安全研究
全部分类

关键信息基础设施安全动态周报【2020年第6期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-02-14 14:55
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第6期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第6期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第6期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-02-14 14:55
  • 访问量:
详情

  目 录

  第一章 国内关键信息基础设施安全动态

  (一)境外黑客组织欲攻击我国视频监控网络

  第二章 国外关键信息基础设施安全动态

  (一)世界三大制造商的IoT设备通过供应链攻击感染恶意软件

  (二)工业网络成为地缘政治角逐的新战场

  (三)多个网络犯罪分子利用冠状病毒为主题的电子邮件传播恶意软件

  (四)OT攻击数量激增2000%以上

  (五)黑客可通过屏幕亮度窃取物理隔离计算机中的敏感数据

  (六)西门子修复了多个产品中的高危DoS漏洞

  (七)石油公司沙特阿美遭受网络攻击数量增加

  (八)FBI警告针对供应链软件提供商的黑客攻击

  (九)思科发现协议CDP中存在多个高危漏洞

  (十)美德控制瑞士加密技术公司Crypto AG窃听120个国家情报

  (十一)2020-2022美国反情报战略出台 称外国情报威胁日益严峻

  (十二)伊朗再次遭受大规模DDoS攻击致互联网连接率降低25%

  (十三)对大型金融机构的网络攻击可引发流动性危机

 

  第一章 国内关键信息基础设施安全动态

  (一)境外黑客组织欲攻击我国视频监控网络

  据国家网络与信息安全通报中心监测发现,近日有境外黑客组织扬言将于2020年2月13日对我国视频监控系统实施网络攻击破坏活动,并声称已掌握我国境内大量视频监控设备权限。

  

  

      黑客同时声称已掌握我国境内大量摄像头控制权限,并公布了其掌握的一批相关视频监控系统在用境内IP地址。经核实发现这些受控目标均为国内的视频产品厂商监控设备,请部署过该产品的用户及时进行防护。经分析,我国视频监控系统存在一定的漏洞安全隐患和数据泄露风险,可能成为境外黑客发起攻击的薄弱环节。

  

 

  CNCERT建议各单位和相关用户及早排查风险隐患,提前做好防范应对,具体建议如下:

  1、清点盘查,做好网络设备资产和数据安全管理,关闭不必要的网络服务和端口,设置强密码,加强登录审计,降低入侵风险。

  2、查缺补漏,及时跟进在用产品补丁情况,实时检测并修复系统安全漏洞,针对视频监控系统排查弱口令漏洞、后门漏洞、未授权访问漏洞、登录绕过漏洞等风险,并对境外黑客已声称探测的CVE-2019-0708(Windows远程桌面服务远程代码执行漏洞)、CVE-2009-3103(Windows畸形SMB报文远程拒绝服务漏洞)等漏洞进行重点关注,加强边界管理。

  3、强化预警,建立健全网络安全应急机制,做好数据备份,加大监测力度,发现威胁后,及时进行处置。

  本文版权归原作者所有,参考来源:国家网络与信息安全信息通报中心 https://dwz.cn/nLsYFO3D

  

       第二章 国外关键信息基础设施安全动态

  (一)世界三大制造商的IoT设备通过供应链攻击感染恶意软件

  2020年2月7日,《安全周刊》援引安全公司TrapX Security题为《新的恶意软件活动利用嵌入式设备漏洞攻击制造商》报道,称相继在世界三大制造商(未透露其名称)所使用的设备中(包括自动引导车辆、打印机和智能电视)发现了挖矿活动,跟踪分析后发现是这些运行着Windows7操作系统的设备感染了一种名为柠檬鸭( Lemon_Duck)的恶意软件。TrapX Security的专家确信这是一起供应链攻击,尽管其并未透露这一结论的更多证据。这一事件再次敲响了IoT安全的警钟,警示我们务必谨记这样的基本事实。一是供应链安全虽然是个历久弥新的话题,但从未像今天这样令人担忧。如何在入口处管控第三方设备、应用的风险,成为关键信息基础设施领域必须优先考量的战略选项。二是工业领域的存量威胁和风险面临爆发的危险。就像已经停服的WindowsXP/Windows7这样的老旧操作系统,已成为其所在系统的天然短板和弱点,随时都可能被攻陷。Statcounter和NetMarketShare的最新数据显示,估计全球超过10亿台PC中,约有30%仍在使用Windows7。据Statcounter称,在美国,这一比例略低于18%。三是IoT安全从来就不是一个单一的嵌入式操作系统、应用程序、数据、连接的问题,需要运用系统思维加以综合应对。

