安全研究
全部分类

关键信息基础设施安全动态周报【2020年第2期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-01-10 12:14
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第2期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第2期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第2期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-01-10 12:14
  • 访问量:
详情

目   录

(一)美国政府官网遭伊朗黑客攻击

(二)巴林石油公司Bapco遭受伊朗数据清除软件Dustman攻击

(三)MITRE发布ATT&CK for ICS知识库

(四)勒索软件DeathRansom新变种可真正对文件进行加密

(五)日本扩编"网络防卫队" 招募民间黑客强化网络战能力

(六)直布罗陀政府网站存在SQL漏洞 允许修改法律文件

(七)奥地利外交部电脑系统遭网络攻击

(八)英国外汇兑换公司Travelex因遭到恶意软件攻击暂停服务

(九)美国学校管理软件供应商Active Network遭受黑客攻击 泄露支付信息

(十)美国Alomere Health医院泄露近5万患者信息

(十一)美国拉斯维加斯市政府遭受网络攻击

(十二)美国科罗拉多州Erie镇遭受BEC诈骗汇款超100万美元

 

(一)美国政府官网遭伊朗黑客攻击

当地时间2020年1月4日晚,美国联邦寄存图书馆计划(简称FDLP)网站主页出现了一张美国总统特朗普的恶搞图片。图片中,特朗普嘴巴流血、被伊朗伊斯兰革命卫队一拳打在脸上。这家网站由美国政府出版办公室(简称GPO)运营,主要负责向公众提供联邦政府文件和信息,目前该网站处于离线状态。尽管黑客署名“伊朗网络安全组织”,但美国官方未对谁是幕后黑手发表评论。

美国有线电视新闻网(CNN)5日报道,一名高级政府官员证实,美国国土安全部已经监控到这家政府网站遭到明显黑客攻击,这名官员将之称为网络“破坏”。GPO首席公关官萨默塞特(Gary Somerset)也做出回应,确认“该网站遭遇入侵、现已关闭”,GPO的其他站点已经全面运行。他表示GPO正与相关部门协调进一步调查。

当地时间4日晚,美国联邦寄存图书馆计划网站被黑客入侵,主页上出现一张“特朗普被一拳打到流血”的图片,图片中用阿拉伯语、波斯语和英语传达了支持伊朗的信息。

图片留言全文如下:

这是来自伊朗伊斯兰共和国的信息

我们不会停止支持我们在该地区的朋友:巴勒斯坦被压迫人民、也门被压迫人民、叙利亚人民和政府、伊拉克人民和政府、巴林被压迫人民,黎巴嫩和巴勒斯坦的穆斯林抵抗运动。我们将永远支持他们。

革命领袖重申:

殉道是他(苏莱曼尼)多年来不懈努力的回报。随着他的离世和神的力量,他的工作和道路将不会停止,严厉的复仇等待着那些罪人,他们肮脏的双手沾满了他和其他殉道者的鲜血。

来自伊朗网络安全组织的黑客攻击

这只是伊朗网络能力的一小部分!

我们时刻准备着。

尽管黑客署名为“伊朗网络安全组织”,但美国官方未确认谁为此事负责。

美国国土安全部“网络安全和基础设施安全局”发言人森德克(Sara Sendek)回应称:“我们知道联邦寄存图书馆计划网站遭到了‘亲伊反美信息’的破坏。但目前没有证据表明,这是伊朗国家支持的行动者所为。”她表示,该网站已下线、暂停访问,有关部门正密切监控进展。

联邦寄存图书馆计划网站由美国国会建立,美国政府出版办公室运营,旨在为公众提供“免费的、永久的联邦政府信息公开渠道”,其中包括法案和法规、法院意见以及政府提供的各种材料。

美国哥伦比亚广播公司CBS认为,该此次网络攻击造成的损害相对较小,更多的是象征性的,而非破坏性的。一名参与网络安全事务的美国高级官员同样否认了此次攻击的重要性。他告诉CBS,“这不是什么大事”,这些黑客可能是伊朗的同情者,但与政府本身无关。

截至目前,美国联邦调查局没有对此事发表评论。

当地时间1月3日,美国总统特朗普下令空袭伊拉克巴格达机场,造成包括多人死亡,其中包括伊朗伊斯兰革命卫队的精锐部队“圣城旅”指挥官卡西姆·苏莱曼尼。

伊朗革命卫队随后在声明中证实了苏莱曼尼少将遇难的消息。伊朗于当天举行全国哀悼日,数万名伊朗民众走上街头谴责美国的袭击,反美情绪高涨。

本文版权归原作者所有,参考来源:观察者网 http://dwz.date/eun

 

