安全研究
全部分类

关键信息基础设施安全动态周报【2020年第1期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-01-03 12:37
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第1期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第1期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第1期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-01-03 12:37
  • 访问量:
详情

目   录

第一章国内关键信息基础设施安全动态

(一)土耳其黑客组织“图兰军”本月成立,专门攻击中国

第二章国外关键信息基础设施安全动态

(一)美国物联网设备供应商Wyze确认服务器数据泄漏

(二)美国海岸警卫队披露海上设施遭受勒索软件Ryuk攻击

(三)葡萄牙政府财政和税收部门电子邮件传播Lampion新型木马

(四)荷兰马斯特里赫特大学遭受勒索软件攻击

(五)托管服务商Synoptek遭受勒索攻击 影响数千客户

(六)纽约特奥会遭受黑客攻击发送钓鱼邮件

(七)美国多家医疗机构遭受恶意软件攻击

(八)联合国批准俄罗斯有关网络犯罪决议草案

(九)爱尔兰发布《国家网络安全战略》

(十)微软成功清理与朝鲜黑客攻击有关的50个域名

 

第一章国内关键信息基础设施安全动态

(一)土耳其黑客组织“图兰军”本月成立,专门攻击中国

近期有情报显示土耳其黑客组织图兰军于2019年12月22成立,该组织将中国列为第一目标,所有中文站点,都在攻击范围之内。
土耳其网站https://www.turkhackteam.org/是一个黑客论坛,网页共有16屏,有88万会员,700多万帖子,用户体验并不友好。该论坛内容非常全面,有各类编程语言培训、卫星技术、及和IT有关的各类内容。

其中有一个帖子突然宣布要攻击中国网站并宣布正式成立组织。他们的宣言为:朋友们,你们都在关注议程。不幸的是,中国在东突厥斯坦对维吾尔族土耳其人的不人道折磨已使人们陷入冷血的境地。我们不会保持沉默。今天(2019/12/22)宣布成立的图兰军已将中国作为第一个目标。截至目前,所有中文站点均可自由攻击。每个人都可以参与攻击活动,无论经理、团队、成员的等级如何。

该帖子是由论坛管理员发布的,号召力很强,有人回应,并有一些国内网站被黑。战果在www.zone-h.org有展示。

被攻击的网站会被跳转到带有图兰军logo的页面。

百度搜索显示一些网站已经被黑,涉及一些政府部门网站,及不少国外网站。

提醒各单位做好防护工作,网络安全管理员提高重视,多检查漏洞及多查看网站源代码。

本文版权归原作者所有,参考来源:大连市网络安全 http://dwz.win/xE4

 

第二章国外关键信息基础设施安全动态

(一)美国物联网设备供应商Wyze确认服务器数据泄漏

2019年12月29日,美国物联网设备供应商Wyze证实发生了服务器数据泄漏事件,该事件泄露了大约240万客户的详细信息,该240万用户的详细信息在网上暴露了22天。

Wyze联合创始人宋东升在圣诞节期间发表论坛帖子说,该事件是内部数据库意外暴露在网上导致的。宋说,曝光的数据库是一个Elasticsearch系统,不是生产系统。但是,服务器存储着有效的用户数据。Elasticsearch服务器运用了一种支持超快速搜索查询的技术,旨在帮助该公司对大量用户数据进行分类。

对此,Wyze高管表示:为了帮助管理Wyze快速增长的用户群体,我们最近启动了一个新的内部项目,用来衡量基本的业务指标,例如设备激活、连接失败率等。我们从主要生产服务器复制了一些数据,并将其放入更灵活的数据库中,以便于查询。最初创建此新数据表时,该数据表是安全的。但是,Wyze员工在12月4日使用此数据库时犯了一个错误,导致该数据表先前的安全协议被删除。我们仍在调查此事件,以找出发生原因和方式。

泄漏数据的服务器是由网络安全咨询公司Twelve Security发现并记录的,并由IPVM(致力于视频监控产品的博客)的记者进行了确认。宋对Twelve Security和IPVM双方处理数据泄露的方式表示不满,在公开调查结果之前,Wyze仅用了14分钟的时间解决了数据泄漏的问题。