  天地和兴工控安全研究院翻译整理,参考来源:安全周刊 https://dwz.cn/G85yB2wC

  (二)工业网络成为地缘政治角逐的新战场

  知名工业安全公司Claroty联合创始人Galina Antova本月11日在《安全周刊》发表文章《工业网络成为地缘政治斗争的新战场》称,有充分的证据表明,民族国家敌手正在将能源和其他关键基础设施领域作为攻击目标。这些网络的运营至关重要,因此对于攻击者而言更具有价值。预计可以看到更多攻击,这被视为推进地缘政治进程的一种经济战形式。民族国家敌手已经越过了红线,在更传统的领域中构成战争。然而,到目前为止,西方国家政府还没有做出适当的回应,这进一步鼓励了俄罗斯民族国家攻击者的胆识。以己度人,转换立场,同样的警示也适用于我国的关键基础设施领域。特别是网络空间安全工作中OT安全也明显落后IT安全的背景之下,更需要彻底抛弃那种“我不是攻击目标”的不切实际的幻想,切实引入“敌情想定”的思想,扎实推进关键基础设施安全防御工作。

  天地和兴工控安全研究院翻译整理,参考来源:ICSCERT https://dwz.cn/pmVI17jb

  (三)多个网络犯罪分子利用冠状病毒为主题的电子邮件传播恶意软件

  近日,多家网络安全公司发现了网络犯罪分子使用冠状病毒为主题的电子邮件来发送恶意软件并进行网络钓鱼和欺诈。

  新型冠状病毒爆发最近引起了广泛关注并引起了全球恐慌。该病毒已命名为2019-nCoV和Covid-19。鉴于该病毒的影响,网络犯罪分子和欺诈者一直在利用恐慌来谋取自己的利益就不足为奇了。近日多家网络安全公司发现了有关利用冠状病毒爆发的网络威胁的警报,并且新的活动不断涌现。

  

 

  研究人员在本周的Proofpoint上发现了一项新活动,该活动利用了冠状病毒对全球运输的潜在破坏,攻击者将目标对准了制造业、工业、金融、运输、制药和化妆品等行业。在此行动中,据信位于俄罗斯和东欧的网络犯罪分子发送包含特制Word文档的电子邮件,这些文档的设置旨在利用2017年发现的Microsoft Office漏洞。如果成功利用了该漏洞,则AZORult信息的一种变体-窃取恶意软件已交付。

  Proofpoint和IBM在1月下旬的报告中表示,他们已经观察到为传送臭名昭著的Emotet银行木马而建立的恶意文件。该行动归因于一个知名的网络犯罪集团,针对的是日本用户。卡巴斯基监测到有活动通过PDF、DOCX和MP4文件传播恶意软件,声称提供有关新冠状病毒的信息。这些文件名暗示它们包括病毒防护说明、当前的威胁发展甚至病毒检测技术。

  

 

  至于网络钓鱼活动,据称最常见的网络钓鱼电子邮件来自世界卫生组织(WHO)和美国政府的疾病控制与预防中心(CDC)。Sophos发现的虚假的WHO电子邮件声称提供有关“有关冠状病毒传播的安全措施”的信息。AppRiver和KnowBe4发现的的伪造CDC电子邮件将其进一步发展,并通知收件人在他们所在城市已经确认了冠状病毒病例。这些电子邮件中包含的链接将用户带到一个网页,要求他们提供其电子邮件帐户的用户名和密码。