(二)巴林石油公司Bapco遭受伊朗数据清除软件Dustman攻击

据外媒ZDNet 2020年1月9日报道,该媒体从多个来源获悉,伊朗政府资助的黑客已在巴林国家石油公司Bapco的网络上部署了一种新型数据清除恶意软件Dustman。

该事件发生在12月29日。攻击并未达到黑客想要的长期影响,因为Bapco的计算机机群只受到了一部分影响,该公司在该恶意软件爆炸后仍继续运行。

ZDNet从多个来源获悉,Bapco事件是沙特阿拉伯国家网络安全局上周发布的安全警报中描述的网络攻击。沙特官员将该警报发送给活跃于能源市场的本地公司,以警告即将发生的袭击,并敦促公司保护其网络。Bapco安全事件在美国和伊朗上周政治紧张局势加剧后曝光,此前美国军方在上周的一次无人驾驶飞机罢工中杀死了一名伊朗高级军事将领。尽管Bapco事件似乎与当前的美国-伊朗政治紧张局势无关,但确实显示出伊朗在发动破坏性网络攻击方面的先进技术能力。

Bapco遭受攻击的核心是一种名为Dustman的新型恶意软件。根据沙特阿拉伯网络安全机构的分析,Dustman是一种数据清除软件,旨在受感染计算机启动后删除其数据。

根据沙特CNA官员的说法,Dustman似乎是去年秋天发现的ZeroCleare的升级版和更高级版本,也与原始的Shamoon具有多个代码相似之处。这三个软件之间的主要共享组件是EldoS RawDisk,这是一个用于与文件、磁盘、和分区进行交互的合法软件工具包。这三种恶意软件使用不同的漏洞利用和技术,将初始访问权限提升为管理员级别,从此处解压缩并启动EldoS RawDisk实用程序以擦除受感染主机上的数据。

由于Dustman被认为是ZeroCleare的演进版本,因此大多数代码都是相同的,但是分析该恶意软件的沙特CNA官员表示,Dustman具有两个重要区别:与ZeroCleare一样,Dustman的破坏能力以及所有需要的驱动程序和装载程序都在一个可执行文件中提供,而不是在两个文件中提供;Dustman覆盖原有的数据,而ZeroCleare通过垃圾数据(0x55)重写原有的数据。

消息人士告诉ZDNet,以Dustman攻击Bapco符合已知的伊朗政府资助的骇客的常规作案手法。从历史上看,在12月29日部署Dustman之前,伊朗黑客仅对石油和天然气领域的公司使用Shamoon和ZeroCleare。过去的目标包括与沙特政权有联系的公司和沙特阿拉伯国家石油公司沙特阿美公司。伊朗和沙特阿拉伯自1970年代以来就一直紧张关系,原因是对伊斯兰的解释不同,以及它们在石油出口市场上的竞争。

Bapco似乎是Dustman恶意软件攻击的唯一受害者,尽管这并不意味着该恶意软件并未部署在其他攻击目标上。攻击者当时似乎并没有计划使用Dustman,而是为了隐藏他们在网络中存在的最后一招。根据多方报道,攻击的入境点是VPN服务器。威胁行为者在受害者的网络上获得了域管理员和服务帐户,该帐户用于在受害者的所有系统上运行“ DUSTMAN”恶意软件。攻击者利用防病毒管理控制台服务帐户在网络上分发恶意软件。威胁行为者访问了受害者的网络,并将恶意软件和远程执行工具“ PSEXEC”复制到了防病毒管理控制台服务器,该服务器由于其功能的性质而连接到了受害者网络内的所有计算机。几分钟后,攻击者访问了受害者的存储服务器,并手动删除了所有数据。然后,攻击者在防病毒管理控件上执行了一组命令,将恶意软件分发到所有连接的计算机,并通过PSEXEC执行了恶意软件,并放置了3个其他文件,两个驱动程序和一个数据清除软件。大部分连接的机器的数据都被清除掉了。 成功的攻击导致所有数据被
清除的系统显示蓝屏死机(BSOD)消息。

Bapco员工第二天上班就发现了该袭击,并溯源到了Dustman恶意软件,该恶意软件样本之一就被上传到了Hybrid-Analysis中。

天地和兴工控安全研究院翻译整理,参考来源:ZDNet http://dwz.date/eu5

 

