基础设施的能力及美国需要采取的应对之策。专家指出:地缘政治冲突加剧必然投射至网络空间;伊朗具备攻击美国关键基础设施的强烈意图和相应能力;金融、国防、政府以及石油和天然气行业的组织最有可能成为攻击目标;应及时评估和审查网络安全应急响应计划;应加强工业环境网络系统的异常监测,增强OT可见性;高度重视局部、短期的关键民用设施停服的连锁效应;加强网络空间威胁情报共享的时效性和有效性。

《安全周刊》1月8日报道,网络安全专家认为,伊朗可能会发动网络攻击以回应美国最近一次空袭杀死了其高级军事指挥官卡西姆·索莱曼尼(Qassem Soleimani)少将,如果这些网络袭击将关键基础设施或工业控制系统(ICS)作为目标,许多人怀疑伊朗是否有能力造成重大破坏。尽管如此,相关组织仍然建议做好防范准备以应对真正网络攻击的发生。

卡西姆·索莱曼尼将军领导着伊朗革命卫队的精锐部队圣城旅--Quds部队,他被认为是伊朗最有权势的人之一。1月3日,他因美国发动的空袭而在伊拉克被杀。

在卡西姆·索莱曼尼死讯宣布后不久,一些自称来自伊朗的黑客攻陷了美国一个政府机构的网站,但攻击并没有太高的技术复杂度。更大的担忧是,伊朗可能对运营ICS的组织和关键基础设施发起攻击,这可能导致更大的损失。

IBM最近透露存在一个与伊朗相关的擦除器恶意软件,该恶意软件曾被用于中东能源和工业组织的针对性很强的网络攻击。

美国中情局和国土安全部下属关键基础设施保护局(CISA)当地时间8日发表联合公报,警告伊朗近期可能从两方面对美国构成威胁,首先可能会在海外针对美国人发动袭击,此外伊朗也有可能针对美国采取网络攻击手段。

另据《安全周刊》1月9日报道,工业网络安全公司Dragos已经发现越来越多的攻击组织瞄准了北美的电力公司。

该公司发布了一份新报告,描述了北美电力部门面临的网络威胁。Dragos在其名为《北美电力网络威胁形势》的最新报告中说:“随着对手及其赞助商投入更多的精力和金钱来获得注重效果的能力,对电力部门造成中断性或损毁性攻击的风险将大大增加。”

Dragos目前跟踪总共已知针对工业控制系统(ICS)的11个威胁组,其中有7个攻击了北美的电力公司。它追踪的这些威胁组织PARISITE、XENOTIME、MAGNALLIUM、DYMALLOY、RASPITE、ALLANITE和COVELLITE.Hacker,越来越多地瞄准北美的电力公司。Dragos去年的报告发现,XENOTIME是2017年Triton/Trisis恶意软件攻击沙特阿拉伯一家石化厂的幕后肇事者,已经开始瞄准美国和亚太地区的电力公司。

在最新的报告中,Dragos透露,MAGNALLIUM在2019年秋季也开始瞄准美国的电力公司。MAGNALIUM被其他公司称为APT33和Elfin,至少从2013年开始活跃。

尽管一些专家怀疑伊朗是否有能力通过网络攻击对关键基础设施造成重大或广泛的损坏,但在如此复杂凶险的地缘政治争斗中,一切皆有可能发生。众多网络安全专家已建议,美国关键基础设施领域的组织采取措施保护其网络安全。

1. Dragos威胁情报副总裁Sergio Caltagirone

Dragos已警告全球范围内的工业资产所有者和运营商,尤其是中东和北美洲的工业资产所有者和运营商,仔细监视其环境以了解威胁行为并审查应急响应计划。我们最大的担忧是,这种冲突将导致民用关键基础设施中断或损毁。实际上无法知道是伊朗、美国或其他国家是否、何时、何地动用网络攻击效应作为其行动的一部分,但是随着紧张局势的加剧,网络攻击的可能性也会增加。

