安全研究
全部分类

关键信息基础设施安全动态周报【2019年第12期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-10-31 01:58
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第12期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第12期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第12期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-10-31 01:58
  • 访问量:
详情

  目 录

  第一章 国内关键信息基础设施安全动态简讯

  (一)工信部:加快完善工控安全贯标工作机制 形成多级联动支撑体系

  (二)信软司王建伟:夯实工控安全防护基础,助力制造业高质量发展

  (三)院长徐晓兰:系统推进工业互联网安全保障能力建设

  第二章 海外关键信息基础设施安全动态简讯

  (一)伊朗阿巴丹炼油厂疑似遭受网络攻击导致火灾

  (二)CyberX发布《 2020年全球物联网/ ICS风险报告》

  (三)德国制造商Pilz遭受BitPaymer勒索攻击现仍未恢复工作

  (四)芬兰炼油企业Neste大规模信息系统故障

  (五)Autoclerk数据库泄露美国政府人员敏感数据

  (六)DNC黑客APT29入侵欧盟多国外交机构

  (七)联合国,儿童基金会,红十字会官员成为近期网络钓鱼活动的目标

  (八)美国金融服务提供商Billtrust遭受恶意软件攻击后中断

  (九)美国高等法院系统被入侵并传播垃圾邮件

  第一章 国内关键信息基础设施安全动态简讯

  (一)工信部:加快完善工控安全贯标工作机制 形成多级联动支撑体系

  2019年10月10日,工业控制系统信息安全防护贯标活动启动会在南京召开。《工业控制系统信息安全防护指南》实施三年来,在部党组的统一部署和业界各方的共同努力下,工业控制系统信息安全初步形成了政策指导、标准支撑、产业创新的良好局面。

  工业和信息化部作为工控安全主管部门,重点开展了三方面工作:一是持续完善政策和标准体系,陆续发布了《工业控制系统信息安全防护指南》《工业控制系统信息安全行动计划(2018-2020年)》等政策文件,指导开展工控安全标准体系建设,通过贯彻落实相关政策标准,促使企业以较低成本实现了重大安全风险的防范。二是加快推动工控系统产业高质量发展,建成工业控制系统应用项目库,支持产学研用联合攻关,搭建供需对接平台,助力产品的应用推广,形成了一批典型行业工控安全解决方案;三是加快工控安全保障能力建设,按照《行动计划》有关部署,已建成覆盖8个省市、200余家企业的国家工控安全在线监测网络,初步构建了攻防靶场、应急资源库及工业控制系统检测环境等基础设施。

  下一步,工业和信息化部将指导相关单位,一是加快完善工控安全贯标工作机制,扎实推进贯标,切实提升企业安全防护水平;二是深化产学研用协同攻关工作机制,培育产业良好发展生态;三是加快落实“一网一库三平台”建设要求,进一步强化综合安全保障能力;四是充分调动地方资源,建设地方贯标队伍,形成多级联动的支撑体系。

  本文版权归原作者所有,参考来源:凤凰新闻

  (二)信软司王建伟:夯实工控安全防护基础,助力制造业高质量发展

  制造业是立国之本、强国之基,是实体经济的核心构成。制造业高质量发展要求以提质增效为重点,加快结构调整,推动发展方式转变,实现新旧动能转换。工业控制系统是制造业的神经中枢,其安全防护事关工业生产稳定运行,事关人民生命财产安全。近年来,针对工业控制系统的网络攻击呈现出显著的政治、军事和经济意图,工业控制系统逐渐成为网络空间对抗的主战场,提升我国工控安全防护水平已成为实现制造业高质量发展的重要基础。

  一、厘清防护基础要素,筑牢高质量发展安全根基

  提升工控安全防护水平,必须厘清安全防护的基础要素,从供给侧和需求侧双向出发,有的放矢地开展工控安全工作,打牢制造业高质量发展的安全基础。

  从供给侧看工控安全防护基础要素。一是核心技术产品的攻关。强化工业控制系统核心技术研究和关键产品研发能力,研制具备内生安全功能的产品,促进安全防护与业务场景有效衔接,是提升工控安全防护水平的根本途径。二是安全服务能力的提升。建设威胁可知、风险可控的技术防控能力,构建国家、地方、企业多级协同的技术保障体系,是提升工控安全防护水平的主要手段。三是产业发展生态的建设。构建多方协作机制,汇聚产业链上下游优势资源,充分释放产业集聚的叠加和倍增效应,培育具备国际竞争力的龙头骨干企业,是提升工控安全防护水平的重要保障。四是基础共性标准的应用。加快关键技术标准、核心产品标准和重点应用标准的研制,推动标准广泛应用,是提升工控安全防护水平的基本要求。