(三)MITRE发布ATT&CK for ICS知识库

近日,MITRE发布了ATT&CK for ICS知识库,其中介绍了网络攻击者在攻击ICS时使用的战术和技术,ICS包括一些国家最关键的基础设施,包括能源传输和分配厂、炼油厂、废水处理设施、运输系统等。这些攻击的影响范围从破坏到运营生产力到严重危害人类生命和周围环境。

ATT&CK for ICS建立在全球可访问的、免费的MITER ATT&CK知识库的基础上,该知识库已被世界各地成熟的网络安全团队广泛采用,以了解对手的行为和交易技巧并系统地提高防御能力。

ATT&CK for ICS添加了在ICS环境中使用的行为对手。它着重介绍了ICS系统操作员通常使用的专门应用程序和协议的独特方面,并且对手利用了这些优势来与物理设备进行交互。

知识库可以为防御者扮演多个关键角色,包括帮助建立一种标准的语言,供安全从业人员在报告事件时使用。凭借在该领域供不应求的专业知识,它还可以帮助开发事件响应手册,确定防御的优先级以及发现漏洞,报告威胁情报,分析师培训和发展以及在演习中模拟对手。

天地和兴工控安全研究院翻译整理,参考来源:HelpNetSecurity http://dwz.date/eu4

 

(四)勒索软件DeathRansom新变种可真正对文件进行加密

2020年1月2日,网络安全公司Fortinet称其检测到了勒索软件DeathRansom的新变种,可对文件进行有效的加密。该勒索软件原先曾被认为是一个玩笑,并不会对文件实施有效的加密方案。该软件的分发活动是稳定有效的,过去两个月每天都会有受害者。

该勒索软件于2019年11月首次被发现,最初只是一个无害代码,模仿成勒索软件的样子,向用户的所有文件添加文件拓展名,并在受害者的计算机上放置赎金票据。这都是为了诱骗受害者支付赎金,但受害者的文件并没有真正被加密。

现如今,DeathRansom的代码得到了发展,新版本可以真正的加密文件。最新版本结合使用了针对椭圆曲线Diffie-Hellman(ECDH)密钥交换方案的Curve25519算法、Salsa20、RSA-2048、AES-256 ECB和简单的方法,对文件进行了有效加密。块异或算法。

除此以外,对DeathRansom的调查并不仅限于分析该恶意软件的源代码,研究人员还寻找了有关勒索软件作者的线索。经过一系列调查,Fortinet发现该软件的背后行为者为网名为scat01的俄罗斯人Egor Nedugov。Fortinet发现了更多关于scat01的个人信息,但是并未公布在报告中。

目前,DeathRansom正在通过网络钓鱼电子邮件活动传播。Fortinet报告包含公司可以在其安全产品中包含并防止公司系统受到感染的危害指标。Fortinet还表示,仍在研究勒索软件的加密方案,以发现可能的错误,他们希望以此为基础创建免费的解密程序,以帮助过去的受害者。

天地和兴工控安全研究院翻译整理,参考来源:ZDNet http://dwz.date/euy

 

(五)日本扩编"网络防卫队招募民间黑客强化网络战能力

日本《读卖新闻》1月6日报道称,日本防卫省计划在2020年度大幅提升应对网络攻击的能力。除了扩充自卫队“网络防卫队”规模之外,还计划招募民间黑客、研发使用人工智能技术的防御系统。

报道指出,日本网络防卫队成立于2014年,是直辖于防卫相的与陆海空自卫队平级的部队。防卫省计划在今年将该部队扩编70人至290人。未来,整个自卫队负责应对网络攻击的人员规模将达到2000人。

报道认为,自卫队内部包括装备在内,各种各样的指挥系统均由信息通信网络彼此相连,一旦敌方发动网络攻击,造成网络瘫痪,通常具备的战斗力将无法发挥作用,从而遭受重大损失。即便在平时也存在敌人通过网络攻击窃取防御机密等风险。据防卫省的统计,已经确认的通过网络空间对日本政府实施的威胁在2016年度就多达711万起,且呈逐年增加态势。

为防患于未然,防卫省对省内和自卫队的电脑系统实施了24小时监控。此外还有可能就提升有事之时的网络反击能力展开研究。

本文版权归原作者所有,参考来源:参考消息网 http://dwz.date/eu2

 

(六)直布罗陀政府网站存在SQL漏洞 允许修改法律文件

近日,安全研究人员Ax Sharma在研究直布罗陀政府的签证规定时偶然发现,直布罗陀政府网站中存在SQL漏洞,恶意人员可利用该漏洞更改直布罗陀法律部门的公开信息,如上传或删除PDF文件至该官方网站。