 如果发生攻击,则影响可能是有限的和局部的。世界范围内的工业基础设施虽然具有一定的网络弹性,但也没有做好自卫的准备。我们需要做更多的事情,但要减少恐惧。

防御者可立即采取的行动:加强对工业环境中恶意行为的监控,查看应急响应计划,与整个行业的同事进行开放式交流以分享见解。但是,最重要的是要认识到对工业环境日益增长的风险和威胁,并做出正确的投资决策以更好地为下一次做准备。

2. Cyber X工业网络安全副总裁Phil Neray

多年来,我们已经知道ICS /OT网络是攻击者的软目标,具有未打补丁的旧系统以及与互联网和公司IT网络的弱连接。最近,我们观测看到伊朗威胁组织进行了网络钓鱼攻击,以通过攻陷可信的供应商来获取访问权,比如攻击ICS厂商。眼下的主要问题是,在不引起重大网络或动态报复的情况下,他们会造成多大的干扰,从而获得理想的宣传优势。因此,我们并不是非要关注像俄罗斯攻击乌克兰那样,将整个城市电网搞瘫。但是,仅仅需要关闭一个小型的地区或市政公用事业机构一小时左右的时间(阻止人们访问其自动柜员机),这种后果也不敢想象,这可能正是他们所需要的。

3. Dragos首席执行官兼创始人 Robert M.Lee

伊朗的网络威胁具有一定的能力,但迄今为止并未表现出与某些类型的攻击(例如最具破坏性的基础设施攻击)水平,比如达到美国、中国和俄罗斯那样的能力水准;尽管我们知道,它们具有一直在不断提高自己能力的动力,积极进取并愿意尽可能造成更大的破坏性(拒绝提供银行服务,在可能的情况下获得对工业控制系统的访问权,并在他们可以访问的公司擦除系统)。看到了诸如电力中断之类的广泛问题或情景,但我们完全有可能看到对他们认为可能造成的任何损害的机会性反应。

4. Suzanne Spaulding, Nozomi Networks的顾问,前国土安全部副部长

伊朗已经表现出了在美国境内进行攻击的意图和能力,以及对不断升级的风险的高度容忍,特别是在2011年暗杀沙特驻美国大使的阴谋期间。因此,鉴于网络空间中没有明确定义“红线”,并且伊朗政府将承受巨大的内部压力以采取强有力的行动,因此伊朗目前采取升级行动的风险特别高。

在2011-2012年,伊朗一直以银行为目标以应对制裁,我们现在应该预计其将对涉及无人机开发和部署的承包商采取行动。美国政府需要在与潜在目标共享涉及伊朗网络攻击能力、TTPs和计划有关的任何情报方面向前迈出实质性步伐,以协调一致地应对,将这种风险最小化并加强防御。

同时,关键基础设施的组织应特别警惕地监控其操作系统,以检查其工业操作系统中是否存在异常活动。在这个阶段,获得OT可见性并具有发现问题和快速反应的能力对国家安全至关重要。

5. CrowdStrike情报副总裁Adam Meyers

CrowdStrike正在密切监视当前中东局势的升级,以应对卡西姆·索莱曼尼将军被杀的事件。尽管CrowdStrike目前没有报告隶属伊朗的对手的特定威胁,但与以往的评估一致,CrowdStrike威胁情报分析团队认为,来自伊朗的敌人可能会利用广泛的手段来打击美国和盟国的利益,包括网络作战。

 我们目前的评估结论是,金融、国防、政府以及石油和天然气行业的组织最有可能进行报复活动。我们还在监视分布式拒绝服务(DDoS)活动,因为伊朗过去曾使用过DDoS攻击以及其他策略,例如勒索软件活动。

6. Caroty首席安全官Dave Weinstein

我们的立场是,鉴于最近发生的事件,业主和运营商应保持警惕。ICS/OT网络的威胁活动加剧,通常与地缘政治动荡有关,伊朗对某些关键基础设施采取报复行动当然是合理的。同时,我提醒大家从技术角度来看,公司应确保监视其ICS连接,特别是与之前公开过的伊朗网络攻击TTPs(技术、战术和过程)所涉及的第三方和其他远程连接有关的ICS连接。