宋确认该服务器暴露了客户的详细信息,例如用于创建Wyze帐户的客户电子邮件地址、为Wyze安全摄像头分配的昵称用户、WiFi网络SSID标识符以及24000位用户的AlexaToken,Wyze设备通过这些登录授权可以连接到Alexa设备。

Wyze高管否认Wyze API登录授权是通过服务器公开的。Twelve Security在其博客文章中声称,他们找到了API Token,他们说这些Token可以使黑客任意访问iOS或Android设备的Wyze帐户。其次,宋还否认了Twelve Security的说法,即他们正在将用户数据发送回中国的阿里云服务器。第三,宋还澄清了Twelve Security声称Wyze正在收集客户的健康信息。Wyze高管说,他们只收集了正在对新的智能秤产品进行Beta测试的140位用户的健康数据。宋没有否认Wyze收集的身高、体重和性别详细信息。但是,他确实否认了其他的收集信息。

就目前而言,涉及该事件披露的三方在一些具体泄漏的细节方面似乎不一致。不论如何,Wyze都表示决定强制注销所有Wyze账户。与所有第三方应用程序集成不同,在用户重新登录并将Alexa设备重新连接到Wyze帐户这两个步骤之后,就可以生成新的Wyze API Token和Alexa Token。

本文版权归原作者所有,参考来源:Freebuf http://dwz.win/xEc

 

(二)美国海岸警卫队披露海上设施遭受勒索软件Ryuk攻击

圣诞节前夕12月16日,美国海岸警卫队(USCG)发布了一项海上安全公告,通报海上设施遭受了Ryuk勒索软件感染导致其瘫痪了30多个小时。该海上设施受《海上运输安全法》(MTSA)监管。

目前事件仍在调查中,USCG表示攻击的入口点可能是给一名海事设施雇员发送的恶意邮件。一旦员工点击了电子邮件中的嵌入式恶意链接,勒索软件就使威胁者能够访问重要的企业信息技术(IT)网络文件并对其进行加密,从而阻止了该设施访问关键文件。

Ryuk勒索软件还感染了工业控制系统,该系统监视和控制货物转移以及对过程操作至关重要的加密文件。该恶意软件破坏了整个企业IT网络,包括摄像头和物理访问控制系统。该公司被迫关闭工厂的主要运营超过30个小时。

USCG建议,可使用以下的措施限制MTSA设施违规并减少恢复时间:入侵检测和入侵防御系统,可监控实时网络流量;行业标准和最新的病毒检测软件;集中和受监控的主机和服务器日志记录;网络分段以防止IT系统访问运营技术(OT)环境;所有关键文件和软件的一致备份;最新的IT / OT网络图。

天地和兴工控安全研究院翻译整理,参考来源:cyware http://dwz.win/xEj

 

(三)葡萄牙政府财政和税收部门电子邮件传播Lampion新型木马

2019年最后几日,葡萄牙政府财政和税收部门的电子邮件模板传播了新型钓鱼木马“Lampion”。

该电子邮件与年度税收申报IRS有关,所有收到此邮件的公民都有可能被感染,因为年底是申报此表格的最佳时机。

该恶意软件名为“ Lampion”,据分析,该软件看起来像Trojan-Banker.Win32.ChePro家族,但进行了改进,使其难以检测和分析。当受害者单击电子邮件正文中的链接时,就会从在线服务器下载一个名为 FacturaNovembro-4492154-2019-10_8.zip的压缩软件。

提取文件后,显示三个文件。文件“ FacturaNovembro-4492154-2019-10_8.vbs ”是Lampion感染链的第一阶段。这是一个Visual Basic脚本(VBScript)文件,充当拖放程序和下载程序。它从Internet上可用的受感染服务器上的AWS S3存储桶下载下一阶段。

木马Lampion使用反调试和反VM技术。使用称为VMProtector 3.x的商业保护程序   以及特制代码使在沙箱环境或手动分析都变得困难。执行VBScript文件后,会下载两个文件: P-19-2.dll和0.zip 。 P-19-2.dll文件(Lampion)是在受影响的计算机启动时在VBScript执行期间执行的PE文件。该文件将调用第二个文件0.zip,该文件是一个DLL文件,在C2上带有其他代码,以及木马如何从用户计算机中获取详细信息。