  从需求侧看工控安全防护基础要素。一是安全主体责任的落实。建立与企业信息化发展战略相匹配的安全管理制度和技术防护体系,加大安全工作的人力、资金和技术投入力度,是提升工控安全防护水平的基本前提。二是技术防护能力的建设。促进工控安全防护解决方案与企业信息化建设深度融合,构建与实际生产环境紧耦合的安全防护策略,是提升工控安全防护水平的必然要求。三是专业人才队伍的培育。培养工业自动化和网络安全复合型人才,加强专业技能培训,建立人才选拔机制,是提升工控安全防护水平的核心关键。

  二、落实防护指南要求,提升工控安全综合防护水平

  习近平总书记指出,网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。为应对制造业发展中面临的网络安全风险,规范企业安全管理制度和技术防护体系建设,进一步夯实工控安全防护基础,2016年10月17日,工业和信息化部正式印发了《工业控制系统信息安全防护指南》(以下简称《指南》)。《指南》坚持企业的主体责任及政府的监管、服务职责,聚焦系统防护、安全管理等安全保障重点,提出了11项具体防护要求,为企业开展安全防护提供了根本依据。《指南》印发后,受到社会各界的高度关注,地方工信主管部门、工业企业、网络安全企业、工业控制系统厂商、科研机构等积极响应,在全国范围内形成了学习贯彻《指南》、落实防护要求的良好氛围。

  一是增强意识,开展《指南》宣贯培训。扎实推进《指南》落实工作,在全国范围内分区域、分阶段开展《指南》宣贯培训,累计培训各地工信主管部门和重点领域工业企业工控安全负责人1200余人,促进企业安全意识大幅提升。支持江苏、浙江、四川、广东等8个省市开展技术专题培训,帮助各地建立工控安全专业技术队伍。

  二是抓好落实,贯彻《指南》防护要求。引导产学研用依据《指南》防护要点,开展联合攻关和集成应用,研发具备安全功能的工业控制系统产品,促进内生安全水平提升。在冶金、石化、电力等重点行业,形成了一批安全解决方案。落实企业主体责任,以较低成本实现防护能力跃升,消减了自身面临的主要安全风险。

  三是提升能力,建设技术支撑服务体系。加强工控安全技术保障能力建设,围绕落实《指南》要求,初步形成了产品检测、态势监测、风险处置和事件响应能力。加快工控安全标准体系建设,推动《指南》配套国家标准、行业标准、团体标准制修订,增强标准供给能力,近三年,推动发布工控安全国家标准13项。

  《指南》发布以来,在工业和信息化部指导下,产学研用各方围绕落实《指南》开展了一系列工作,加快推动工控安全防护从理论研究进入概念普及和实践阶段,初步形成了政策指导、标准支撑、技术创新、产业协同的良好工作局面,工控安全综合防护水平显著提升,为守好制造业高质量发展的安全大门奠定了坚实基础。

  三、加强政策标准引领,护航高质量发展迈上新台阶

  目前通过落实《指南》,我国工控安全工作取得了阶段性成效,但同时也面临着不少困难和挑战。例如,部分企业落实工控安全防护主体责任还不到位;地方主管部门仍然缺乏有效的管理手段和支撑力量;科研机构尚未建立完善的技术支撑服务能力等。面对新形势、新问题,我们必须以习近平新时代中国特色社会主义思想为指导,牢固树立总体国家安全观,坚持安全和发展同步推进,以工控安全防护贯标为突破口,充分发挥《指南》及配套标准的规范和引领作用,推动安全防护步入实践深耕的新阶段,助力制造业迈入高质量发展的快车道。