7. Synopsys CyRC 首席安全策略师Tim Mackey

关键基础设施、制造或食品服务或其他工业的运营商应始终意识到地缘政治紧张局势的变化如何影响其运营。准确了解在工厂级部署了哪些软件资产,可能存在哪些外部网络访问权限,以及对任何软件资产的访问所具有的物理安全性,将是部署构建准确的威胁模型的关键要素,然后应在出现新威胁或地缘政治紧张局势加剧时重新评估该威胁模型。

 与公司办公室或数据中心不同,ICS/OT/IIoT环境在发生潜在攻击时,通常不能依靠本地网络安全专业知识。因此,操作员应对其部署的软件资产进行风险评估。该风险评估将包括对资产的软件开发当前状态的了解,资产是否包含任何潜在的软件漏洞以及如何配置资产。鉴于ICS资产与其商业同类产品相比使用寿命更长,如果软件资产以不安全的方式部署,则潜在的风险(例如漏洞)可能会提供攻击机会,其中包括允许未经审核的远程访问的方式。

8. Lastline全球威胁情报主管Richard Henderson

伊朗显示出发展重工业的能力和倾向。任何拥有强大ICS(工业控制系统)基础设施的组织都应立即高度警惕潜在的攻击。到目前为止,重工业、石油和天然气、发电和附属的电网基础设施以及其他关键基础设施都已成为网络攻击目标。同时,伊朗可能不会直接针对ICS和SCADA系统发起攻击,它们可能会瞄准这些公司使用的更传统的IT基础设施。

伊朗有一些技术非常熟练和才华横溢的黑客,他们过去已经多次表明,他们不吝啬发挥自己的力量。

天地和兴工控安全研究院翻译整理,参考来源:天地和兴工控安全研究院http://dwz.date/gWz

 

(三)微软超级漏洞CVE-2020-0601来袭

北京时间2020年1月15日,美国时间1月14日,微软发布一个重要软件更新,修复Windows中核心加密组件的一个严重安全漏洞。美国国家安全局(NSA)首先发现该漏洞并报送给微软。美国国家安全局网络空间安全处负责人Anne Neuberger 指出,微软核心加密组件的漏洞,动摇了整个网络安全基础设施的信任基础。由此可见,该漏洞的影响力和破坏性相当强大。

根据微软官方给出的消息,该漏洞CVE编号为CVE-2020-0601;位于名为crypt32.dll 的 Windows 组件中,用于处理 CryptoAPI 中的证书和加密消息传递功能。攻击者可以通过使用欺骗性的代码签名证书对恶意可执行文件进行签名来利用此漏洞,从而使该文件似乎来自可靠的合法来源。用户将无法知道文件的恶意性,因为数字签名似乎来自受信任的提供程序。成功的利用还可以使攻击者进行中间人攻击,并在与受影响软件的用户连接上解密机密信息。

攻击者还可以以合法受信任的实体形式破坏可信的网络连接并交付可执行代码。信任验证可能会受到影响示例包括:HTTPS连接;签名的文件和电子邮件;作为用户模式进程启动的签名可执行代码。

NSA给出的建议指出,尽快安装微软于今日发布的补丁。如果不可能进行企业范围的自动修补,NSA建议系统所有者优先修补提供基本服务或广泛响应服务的终端。比如:目前微软发布了针对windows10   Windows server2016/2019等版本的补丁。补丁链接如下:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

基于Windows的Web设备,Web服务器或执行TLS验证的代理服务器;

承载关键基础结构的终端(例如:域控制器、DNS服务器、更新服务器、VPN服务器、IPSec协商)。

此外,还应优先考虑具有高利用风险的终端。比如:

直接暴露于互联网的终端;