Lampion木马(P-19-2.dll)由SI-LAB发送到VirusTotal,来自71个引擎的12个引擎将其归类为恶意软件。这明确表明大多数防病毒引擎尚未检测到恶意软件签名。

将从计算机磁盘,打开的窗口,剪贴板和银行凭证中获取的详细信息收集并发送到Internet上可用的C2。仅当DLL(在0.zip文件中)在执行该目录的目录中可用时,该恶意软件才会运行。

接收这种性质的电子邮件的用户应注意,因为这些文件的检测率较低,并且将从受害者计算机中提取敏感信息,包括银行凭证。对于葡萄牙公民来说,在这个假期里要特别注意,因为这是一项持续不断的目标运动。

天地和兴工控安全研究院翻译整理,参考来源:Security Affairs http://dwz.win/xEe

 

(四)荷兰马斯特里赫特大学遭受勒索软件攻击

圣诞节前夕2019年12月23日,荷兰马斯特里赫特大学(UM)宣布其遭受到了严重的网络攻击,几乎所有Windows系统都已被勒索软件加密,电子邮件服务无法使用,UM正在研究解决方案。 

为了尽快的恢复安全工作,UM暂时下线了所有系统,学生和员工会分批恢复系统访问。鉴于该攻击影响了UM的绝大多数计算系统,因此尚无法估计恢复所有受影响的计算机所需的时间,也尚不清楚攻击者是否在加密前就从系统中窃取了数据。UM的IT部门员工及外部安全专家正在修复受影响的系统,并对网络攻击进行了取证调查,并报告给了相关执法部门。

UM是荷兰的一所优秀大学,拥有18,000多名学生,4,400名员工和70,000名校友,五个项目排名世界大学5001强。

天地和兴工控安全研究院翻译整理,参考来源:Bleeping Computer http://dwz.win/xEp

 

(五)托管服务商Synoptek遭受勒索攻击 影响数千客户

据外媒报道,Synoptek近日遭到勒索软件的攻击,导致业务无法正常运营,许多客户受到影响。加利福尼亚州的这家公司为美国全境的1000多个客户提供云托管和IT管理服务。据称该公司已支付了赎金,以期业务尽快恢复运营。

Synoptek曾在12月20日发布了一条推文(现已删除),提醒客户谨防基于网络钓鱼的网络攻击带来的危险;没料到未过三天,它就感染上了显然基于网络钓鱼的Sodinokibi勒索软件。

有关该事件的消息最先出现在Reddit上,在受此事件影响的公司工作的人发帖子抱怨。关于此事件的唯一官方声明是周五晚上来自该公司的Twitter页面,声称12月23日遭到了“登录信息泄密事件,不过现已得到了遏制”;Synoptek“立即采取了行动,一直在努力与客户共同收拾残局。” 

Synoptek未回复媒体的评论请求。但是在该公司工作的两名消息人士现已证实,他们的雇主遭到了Sodinokibi的攻击,这种危害性很大的勒索软件又叫“rEvil”,它对数据进行加密,要求以加密货币支付赎金,以换取解锁、重新访问被感染系统的数字密钥。这些消息人士还称,公司向勒索者支付了一笔未经证实的赎金,以换取解密密钥。

消息人士还证实,加利福尼亚州和美国国土安全部都已经与可能受此袭击影响的州和地方实体取得了联系。一位不愿透露姓名的Synoptek客户在了解这次攻击的简要情况后称,入侵者闯入到Synoptek系统后,使用一种远程管理工具将勒索软件安装在了客户端系统上。

就跟如今其他勒索软件团伙采取的手法一样,Sodiniokibi背后的黑客似乎专注于攻击IT提供商。个中原委不难理解:攻击后每过去一天,受攻击影响的客户就会在社交媒体上吐槽以示不满,这给提供商施加了更大的压力,只好花钱消灾。

Synoptek是一家总部位于美国的托管服务提供商,为众多行业的1100多个客户维护各种基于云的服务,包括州和地方政府、金融服务、医疗保健、制造、媒体、零售和软件等行业。据其官网显示,该公司拥有近一千名员工,过去一年的收入超过1亿美元。