  Malwarebytes收到标题为“紧急:冠状病毒,我们今天可以收到你的支持吗?”的诈骗邮件。这些消息要求接收者进行捐赠,并通过一个指向香港卫生署网站的链接将其定向到应用程序。尽管恶意电子邮件和网络钓鱼网站不是特别复杂或设计得很好,但许多用户仍然可能从包括其工作设备在内的诱饵中获取诱饵,这对于没有有效安全系统的企业可能造成严重问题。

  Imperva报告称利用冠状病毒的垃圾评论活动急剧增加。这些行动的幕后工作人员已在各种网站上发布评论,以吸引用户使用虚假的药房和其他黑幕网站。

  天地和兴工控安全研究院翻译整理,参考来源:SecurityWeek https://dwz.cn/kEwaTPS9

  (四)OT攻击数量激增2000%以上

  IBM的2020 X-Force威胁情报指数报告总结了2019年的威胁态势,针对工业控制系统(ICS)和其他OT资产的攻击与去年相比增加了2000%以上,这些攻击中最常见的恶意软件是名为Echobot的Mirai变种。

  IBM表示,2019年针对OT资产的事件数量大于过去三年中监测到的活动。大多数OT攻击都涉及利用已知漏洞和密码喷雾尝试。

  

 

  IBM观察到的一些活动与知名的威胁参与者有关联。XENOTIME就是其中之一,该组织是2017年对沙特阿拉伯石化厂进行Triton/ Trisis恶意软件攻击的组织,该组织去年开始针对美国和亚太地区的电力公司。据报道,与伊朗有关的威胁行为者被追踪为APT33(又名Hive0016,Elfin和Holmium)去年也开始瞄准ICS。

  但是,IBM网络威胁情报专家Charles DeBeck告诉《安全周刊》,在ICS攻击中发现的“主要违规恶意软件”是Echobot,它是臭名昭著的Mirai IoT恶意软件的变体。Echobot于去年问世,它已经整合了两打以上的漏洞,包括针对企业和ICS产品的漏洞。

  Echobot使用的是专门针对ICS的CVE-2019-14931和CVE-2018-7841漏洞。CVE-2019-14931是影响三菱电机ME-RTU设备的未经身份验证的远程OS命令注入漏洞,CVE-2018-7841是影响Schneider Electric U.Motion Builder产品的远程命令执行漏洞。

  DeBeck表示,ICS攻击主要集中在制造业上,并且分布广泛。EchoBot是一个有据可查且长期运行的恶意软件变体,具有多种功能。IBM监测到持续不断的攻击,有趣的是,这种基础广泛的恶意软件正在介入以OT系统为目标的行动,这表明对该领域有更广泛的兴趣。但是,专家说,IBM尚未见到任何Echobot攻击,该恶意软件对受影响的组织造成了破坏或其他严重问题。DeBeck表示,虽然这些攻击可能已经广泛传播,但针对OT的针对性却是特定的。

  X-Force预计,随着各种威胁参与者计划并发起针对全球工业网络的新运动,针对OT / ICS目标的攻击在2020年将继续增加。在报告中显示,随着2019年发布了200多个新的与ICS相关的CVE,IBM X-Force的漏洞数据库显示,对ICS的威胁可能会继续增长。