特权用户经常使用的终端。

除此之外,Wireshark之类的数据包捕获分析工具可用于从网络协议数据中解析和提取证书,以进行其他分析。诸如OpenSSL和Windows certutil之类的软件实用程序可用于执行证书的深入分析,以检查恶意属性。

由于该漏洞使得恶意软件有了更好的欺骗性,会使得勒索软件,恶意病毒软件有着合法的标识。天地和兴建议用户:

严禁在工业控制系统中的上位机中安装与生产无关的软件;

及时为办公网中受影响主机更新补丁,包含Widows Server2016/2019。务必访问相关指定官网下载,保证补丁来源的可靠性和安全性;

持续监控网络,及时发现异常流量;

目前受该漏洞影响的系统版本只有windows10 、Windows server2016 、Windows2019 并非所有Windows版本,所以也不必过份恐慌,人人自危。

天地和兴工控安全研究院翻译整理,参考来源:天地和兴工控安全研究院http://dwz.date/gWD

 

(四)俄罗斯黑客成功入侵乌克兰天然气公司Burisma

据《纽约时报》报道,硅谷一家名为Area1的安全公司表示,他们发现有迹象表明,由国家资助的俄罗斯黑客成功入侵了乌克兰天然气公司Burisma。该公司在美国政治中扮演了核心角色,因为它跟民主党总统候选人领跑者约瑟夫·拜登关系密切。拜登的儿子亨特则是该公司的董事。

2019年7月,特朗普总统要求乌克兰政府调查Burisma事件以找出有关拜登家族的破坏性信息。据称,特朗普曾威胁称,如果乌克兰总理不宣布展开调查,他将停止对乌克兰的军事援助。这一要求是总统正在进行的弹劾程序的核心,这也使得Burisma成为任何试图干涉美国政治的人的诱人目标。

而据安全公司Area1披露,他们发现了发送给Burisma员工的钓鱼邮件,这些邮件带有GRU黑客活动的许多特征。这些黑客显然成功获取了员工的登录信息,不过目前还不清楚他们究竟获取了多少信息。如果GRU真的有参与其中,那么该组织可能会在2020年总统大选期间曝出令人尴尬的信息。

据了解,在攻击Burisma的过程中,俄罗斯黑客可能采取了跟2016年大选期间其破坏希拉里·克林顿总统竞选活动类似的手段。

本文版权归原作者所有,参考来源:cnBeta http://dwz.date/gWM

 

(五)博通芯片组件出现漏洞约2亿电缆调制解调器受影响

2020年1月10日据zdnet报道,丹麦安全公司Lyrebirds的研究人员在一份报告中称,使用博通芯片的有线调制解调器容易受到一个名为“Cable Haunt”的新漏洞的攻击。报道称,该漏洞仅在欧洲就影响了大约 2 亿个电缆调制解调器。

该漏洞影响博通芯片的一个标准组件,即频谱分析仪。这是一个硬件和软件组件,用来保护电缆调制解调器免受来自同轴电缆信号波动和干扰。互联网服务提供商(ISPs)经常使用该组件调试连接质量。在大多数电缆调制解调器上,只有通过内部网络的连接才能访问该组件。

研究小组表示,博通芯片频谱分析仪缺乏针对DNS重新绑定攻击的保护,使用默认凭据,而且固件中还包含编程错误。

只要引诱用户通过他们的浏览器访问恶意页面,攻击者可以利用浏览器将漏洞传给易受攻击的组件,并在设备上执行命令。尽管研究团队估计,整个欧洲易受攻击的设备数量约为 2 亿部,但他们认为,可利用设备的总数无法量化。

本文版权归原作者所有,参考来源:站长之家http://c7.gg/fTJnR

 