本文版权归原作者所有,参考来源:云头条 http://dwz.win/xEE

 

(六)纽约特奥会遭受黑客攻击发送钓鱼邮件

圣诞节前后,关注特殊智力残疾运动员的非营利组织纽约特殊奥林匹克运动会(Special Olympics of New York)的电子邮件服务器遭受黑客攻击,用来向之前的捐款人发起针对性钓鱼攻击。

攻击者发送的钓鱼邮件伪装成即将进行的捐赠交易警报,交易将在两个小时内自动从受害者帐户中扣除1,942,49美元。如此短的时间会使受害者产生一种紧迫感,迫使他们点击邮件中的两个超链接,使其重定向到PDF版本的交易说明。

钓鱼邮件使用Constant Contract来跟踪URL,受害者一旦点击链接,就会被URL重定向到攻击者制作的登录页面。目前该页面已下线,该页面用来窃取受害者的信用卡信息。

该非营利组织向受影响的捐赠者发送了通知,披露了此次安全事件,并提示不要理会收到的信息,并表示此次黑客攻击了通讯服务器,其中只有联系信息,并不涉及财务数据。

纽约特奥会为纽约州67,000多名智障儿童和成人提供体育训练和体育比赛。

天地和兴工控安全研究院翻译整理,参考来源:Bleeping Computer http://dwz.win/xEy

 

(七)美国多家医疗机构遭受恶意软件攻击

圣诞节前夕,网络攻击者并没有休息,并且加班加点的攻击了美国圣安东尼奥市卫生保健服务中心(CHSC)及新墨西哥州罗斯福总医院(RGH)。

2019年12月24日,据圣安东尼奥快报报道,CHSC遭受了大规模网络攻击,导致CHSC关闭其所有的计算机系统。该事件目前正在接受美国联邦调查局(FBI)和美国特勤局的调查,他们认为这是针对多个组织系列攻击的一部分。在受到执法人员的警告后,CHSC的IT部门将受到感染的部分隔离到了单独的系统中。

CHSC是得克萨斯州圣安东尼奥市一家为患有精神健康疾病、药物使用问题、以及智力或发育障碍的成年人和儿童提供各种心理健康服务的机构。

2019年12月23日,RGH发布了安全事件通知,披露了其上个月11月14日一台放射学服务器遭受了恶意软件攻击。据报道,该事件中泄露了500份病历,包括姓名、地址、出生日期、驾驶执照号码、社会保险号、电话号码、保险信息、医疗信息、及性别。

在检测到恶意软件后,医院的IT专家立即保护并恢复了受影响的服务器,同时确保恢复了所有患者信息。RGH建议收到安全事件通知的所有患者主动监视其信用报告以发现潜在的欺诈企图。

天地和兴工控安全研究院翻译整理,参考来源:Bleeping Computer http://dwz.win/xEu

 

(八)联合国批准俄罗斯有关网络犯罪决议草案

2019年12月27日,俄罗斯向联合国提交一项旨在打击网络犯罪的决议草案,遭到美国和其盟友的反对。俄媒28日称,该项议案已经获得联合国大会通过。

据今日俄罗斯28日报道,尽管美国及其盟国强烈反对,联合国仍然通过一项新决议,为世界各地专家共同努力制定一项打击网络犯罪的新条约而铺平道路。这项协议草案由俄罗斯和其他47个国家联合起草,并交由联合国193个国家投票,最终以79票赞成、60票反对、33票弃权的结果获得通过。报道称,该决议呼吁联合国大会成立一个代表世界各地的专家委员会,以制定一项全面的国际公约,用于打击将信息和通信技术犯罪的行为。

另据塔斯社消息,俄罗斯常驻联合国副代表库兹明(Gennady Kuzmin)表示,该委员会预计将于2020年8月举行第一次会议,概述其活动。他也补充道,打击网络犯罪的斗争最终应成为一项真正的国际努力,并把所有国家的利益计算在内。

然而,这项倡议引起美国及其盟友的愤怒,这些国家认为新协定“实际上是损害,而不是加强打击网络犯罪”。美国代表沙蕾(Cherith Norman Chalet)称,各成员国之间就起草新条约的必要性或价值尚无共识,这“只会扼杀全球打击网络犯罪的努力。”与此同时,美方不断指责俄罗斯,意图控制网络空间。