  天地和兴工控安全研究院翻译整理,参考来源:SecurityWeek https://dwz.cn/iDRDEbGy

  (五)黑客可通过屏幕亮度窃取物理隔离计算机中的敏感数据

  以色列本.里安大学和Shamoon工程学院的专家在其最新发表的论文中,介绍了其进行的从物理隔离计算机中窃取敏感信息的研究和试验成果。专家们介绍了一个秘密的光通道,攻击者可以通过操纵屏幕亮度来泄漏(或渗出)物理隔离计算机中的敏感信息。该隐蔽通道是不可见的,即使在用户在计算机上工作时也可以使用。受感染的计算机上的恶意软件可以搜集敏感数据(例如文件、图像、加密密钥和口令等),并在用户看不见的屏幕亮度范围内对其进行调制。亮度的细微变化对于人类是不可见的,但是可以从诸如本地安全摄像机、智能手机摄像机或网络摄像机之类的摄像机拍摄的视频流中恢复。论文介绍了之前的相关工作,并讨论了该秘密渠道的技术和科学背景。在各种参数、不同类型的计算机和电视屏幕以及若干距离下检查了该渠道的边界。专家们还测试了不同类型的视频接收器,以演示隐蔽通道的可用性。最后,提出了针对此类攻击的相关防护对策。值得注意的是,现有的数据泄漏防护系统无法监视这种隐蔽通道。该团队早先披露过系列研究成果,如通过电力线路、 磁场、 红外摄像机、路由器指示灯、扫描仪、 硬盘活动指示灯、USB设备以及由硬盘驱动器、风扇和散热设施产生的噪音从物理隔离计算机上窃取数据,此次则是一种全新的窃取隔离计算机敏感数据的方法。虽然这种方式对设备、环境、场景的要求比较苛刻,普通的攻击者无论如何也难以企及。但正如该研究团队所言,对于那些具有坚定信心和充足资源的攻击者而言,这都不是问题。毫无疑问,这种新型攻击方式对相关高价值隔离网络的安全和保密提出了更严峻的挑战,同时再次对那些固有的“物理隔离保安全、保密靠物理隔离”思想敲响了警钟。

  天地和兴工控安全研究院翻译整理,参考来源:安全周刊 https://dwz.cn/eMVsFHBX

  (六)西门子修复了多个产品中的高危DoS漏洞

  西门子于本周二发布了2020年2月的补丁更新,修复了其多款产品中的严重DoS漏洞。涉及到的产品包括SIMATIC PCS 7、SIMATIC WinCC、SIMATIC NET PC、SIMATIC S7 CPU、S7-1500 CPU等。

  该公司已发布了许多新的通报,描述了其产品中发现的漏洞。根据其CVSS分数,许多安全漏洞已被归类为高严重性。

  如果启用了加密通信,则西门子SIMATIC PCS 7、SIMATIC WinCC和SIMATIC NET PC产品会受到高危的DoS漏洞影响,可通过将特制消息通过网络发送到目标系统来利用此漏洞。攻击不需要系统特权或用户交互。

  某些SIMATIC S7 CPU受到DoS漏洞的影响,未经身份验证的攻击者可以通过向TCP端口80或443发送特制的HTTP请求来利用此DoS漏洞。利用此漏洞的成功攻击将导致设备的Web服务器进入DoS状态。西门子在另一份公告中表示,其S7-1500 CPU也受到DoS漏洞的影响,可以通过向设备发送特制UDP数据包来利用该漏洞。

  西门子已通知其客户,其许多使用06.00之前的Profinet-IO(PNIO)堆栈版本的产品都容易受到DoS攻击,因为多个合法诊断包请求发送到DCE-RPC接口时,没有适当限制内部资源的分配。

  此外,西门子还发现了两个与SNMP消息处理相关的DoS错误,这些错误会影响几种西门子工业产品。

  如果SIPROTEC 4和SIPROTEC Compact继电器使用EN100以太网通信模块,则还会发现DoS漏洞。SIMATIC CP 1543-1通信处理器由于使用ProFTPD FTP服务器而受到远程代码执行和信息泄露漏洞的影响。ProFTPD缺陷是去年发现的。

  西门子的SCALANCE X交换机受到了Clickjacking漏洞的影响,SCALANCE S-600设备包含可用于XSS和DoS攻击的漏洞。在SSP Siveillance Access Suite的组件和用于建筑物管理的OZW Web服务器中也发现了缺陷。OZW漏洞使未经身份验证的攻击者可以访问项目文件。

  西门子已开始为某些受影响的产品发布补丁,并且正在为其余设备进行修复。同时,已为用户提供了解决方法和缓解措施。西门子本周发布的一份通报告诉客户,该公司正在进行BIOS更新,以解决因使用英特尔芯片而引起的缺陷。英特尔于2019年11月披露了相关漏洞。