(六)澳大利亚银行P&N Bank数据泄露,用户余额暴露

2020年1月14日,澳大利亚P&N银行通知其客户发生了数据泄露事件,其客户关系管理(CRM)平台暴露了个人身份信息和敏感的帐户信息。

周三,安全研究人员在Twitter用户@vrNicknack文章中发现了该银行发给客户的通知。在12月12日前后,银行服务器升级期间,网络攻击就是在此时发生的。据悉给P&N银行提供托管服务的公司是攻击切入点。

P&N银行表示,名称、地址、电子邮件地址、电话号码、客户编号、年龄、帐号、帐户余额、交互记录信息可能均已泄露。密码、社会安全号码、税务文件编号、驾照或护照详细信息、信用卡号码、出生日期、医疗数据未有泄露。目前尚不清楚有多少客户受到影响。

在意识到攻击后,该银行立即关闭了漏洞源。P&N银行在通知中强调,目前没有证据表明客户帐户或资金受到了侵害,并且该银行正在非常认真地处理此信息泄露事件。P&N银行表示,它正在与西澳大利亚警察局(WAPOL)和其他联邦当局合作。

P&N Bank是在西澳大利亚州运营的Police&Nurses Limited的一个部门。

天地和兴工控安全研究院翻译整理,参考来源:ZDNet http://dwz.date/gWG

 

(七)CheckPeople.com泄露5625万美国居民信息

2020年1月9日,中国IP地址的服务器泄露了CheckPeople.com网站5625万美国居民个人详细信息。该数据库包含姓名、家庭住址、电话号码和年龄等信息。

总部位于美国佛罗里达州的CheckPeople.com允许订阅的用户搜索有关感兴趣的人的信息,包括当前以及过去的地址、电话号码、电子邮件地址、亲戚的名字、甚至是犯罪记录。该服务可能会从公共来源收集数据。这些数据被暴露在中国杭州的阿里巴巴网络托管公司运营的IP地址上。所有这些信息全部位于同一个地方,可供垃圾邮件发送者、不法之徒、和其他网民批量下载,并且是通过阿里巴巴的网络托管部门相关的IP地址提供的。

这些信息是由Lynx的的一位白帽子发现的,其在互联网上发现了22GB的数据库,其中包括将收藏集链接到CheckPeople.com的元数据。Lynx表示,就其本身而言,数据是无害的,它是公共数据,但是像这样捆绑在一起,对某些人来说,实际上就可能是很有价值的。

事后,CheckPeople.com通过律师表示,该公司正在对此事进行调查,不知道通过阿里巴巴托管的任何信息数据库,CheckPeople的记录存储在美国的安全服务器上,但CheckPeople非常重视安全性问题,并且正在调查此事。

天地和兴工控安全研究院翻译整理,参考来源:The Register http://dwz.date/gW5

 

(八)勒索软件Maze泄漏了Southwire的14GB文件

近日,勒索软件Maze运营商公开了从受害者电缆制造商Southwire那里窃取的14GB文件。

日前,勒索软件Maze的受害者面临着多重风险,他们的数据不仅已经被加密,攻击者还威胁要泄露其数据。勒索软件Maze还有数据收集功能,运营者扬言要公开拒绝支付赎金的所有受害者的数据。

该网站包含与感染有关的数据,包括攻击日期、一些被盗文档(Office、文本和PDF文件)、被盗数据的大小、以及被感染服务器的IP地址和计算机名称列表。Maze的运营商已经建立了一个网站,在该网站上已公布了八家拒绝支付赎金的公司的名单。

对Southwire的攻击发生在去年12月,攻击者感染了公司网络上的878个系统,并窃取了120GB的文件。该Maze运营者要求提供价值600万美元的比特币,以防止Southwire加密的文件泄露,但该公司拒绝支付赎金。然后Maze就将该公司的14G文件上传到该网站上。

在未支付赎金后,Southwire在佐治亚州法院对Maze提起诉讼,指控其非法访问其网络、窃取数据、加密计算机以及发布被盗数据。 该公司并要求Maze网站托管服务提供商关闭该网站。