在此页面底部有“修改”和“删除”链接,点击这些链接需要填写详细信息登录网站,然而这些保护步骤很容易绕开。

恶意人士可使用免费下载的软件套件,可能会滥用此漏洞来更改法律文件的在线版本。在数字时代,政府网站上发布的法律被更广泛的世界视为官方和具有约束力的法律,即使其主要版本往往是存储在议会中的硬拷贝。

尽管直布罗陀政府已将受影响的网页下线,但此事件及时提醒了系统管理员基础的SQL安全性做法仍然像以往一样重要。

Sharma使用开源渗透测试工具sqlmap就能够查看为法律托管站点提供支持的所有表和数据库信息。其中一个名为giblaws_giblaws.user的表包含工作人员的姓名、用户名、密码、和摘要等信息,sqlmap的内置摘要破解工具很容易在不到1秒的时间内破解了其中一个密码。该密码是六位数字,使用这些详细信息登录并使用该帐户的权限来编辑网站的内容是一件简单的事情。

直布罗陀政府发言人感谢Sharm发现了漏洞,并表示此事已得到解决,主要漏洞已得到缓解。但是,在接下来的几天内,网站的这一部分将重新定位到一个全新的网站。

根据英国1990年的《计算机滥用法案》,未经他人许可在他人计算机上运行sqlmap可能构成犯罪。

天地和兴工控安全研究院翻译整理,参考来源:The Register http://dwz.date/eu3

 

(七)奥地利外交部电脑系统遭网络攻击

奥地利政府2020年1月5日表示,奥地利外交部电脑系统遭受不明来源的网络攻击。

奥地利外交部和内政部联合发表声明说,自当地时间4日23时起,奥地利外交部电脑系统遭到有针对性的网络攻击,至5日白天网络攻击仍在持续。受攻击的主要是内部电脑系统,外交部网页未受影响。奥地利有关方面正采取技术措施应对网络攻击。

声明未透露网络攻击的具体方式和造成的后果。声明说,从网络攻击的方式和严重程度看,不排除是有国家背景的行为主体发动的有针对性攻击。

本文版权归原作者所有,参考来源:新华网 http://dwz.date/eus

 

(八)英国外汇兑换公司Travelex因遭到恶意软件攻击暂停服务

据外媒报道,大型国际外汇兑换公司Travelex证实在12月31日遭到了恶意软件攻击并由此暂停了一些服务。该公司表示,为了保护数据以及阻止恶意软件的进一步传播,作为预防他们将对系统做下线处理。

目前,该公司的英国网站处于离线状态,当用户登入后会看到“服务器错误”的提示。该公司表示,他们正在升级过程中所以处于离线状态。Travelex通过官方Twitter表示,员工现无法在网站上或通过应用进行交易。据称,一些门店甚至采取手动操作的方式来处理客户的请求。而像Tesco Bank等需要依赖Travelex的公司也因此陷入宕机状态。

不过Travelex指出,截止到目前还没有发现有客户数据遭到泄露,但其并没有就此做详细说明或提供相关证据。这家总部位于伦敦的公司在全球经营着1500多家门店。

本文版权归原作者所有,参考来源:cnBeta http://dwz.date/euu

 

(九)美国学校管理软件供应商Active Network遭受黑客攻击 泄露支付信息

近日,美国学校管理软件提供商Active Network披露了严重的安全漏洞,在2019年10月1日至2019年11月13日期间访问网上商店Blue Bear并支付学费或购买书籍和其他材料的父母可能已经被泄露了个人数据。

此次泄露的数据包括名称、商店用户名和密码、支付卡号、支付卡到期日期、以及支付卡安全码。该公司向加利福尼亚总检察长办公室报告了此问题,  并在一家领先的网络安全公司的帮助下展开了调查。某律师事务所目前正在调查事件,试图让受影响的用户参与集体诉讼。

根据Active Network公开的信息,攻击者能够攻陷其平台,并植入一个软件分离器,旨在收集用户通过Blue Bear软件完成的购买交易时所使用的支付卡片数据。Active Network宣布已采取措施增强其监控工具和安全控制,该公司还向用户提供免费的身份监控服务。

Active Network是一家为该地区的K-12学校提供基于Web的学校管理软件的公司。Blue Bear是一款云学校会计软件,专门为该地区的K-12学校定制,以帮助管理和简化学校的活动基金会计。

天地和兴工控安全研究院翻译整理,参考来源:Security Affairs http://dwz.date/euw

 