  天地和兴工控安全研究院翻译整理,参考来源:SecurityWeek https://dwz.cn/yBig9Evj

  (七)石油公司沙特阿美遭受网络攻击数量增加

  近日,石油公司沙特阿美信息安全官员表示,自2019年第四季度以来,沙特阿美遭遇企图的网络攻击有所增加。

  沙特阿美首席信息安全官Khalid al-Harbi通过路透社的电话采访表示,整体而言,网络攻击的企图明显增加,但是该公司在攻击的最早阶段的防御非常成功。网络攻击的模式是周期性的,并且该公司观察到攻击的程度正在增加,并且将持续成为一种趋势。Al-Harbi对增长趋势和袭击规模的增加表示关切。过去几年,沙特阿拉伯的能源部门一直是网络攻击的目标。

  2012年8月,沙特阿美的30,000多个系统感染了Shamoon恶意软件。2016年12月,Palo Alto Networks 和Symantec的安全专家发现了对一家沙特公司的Shamoon恶意软件的新一波攻击。2017年1月,Palo Alto Networks的研究人员发现了针对虚拟化产品的新型Shamoon 2恶意软件。IBM X-Force事件响应和情报服务(IRIS)的研究人员认为Shamoon恶意软件是沙特阿拉伯与伊朗之间信息战的关键要素。2017年12月,安全公司FireEye和Dragos报告发现了一种新的恶意软件Triton,专门针对工业控制系统(ICS)设计。FireEye和Dragos都不会将Triton恶意软件归因于特定的威胁参与者,他们只是透露该恶意软件已用于针对一个未具名的关键基础架构组织的攻击,并导致中东某处的关键基础架构组织关闭。Cyber​​X的专家对恶意软件的样本进行了分析,提供了有关攻击的更多详细信息,并揭示了Triton可能是伊朗开发的,并曾经瞄准了沙特阿拉伯的组织。

  Harbi还透露,沙特阿美公司受到的是Emotet攻击,但是没有任何公开消息显示有针对性的攻击使用了通过恶意垃圾邮件活动在全球分发的流行恶意软件。Harbi表示目前无法将此攻击联系到特定到威胁组织。

  沙特阿美是全球最重要的石油供应国之一,其产品覆盖了全球石油供应的10%。

  天地和兴工控安全研究院翻译整理,参考来源:SecurityAffairs https://dwz.cn/IlnSEwTs

  (八)FBI警告针对供应链软件提供商的黑客攻击

  FBI向美国私营部门发出了正在进行的针对供应链软件提供商的黑客活动的安全警报,黑客正试图用远程访问木马RAT恶意软件Kwampirs感染公司。

  FBI在上周对私有行业发出的一份通知中表示,软件供应链公司将成为攻击目标,以获得受害人的战略合作伙伴和/或客户的信息,其中包括支持工业控制系统(ICS)进行全球能源生产、传输和分配的企业。除了针对供应链软件提供商的攻击外,该恶意软件还部署在针对医疗、能源和金融领域的公司的攻击。

  该警报未标识目标软件提供商,也未标识任何其他受害者。取而代之的是,FBI共享了IOC(妥协指示符)和YARA规则,因此公司可以扫描内部网络以查找最近攻击中使用的Kwampirs RAT的迹象。

  美国网络安全公司赛门铁克在2018年4月发布的报告中首先描述了Kwampirs恶意软件。赛门铁克表示,一个代号为Orangeworm的组织已经使用Kwampirs恶意软件来类似地瞄准为医疗保健部门提供软件的供应链公司。Orangeworm从2015年开始运营,主要攻击目标为医疗保健行业,次要目标包括制造业、信息技术、农业和物流业。虽然这些行业看似无关,但我们发现它们与医疗保健有着多重联系,例如生产直接出售给医疗保健公司的医疗成像设备的大型制造商,为医疗诊所提供支持服务的IT组织以及提供医疗服务的物流组织。保健产品。