对此,莫斯科方面予以驳斥:该决议反而赋予了每个国家对国家网络空间的主权,并巩固全球打击网络犯罪的努力。“至关重要的是,这个过程开放、包容、透明”,库兹明说。

俄罗斯联邦议会对新协议表示欢迎,并直言,美国坚决反对该决议仅表明,华盛顿不希望互联网受到国际控制。俄罗斯联邦委员会国际关系委员会负责人说,“华盛顿认为,互联网是在美国发明的,因此属于美国,美国人认为应该只为他们的利益服务。”

本文版权归原作者所有,参考来源:海外网 http://dwz.win/xEv

 

(九)爱尔兰发布《国家网络安全战略》

当地时间2019年12月26日,爱尔兰运输部部长亚历克斯·怀特(TD White)发布了爱尔兰《国家网络安全策略》,其中概述了政府将如何继续促进该国计算机网络和相关基础设施的安全。

该战略阐明了政府对安全和可靠的网络空间的愿景,以优化和促进信息系统的使用,以促进经济和社会增长,该战略概述了将采取的行动:继续提高网络在关键基础架构和公共服务中的弹性;提高对网络安全对企业和公民的重要性的认识,并支持他们保护其网络,设备和信息的安全;通过与教育系统,行业和学术界的合作,进一步发展全社会的网络安全文化;继续巩固爱尔兰作为技术和信息安全中心的全球声誉,并帮助促进爱尔兰成为ICT企业的首选地点。

通信,能源和自然资源部的官员一直在与其他部门的官员合作以实施这一策略。该战略包括一系列改善政府部门和机构使用的网络和信息安全的措施;继续参与欧洲和全球网络和信息安全论坛;教育和培训,以帮助公民和中小企业更好地保护自己的在线;为关键的国家基础设施所有者和公共部门机构制定结构化演习计划。为了支持该战略,将在通信,能源和自然资源部内正式建立国家网络安全中心,该中心将继续协调网络安全措施。

天地和兴工控安全研究院翻译整理,参考来源:爱尔兰通信、气候及环境部 http://dwz.win/xE9

 

(十)微软成功清理与朝鲜黑客攻击有关的50个域名

据外媒报道,微软刚刚清理了由朝鲜网络黑客组织APT37 运营的 50 个域名。微软表示,这些域名一直被 Thallium(APT37)组织用于发动网络攻击。通过持续数月的关注、监视和追踪,微软的数字犯罪部门(DCU)和威胁情报中心(MSTIC)团队得以理清 Thallium 的基础架构。

12 月 18 日,微软在弗吉尼亚法院向 Thallium 发起了诉讼。圣诞节过后不久,美当局即批准了法院命令,允许该公司接管被朝鲜黑客用于攻击目的的 50 多个域名。此前,这些域名常被用于发送网络钓鱼电子邮件和网站页面。黑客会诱使受害者登陆特制的站点,窃取凭证,从而获得对内部网络的访问权限,并执行后续针对内网的升级攻击。

微软表示,除了追踪该组织的网络攻击,该公司还调查了被感染的主机。微软企业客户副总裁Tom Burt 表示:攻击主要集中在美、日、韩三国的目标,受害者包括了政府雇员、智囊团、高校工作人员、平权组织成员、以及普通人。

在诸多案例中,黑客的最终目标是感染受害机器,并引入KimJongRAT 和 BabyShark 两个远程访问木马(RAT)。Tom Burt 补充道:“一旦将恶意软件安装在受害者计算机删,它就会从中窃取信息,保持潜伏并等待进一步的指示”。

当然,这并不是微软首次通过法院命令来阻断有外国背景的黑客组织的运作。此前,微软曾对有俄方背景的Strontium(又名 APT28 或 Fancy Bear)黑客组织发起过 12 次行动(上一次是 2018 年 8 月)、并成功撤下了 84 个域名,以及通过法院命令接管了与伊朗有关的网络间谍组织 Phosphorus(APT35)运营的 99 个域名。

本文版权归原作者所有,参考来源:cnBeta http://dwz.win/xEx

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号