Maze运营商在俄罗斯黑客论坛上公开了另外14.1GBSouthwire的失窃文件,并宣布他们计划每周释放10%的数据直到支付赎金为止。

天地和兴工控安全研究院翻译整理,参考来源:Security Affairs http://dwz.date/gW8

 

(九)勒索软件Sodinokibi首次公开被盗数据

由于未支付赎金,2020年1月11日,勒索软件Sodinokibi背后的运营者首次在俄罗斯黑客和恶意软件论坛上发布了337M从受害者那里窃取的文件的链接。

自上个月以来,Sodinokibi(也叫REvil)就公开表示,他们将开始效仿Maze为榜样,如果受害者不支付赎金,他们就会公开从受害者那里窃取的数据。

 

今日,Sodinokibi开始遵守他们的诺言,在俄罗斯黑客和恶意软件论坛上发布了大约337MB所谓的被盗受害者文件的链接。

Sodinokibi声称这些数据属于Artech信息系统,并且表示这些数据只是他们拥有的一小部分,如果没有回音,他们将把剩余的、更重要的和有趣的商业和个人数据出售给第三方,包括详细的财务数据。

Artech是一家少数族裔和妇女拥有的多元化供应商,并且是美国最大的IT人员配置公司之一。目前,Artech的站点已关闭,尚不清楚是否是由于此攻击所致。

专家表示,勒索软件攻击需要透明处理,并被视为数据泄露。通过试图掩盖这些攻击以及员工、公司和客户数据的盗窃,公司不仅面临罚款和诉讼的风险,而且使个人数据面临风险。

这种使用偷来的数据作为要挟的做法不会消失,而且会变得更糟。预计会有更多的勒索软件运营商开始采用这种做法,这已成为攻击的常态。

天地和兴工控安全研究院翻译整理,参考来源:Bleeping Computer http://dwz.date/eXj

 

(十)红海地区陷入大面积断网危机

据外媒报道,上周,也门地区的2800万人的互联网一片漆黑。直至2020年1月13日还没有完全恢复。实际上,自从1月9日一条海底电缆被切断以来,整个红海地区的网络连接速度一直很慢,甚至连接不上互联网。

目前互联网将“云”视为流行的技术,但实际上是在海底,一排排巨大的电缆纵横交错,遍布世界各地,为每个大陆和每个国家提供了网络连通性。在海底恶劣条件下,电缆自然会遭受断裂和割伤,但是通常,每个区域会有多条电缆服务,以应对一条线路断开时产生冗余和意外情况。但是,由于也门持续的连通性问题凸显出来,某些地区的后备选项更加脆弱。

科威特、沙特阿拉伯、苏丹和埃塞俄比亚都受到了上周Falcon电缆断裂的重大影响,甚至影响到了远至科摩罗和坦桑尼亚的国家。但是,大多数人并未完全断网,他们还可以依靠其他电缆连接。但是在也门,一根电缆的切断导致容量下降了80%。尽管该国仍然还剩有最后20%的容量,但是原本水管那么大的web流量通过现在吸管那么细的剩余电缆导致几乎全部连接失败。

Oracle Internet Intelligence的互联网分析主管Doug Madory表示,该地区过去一直受到电缆切断的困扰。有许多新的海底电缆项目试图增加冗余和弹性,多年来,这已经大大改善了。话虽如此,像也门这样的地方也没有太多冗余,因为也门的基础设施不发达。因此,尽管该地区有更多的电缆,但该国仍然可能会因一条电缆损坏而断网。

尽管伊朗和克什米尔等地区已将互联网停电用作政治伎俩,但没有迹象表明也门事件是人为的,很有可能是锚很无意间将其切断的。

但是,修复电缆并不是那么简单。也门有三个海底电缆平台。东部的Falcon连接点,西部的另一个Falcon连接点以及港口城市亚丁的第三个连接点,它们与其他两条电缆连接在一起。由于持续的内战,亚丁是也门的临时首都,由哈迪政府控制,胡塞控制的领土在全国范围内划分了国家。