  但是,FBI上周发出的特别警告表示,使用Kwampirs进行的攻击现已演变为以ICS行业,尤其​​是能源行业的公司为目标。代码分析的新证据表明,Kwampirs与Shamoon具有“大量相似性”,Shamoon 是由伊朗链接的黑客组织APT33开发的臭名昭著的数据清除恶意软件。恶意软件Shamoon在针对能源领域的数据清除攻击多次使用,特别是在石油和天然气领域。

  天地和兴工控安全研究院翻译整理,参考来源:ZDNet https://dwz.cn/BdothpjY

  (九)思科发现协议CDP中存在多个高危漏洞

  物联网安全公司Armis的研究人员在实施思科发现协议CDP时发现了五个严重漏洞。专家以CDPwn的身份跟踪该设备,并警告说攻击者可以利用这些问题来完全控制易受攻击的设备。

  Armis在思科发现协议CDP的各种实施中发现了五个关键的零时差漏洞,这些漏洞可以使远程攻击者无需任何用户交互即可完全接管设备。思科发现协议(CDP)是思科系统公司于1994年开发的专有数据链路层协议,用于共享有关其他直接连接的思科设备的信息,包括操作系统版本和IP地址。几乎所有思科产品(包括交换机,路由器,IP电话和摄像机)都实施了CDP。所有这些设备出厂时均默认启用CDP。

  CDPwn的四个漏洞是远程代码执行(RCE)漏洞,另一个是拒绝服务(DoS)缺陷。攻击者只有获得对目标网络的访问权限,才能利用这些缺陷,然后将特制的CDP数据包发送到目标设备。

  攻击者可利用RCE漏洞来破坏网络分段,过滤通过组织的交换机和路由器的公司网络流量,以通过拦截和更改公司交换机上的流量来利用中间人攻击来访问其他设备,从而泄漏敏感信息,例如来自IP电话等设备的电话以及来自IP摄像机的视频源。

  

 

  这些漏洞编号为CVE-2020-3120、CVE-2020-3119、CVE-2020-3118、CVE-2020-3111和CVE-2020-3110并且为高危漏洞。思科已发布了补丁程序来解决这些问题。

  天地和兴工控安全研究院翻译整理,参考来源:SecurityAffairs https://dwz.cn/rExQZmG5

  (十)美德控制瑞士加密技术公司Crypto AG窃听120个国家情报

  根据《华盛顿邮报》和德国电视二台报道称,数十年来,瑞士加密通信设备公司Crypto AG的“东家”一直是美国中央情报局和德国情报机关联邦情报局,这使得中央情报局、美国国家安全局和德国情报机关,能够看到这些国家和地区的大多数秘密情报。不过,前苏联和中国没有使用Crypto AG的加密技术。

  Crypto AG是瑞士一家加密通信设备公司,靠在第二次世界大战期间为美军生产密码编制设备发家。过去数十年以来,Crypto AG一直为全球逾120个国家和地区提供加密系统。

  通过Crypto AG掌握秘密情报的能力,使得美国在伊朗人质危机期间对伊朗各部门间的通信,在马岛战争期间对阿根廷的通信,在埃及-以色列在戴维营谈判和平协议期间对埃及总统安瓦尔·达特萨(Anwar Sadat)的通信了如指掌,对利比亚通信的监视证实卡扎菲政府参与了1986年西柏林舞厅爆炸案。据《华盛顿邮报》和德国电视二台称,在1980年代的两伊战争期间,80%至90%的伊朗通信都被监听。

  德国情报机关1990年代出售了持有的Crypto AG股权,中央情报局直到2016年还持有其股权。由于其他数字加密工具的广泛普及,以及一系列失误——包括Crypto AG一名销售人员1992年在伊朗被捕,Crypto AG的情报价值大大缩水。但这段历史也表明了美国政府对其他国家拥有部分通信基础设施带来的潜在安全风险的担忧,打压华为就是一个明证。

  美国中央情报局通过Crypto AG监听其他国家加密通信的细节,出自中央情报局下属情报研究中心2004年的一份报告,以及联邦情报局官员收集的“口述历史”。

  在中央情报局的文档中,Crypto AG被称作“Minerva”(密涅瓦,指智慧女神)。美国政府与Crypto AG的联系,发端于后者创始人鲍里斯·哈格林(Boris Hagelin)——在二战期间从挪威移居美国。