  第一,贯标推进机构要组织技术力量加快重点标准研制发布,扎实推进重点地区贯标培训深度行活动,进而在全国范围推动贯标工作。搭建公共服务平台,为企业提供自对标、自诊断服务,逐步形成贯标长效推进机制。

  第二,地方工信主管部门要以贯标为工作抓手,充分调动区域内优势资源,建设地方贯标支撑队伍,引导工业企业积极参与贯标、实施贯标,扎实推进《指南》和配套标准落地落实。

  第三,工业企业要切实落实安全防护的主体责任,积极参与贯标工作,将工控安全贯标纳入企业信息化发展战略,建立更加有效的安全管理制度和技术防护体系,探索形成安全防护样板工程。

  第四,工业控制系统厂商和工控安全厂商要增强协同攻关和集成应用,研发具备安全功能的工业控制系统产品,配合贯标形成可操作、可复制的成套解决方案,助力工业企业提升安全防护水平。

  本文版权归原作者所有,参考来源:中国电子报

  (三)院长徐晓兰:系统推进工业互联网安全保障能力建设

  近年来,世界主要发达国家围绕工业互联网核心标准、技术、平台等加快布局,抢占新一轮工业革命制高点,加快塑造全球产业竞争力。国务院《关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《指导意见》)发布实施以来,我国工业互联网加速创新发展态势明显。

  然而,全球工业互联网安全威胁日益严峻复杂,国家级工业互联网安全事件时有发生,工厂内外部安全威胁相互交织,国家安全和利益面临更深层次挑战。安全是工业互联网健康发展的前提和保障。把握工业互联网的历史性发展机遇,系统推进安全保障能力建设至关重要。

  此次,工业和信息化部、教育部、人力资源和社会保障部、生态环境部、卫生健康委、应急管理部、国务院国资委、国家市场监管总局、国家能源局、国防科工局十部门联合出台实施《加强工业互联网安全工作的指导意见》(以下简称《安全指导意见》),系统推进工业互联网安全制度、技术、产业体系建设,协同推动安全保障能力和服务水平提升,是促进工业互联网高质量发展,护航制造强国和网络强国建设的战略之举。

  准确把握文件内涵,深刻认识对工业互联网安全的重大意义

  立足当前形势,谋划长远发展。《安全指导意见》深入贯彻《指导意见》精神主旨,紧抓当前工业互联网安全监管难点、行业防护痛点,构建了较为完备的安全监管体系,是我国工业互联网安全顶层设计文件,具有重要的理论和实践意义,为当前和今后一个时期工业互联网安全发展指明了方向。

  一是指导和规范工业互联安全工作的政策纲领。

  工业互联网安全工作涉及多部门、多行业、多领域,需要立足全局,统筹联动,形成合力。《安全指导意见》深入贯彻习近平总书记总体国家安全观,严格落实《网络安全法》等法律法规,高度凝聚十部门共识,形成了工信部统筹推进、地方分级管理、部门协同联动的安全监管格局,构建了较为完善的安全监管体系,为规范和指导我国工业互联网安全工作,提供了顶层的政策纲领。

  二是拓展强化工业互联网安全能力建设的行动指南。

  工业互联网安全能力建设是一项复杂的系统工程,需要突出重点、分类施策、协同推进。《安全指导意见》立足国际国内工业互联网安全发展新形势和技术业务发展新趋势,围绕制度机制、技术手段、产业发展明确了总体目标,提出要结合各地实际、突出重点、分步推进,集中力量指导、监管重要行业、重点企业,鼓励重点领域技术突破等系列原则,构建了可落地、可实施的行动举措,为加快和强化工业互联网安全能力建设提供了科学的行动指南。

  三是加速构建工业互联网安全生态的重要驱动。

  我国工业互联网安全技术和产业基础薄弱,生态体系建立需要政产学研用协同共建。《安全指导意见》提出系列保障措施,坚持汇聚整合政产学研用多方力量,加大政府支持力度,鼓励企业技术创新和安全应用,深化产教融合、校企合作,充分调动科研机构和社会力量,为加速构建工业互联网安全生态提供了重要驱动,为工业互联网安全健康生态提供了基础保障。