到周六,也门的两个主要互联网服务提供商之一也门网,通过与阿曼的主要ISP Omantel合作,从另一条海底电缆接收服务,从而恢复了一些网络连接。不过,Falcon电缆尚未修复,沙特阿拉伯和科威特等国家以及也门仍在应对电缆断裂带来的挥之不去的影响。如果提供商没有备用的通信方式,或者必须通过手动重新路由过程重新建立服务,则恢复连接可能需要几天的时间。

即使在理想的情况下,也可能需要数周的时间来修理切断的电缆。承包商必须派出专门装备的船到受灾地区,在海底上打一个特殊的钩子,在正确的位置拉起电缆,并进行修理,然后再将电缆扔回深处。

甲骨文公司的马多里表示,整个过程看起来很像1860年代刚开始铺设海底电缆的操作。苏伊士运河和红海周围的区域非常浅,不好的是锚很可能会剪断电缆,好处是在浅水处修理时更容易固定。

红海地区的当前局势伴随着海底电缆损坏造成的其他大量停电和故障。2008年,由于连接中东,欧洲和亚洲部分地区的两条电缆同时切断,导致14个国家/地区停电。2017年,当南非的一位农民用拖拉机损坏电缆时,津巴布韦失去了大约五个小时的互联网访问权限。在美国,两条切断的电缆在2018年造成了广泛的服务中断。

网络安全公司Netscout的首席工程师Roland Dobbins对此表示,海底电缆切断事件会以一定的规律性发生,它的主要原因在于增加的电缆越多,负担就会越大,电缆就越会被卡死或折断。与此同时,由政治复杂性,基础架构的脆弱性也就日益显着,尤其是在受到政府压力的互联网中断地区。

天地和兴工控安全研究院翻译整理,参考来源:wired http://dwz.date/gWE

 

(十一)黑客出售美国数据经纪商LimeLeads4900万用户记录

据外媒2020年1月14日报道,一名黑客正在地下黑客论坛上出售LimeLeads的4900万数据,包括姓名、职务、用户电子邮件、雇主/公司名称、公司地址、城市、州、邮政编码、电话号码、网站URL、公司总收入以及公司的预计雇员人数等信息。

该威胁行为者是地下黑客论坛的知名人士Omnichorus,在共享和出售被黑客入侵或被盗数据方面小有名气,即所谓的“数据交易者”。

LimeLeads并未遭受网络攻击,是因该公司未能给内部服务器设置密码,故互联网上的任何人都可以访问公司的重要客户数据。安全研究人员Bob Diachenko确认该公司已暴露了内部Elasticsearch服务器。至少从2019年7月27日起,搜索引擎Shodan就将该公司的一台服务器索引为开放系统。Diachenko表示,他于去年9月16日通知了LimeLeads公开服务器,而该公司在第二天就保护了公开系统。尽管有些公司可能会在没有任何重大安全漏洞的情况下在互联网上公开内部服务器,但对于LimeLeads而言并非如此。

尽管该公司迅速回应了Diachenko的通知,但看来Omnichorus也掌握了该公司的数据,并且自去年10月以来一直在网上出售该数据。根据Diachenko以及Omnichorus在其文章中发布的数据样本,LimeLeads数据包含用户详细信息,例如:全名,职务,用户电子邮件,雇主/公司名称,公司地址,城市,州,邮政编码,电话号码,网站URL,公司总收入以及公司的预计员工人数。

出售这些数据的危险在于,它为黑客和恶意软件操作员提供了一个理想的基础,可以对经过验证的公司及其适当的联系人发起鱼叉式网络钓鱼攻击。

LimeLeads是一家总部位于旧金山的(B2B)线索生产商,它通过出租对内部数据库的访问来赚钱,该数据库包含可用于推销和销售的业务联系人信息。

天地和兴工控安全研究院翻译整理,参考来源:ZDNet http://dwz.date/gWJ 天地和兴工控安全研究院翻译整理,参考来源:wired http://dwz.date/gWE

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号