  1950年代末,美国政府成功说服哈格林,限制出售给其他国家的加密设备的加密强度,由美国政府补偿由此带来的损失。Crypto AG转向电子加密技术后,美国情报机构对它的影响更大了。Crypto AG 1967年推出的第一代电子加密设备,基本上完全是由美国国家安全局设计的。Crypto AG销售两种版本的加密系统——销售给盟国的是强加密版本,销售给其他国家的加密系统可以被“操纵”。

  Crypto AG不仅提供了大量情报——1980年,在国家安全局获取的其他国家外交等机密情报中,Crypto AG贡献了约40%——也给中央情报局和联邦情报局贡献了巨额收入。

  目前仍然有逾十个国家在使用Crypto AG的加密系统,但2月10日晚,瑞士政府吊销了Crypto AG的出口许可证。

  本文版权归原作者所有,参考来源:凤凰科技 https://dwz.cn/HI4Z3tus

  (十一)2020-2022美国反情报战略出台 称外国情报威胁日益严峻

  美国国家反间谍与安全中心(NCSC)周一(2月10日)发布了新战略,阐述了美国所面对的日益严峻的外国情报机构的威胁以及美国需如何应对这些威胁。

  《2020-2022年国家反情报战略》中提到,来自外国情报实体(foreign intelligence entity)的威胁正变得更加复杂和多样化,对美国利益造成了损害,针对美国的情报组织或个人也正在增加。这份战略表示,除了中国和俄罗斯在利用一切国家力量工具针对美国以外,古巴、伊朗、朝鲜等国,基地组织和黎巴嫩真主党等非国家组织,以及其他跨国犯罪组织等均对美国构成“重大威胁”。

  战略指出,境外情报机构或个体还拥日益成熟的情报能力和技术,其中包扩先进的网络工具、生物识别设备以及技术监控设备等等。战略还表示,虽然外国情报机构的目标大多是美国的联邦机构,但他们也将目标对准了一些私营部门和学术机构,并试图影响美国的公众舆论。

  这份战略列举了美国受外国情报实体打击最大的五个关键领域:关键基础设施、美国关键供应链、美国经济、美国的民主以及网络和技术行动。战略说,在这些领域,需要对能力和资源进行投资,以加强国家安全。

  美国国家反间谍与安全中心提出了几项建议,以着手应对外国间谍活动带来的威胁,比如建立伙伴关系和信息共享,确定资源需求,以及针对威胁设计新的“技术对策”等。这份战略还指出,美国必须利用所有国家力量工具,包括进攻性和防御性的反情报措施,来应对这些日益严峻的挑战。

  美国国家反间谍与安全中心主任威廉·伊万尼纳(William Evanina)说,美国面临的威胁已“不再是美国政府可以单独解决的问题。这需要全社会的响应,包括私营部门、知情的美国公众以及我们的盟友。”伊万尼纳一直以来都警告说,中国的间谍活动对美国构成了严重的威胁。在上周举行的一次有关反击中国对美国的间谍活动和盗窃美国技术与科技机密活动相关的“经济劣行”会议上,伊万尼纳就表示:“中国盗窃的美国贸易机密给我们国家每年造成的损失在3000亿到6000亿美元之间。”

  外国的间谍活动不仅威胁到美国国家安全,而且影响到美国的经济活力和社会的安全。就在这份战略发布的同一天,美国指控四名中国军方黑客在2017年入侵了美国信用报告机构“易速传真”(Equifax),窃取了成千上万美国公民的个人信息。

  本文版权归原作者所有,参考来源:VOA https://dwz.cn/AbPI2t5Y

  (十二)伊朗再次遭受大规模DDoS攻击致互联网连接率降低25%

  当地时间2020年2月8日周六上午,伊朗的电信网络遭到了持续好几个小时的大规模DDoS攻击,该国的有关部门已发表初步声明,称将关闭互联网以抵制对该国基础设施的网络攻击。