(十)美国Alomere Health医院泄露近5万患者信息

据外媒报道,近日,美国明尼苏达州Alomere Health医院被曝发生数据泄漏,该泄漏暴露了49351名患者的个人和医疗信息。据了解,事件发生的原因是由于该医院的两名员工的电子邮件帐户遭到入侵。

据了解,该事件是在2019年11月6日被发现的,医院内部IT人员发现在2019年10月31日至11月1日期间,一个未经授权的第三方访问了医院员工的电子邮件帐户。但Alomere Health医院直到2020年1月3日才开始通知受影响的患者。

该医院对此解释称,由于无法在事发时及时确定是否有患者信息被包含在被入侵的电子邮件中,出于谨慎考虑,医院检查了帐户中的电子邮件和附件,以确定事件的影响范围。通过审查,最终确定了部分患者信息被包含在电子邮件帐户中,可能会受到影响后,才开始进行通知。

据悉,暴露的数据主要包括患者姓名、地址、出生日期、病历号、健康保险信息以及诊断和治疗详细信息。攻击者还访问了部分患者的社会安全号码和驾驶执照号码。

事后,该医院在一家外部法证公司的帮助下展开了调查。表示将会为受影响的患者提供免费的信用监控和身份保护服务。并表示,将采取其他安全措施以防止未来事故的发生,包括对内部工作人员的培训。

Alomere Health是位于美国明尼苏达州亚历山大市的一家普通医疗外科医院,曾获得医疗机构认证计划(HFAP)的认可,拥有III级创伤中心,并两次被汤森路透评为百佳医院之一。

本文版权归原作者所有,参考来源:E安全 http://dwz.date/eu7

 

(十一)美国拉斯维加斯市政府遭受网络攻击

据外媒报道,拉斯维加斯官员表示,该市在2020年1月7日凌晨4:30计算机系统遭受了网络攻击,但目前尚不清楚是否有任何敏感数据遭到破坏。该市的信息技术部门迅速反应,正在采取广泛措施来保护系统。

该市发言人David Riggleman表示,该市正在评估是否有城市或公共数据遭到破坏,并预计会在两天内更新详细信息。该市每月平均面临279,000次违反其系统的尝试。该市每月大约会收发200万封电子邮件,攻击者可能是通过电子邮件破坏了该市的网络。

天地和兴工控安全研究院翻译整理,参考来源:拉斯维加斯评论报 http://dwz.date/eu6

 

(十二)美国科罗拉多州Erie镇遭受BEC诈骗汇款超100万美元

据外媒《丹佛邮报》报道,美国科罗拉多州Eire镇近日遭受了BEC诈骗,向一名冒充是该镇雇佣建造伊利百汇大桥的建筑公司的人士汇款了101万美元。

2019年12月30日,伊利镇行政长官Malcolm Fleming发送了一封电子邮件,称该镇已经向某人付款,该人要求更改伊利百汇大桥上的建筑工作付款方式,但未意识到该人未在SEMA Construction工作。SEMA Construction是伊利百汇大桥的主要承包商。10月21日,一名身份不明的嫌疑人在该镇的网站上填写了一份电子表格,要求更改SEMA如何收取其工作付款。

Fleming在电子邮件中表示,工程款变成是通过电子转帐而不是支票接收付款。 尽管该镇的工作人员检查了表格上的某些信息是否准确,但他们没有向SEMA Construction核实所提交信息的真实性。他们接受了表格并更新了付款方式。

10月25日,该镇为SEMA处理了两笔付款,总金额超过101万美元。据该镇工作人员说,付款已发送到未经SEMA授权的帐户。一旦付款进入该帐户,这种欺诈行为的肇事者通常就会通过电汇将钱汇出国外。11月5日,该镇的银行通知该镇工作人员潜在的欺诈行为。当Erie镇工作人员联系SEMA进行付款时,公司表示他们未收到付款,并确认他们不要求更改付款方式。

Fleming说,这些资金来自交通影响基金,该基金涵盖多个项目,并且有足够的余额来暂时弥补保险索赔之前的损失。据Erie镇工作人员说,没有证据表明任何该镇工作人员从事过任何犯罪活动或有任何犯罪意图。银行通知该镇后,该镇的财务总监从网站上删除了表格,除非经过适当验证,否则将停止通过电子资金转账方式向卖方付款。

目前该镇正在积极使用从调查中收集到的其他信息来识别潜在风险并减轻这些风险。目前已有员工因此事件引咎辞职。

天地和兴工控安全研究院翻译整理,参考来源:丹佛邮报 http://dwz.date/euz

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号