  数据显示,从当地时间上午11:45开始,与伊朗多家领先网络运营商的连接性明显下降,从而影响了蜂窝和固定电话运营商。一小时后,部分网络恢复,其余网络在事件发生后约七个小时恢复。在早晨的一段时期内,全国网络连通性下降至正常水平的75%。

  此次网络中断对有些网络运营商产生了持续影响。ICT的官员表示伊朗的数字堡垒(Dejfa)阻断了DDoS攻击。技术数据证实,该国的基础设施受到攻击时,网络已被禁用。

  

 

  ICT高级官员Sajjad Bonabi表示目前尚未发现该攻击事件是来自国家赞助威胁者的迹象。攻击的来源和目的地高度分散,DDoS攻击使用了来自东亚和北美的欺骗性源IP。

  伊朗近几个月来一直面临一系列网络中断,其中一些原因是外部因素,其他原因是国家控制公众抗议的信息控制。2019年12月19日,伊朗遭受国际网络故障影响,该网络故障还导致Google服务受到广泛破坏,并引发了对故意阻止的担忧。2019年11月,在大规模的公众抗议中,伊朗故意关闭了互联网访问,导致所有移动网络都断开连接,随后全国互联网几乎全部停电,电话服务部分关闭了几天。

  代号为数字堡垒(Digital Fortress)的网络安全项目(波斯语Dejfa)旨在保护该国免受针对伊朗基础设施和在线业务的日益严重的网络威胁,保护公民的隐私,阻止对基础设施的网络攻击,帮助维持数字服务,打击数据泄露和在线欺诈,以及检测网络中的恶意软件并阻止其传播。

  天地和兴工控安全研究院翻译整理,参考来源:Netblocks https://dwz.cn/3feDWrhQ

  (十三)对大型金融机构的网络攻击可引发流动性危机

  欧洲央行行长克里斯蒂娜•拉加德警告说,对大型金融机构的网络攻击可能引发流动性危机。拉加德援引欧洲系统性风险委员会(ESRB)的报告调查结果显示,预计全球网络攻击的成本在450亿美元至6540亿美元之间。

  拉加德表示,作为关键基础设施的运营商,欧洲央行显然非常重视此类威胁。历史表明,流动性危机可以迅速变成系统性危机。欧洲央行深知,其有责任做好准备并采取先发制人的行动。

  拉加德表示,全球风险是相互关联的,世界经济论坛发表的报告每年都在说明这一概念。在《2020年全球风险报告》中的图表显示,网络攻击的风险具有很高的可能性和很大的影响。网络攻击的风险与其他风险之间有紧密的联系,如关键基础设施故障、社会动荡和财政危机等。

  

 

  在最近的董事会会议上,欧洲系统性风险委员会(ESRB)警告说,网络战是金融系统风险的主要来源。去年,七国集团(G7)宣布了一项针对影响其金融体系的网络事件的联合跨境危机管理演习,该演习于2019年6月进行,称网络风险正在增加,对稳定和稳定构成真正和日益严重的威胁。这是财政部、中央银行、监管机构和金融市场当局的首次此类活动。

  欧洲中央银行于2018年发布了欧洲测试金融部门应变网络攻击能力的框架,该框架旨在模拟网络攻击对欧盟银行业关键系统的影响。此举是对过去几年打击金融业的众多网络抢劫者的反应,例如对SWIFT系统的攻击以及对荷兰三大银行的在线和移动服务的攻击。该框架还包括红队的参与,以进行脆弱性评估和对金融部门公司使用的系统的渗透测试。

  2018年5月,欧洲中央银行(ECB)发布了基于欧洲基于威胁情报的道德红队框架(TIBER-EU),这是欧洲第一个针对金融市场中针对网络攻击的受控和定制测试框架。该框架的主要目标是在多个机构的监督下促进对跨境实体的测试, 目的是帮助组织衡量其检测和响应网络攻击的能力。

  天地和兴工控安全研究院翻译整理,参考来源:SecurityAffairs https://dwz.cn/yvU8COog

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号