  牢牢抓住根本任务,系统推进工业互联网安全保障体系建设

  坚持整体布局,统筹能力提升。工业互联网开放、互联、跨界、融合的特点,为网络安全管理和防护带来新的挑战。

  《安全指导意见》围绕设备、控制、网络、平台、应用和数据安全,以“制度机制、技术手段、产业发展”为核心,进一步明确了七大任务、十七项重点工程,细化了各项工作措施,建立了系统化的工业互联网安全保障体系。

  一是突出安全责任和管理体系建设。

  《安全指导意见》明确了企业安全主体责任和政府安全监管责任,特别是进一步明确了地方工业和信息化主管部门、通信管理局各自监管职责范围,构建了明晰的工业互联网安全责任体系。围绕“管理制度、管理机制、标准体系”,提出健全安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等管理制度,建立行业企业分级分类管理机制,为工业互联网安全健康发展提供了制度保障。

  二是突出提高安全整体防护能力。

  《安全指导意见》围绕“设备、控制、网络、平台、应用”提出了系列保障措施,明确企业在平台上线前开展安全评估,完善工业APP应用前安全检测机制,特别强调提升设备和控制系统的本质安全。同时,将数据安全放在更加突出重要位置,提出“分级分类、安全防护、跨境评估监测、泄露响应”等举措,提升工业互联网全流程环节、全生命周期、全产业链的数据安全水平。

  三是突出强化技术保障和服务能力。

  《安全指导意见》坚持技术保障和安全服务能力并举,按照“上下联动、政企协同、合作共享”的思路,提出建设国家、省、企业三级协同的工业互联网安全技术保障平台。着重加强工业协议、安全漏洞等安全资源库储备,推动安全评估、测试认证、试验验证等安全公共服务,逐步构建起强有力的技术保障体系和公共服务能力。

  四是突出提升安全技术和产业支撑能力。

  《安全指导意见》按照“技术创新、协同合作、重点突破、试点示范”路线,提出加强网络安全攻击防护、漏洞挖掘、态势感知、追踪溯源等核心技术研发,打造产学研用协同创新平台,在汽车、电子信息、航空航天、能源等重点领域开展试点示范,加大对技术研发和成果转化的支持力度,为工业互联网持续健康发展提供坚实的技术和产业支撑。

  紧扣重点工作落实,全力护航制造强国和网络强国战略实施不忘发展初心,肩负安全使命。

  工业互联网安全需要各方共同努力,国家顶层部署、地方大力推进、企业积极响应、多方协同联动,不断夯实工业互联网安全基石。

  我院作为国家级工业互联网研究机构,肩负工业互联网安全职责使命,将同各界一道认真落实好《安全指导意见》,全力护航制造强国和网络强国战略实施。结合工业互联网安全工作实际,提出以下建议:

  一是工业互联网数据安全是核心。

  数字化网络化智能化是第四次工业革命之基石,是工业互联网创新发展之关键。工业互联网承载着数以亿计设备、系统、工艺参数、企业核心业务和经济运行数据。

  数据是工业互联网核心生产要素,也是工业互联网发展之血液,其安全关乎企业运营安全、行业发展安全和国家经济安全。要加快完善数据安全管理制度,研究制定工业互联网数据安全防护指南和配套标准规范,提升行业整体数据安全能力。

  建设国家工业互联网大数据中心,搭建国家级工业互联网数据安全监测平台,形成数据安全监测、跨境评估、应急响应等监管支撑和服务能力,有效维护我国工业互联网核心数据安全。

  二是工业互联网资产安全是关键。

  工业互联网通过人、机、物的全面互联,全要素、全产业链、全价值链的全面链接,推动形成全新的工业生产制造和服务体系。

  工业互联网连接了海量设备、系统、平台、应用,工业互联网资产是工业互联网发展之骨骼,其安全关乎企业生产安全、人民生命财产安全和国家基础设施安全。

  要加快完善设备、系统、平台、应用安全防护标准,完善监督检查、安全评估、检测认证等机制,提升整体安全防护能力。搭建国家级工业互联网重要资源测绘平台,全面掌握我国工业互联网资产和安全状况,形成资产安全评估、威胁监测、损害评估等监管支撑和服务能力,有效维护我国工业互联网重要资产安全。

  三是工业互联网安全公共服务是支撑。

  工业互联网安全需要充分调用各级各类资源,需要以大量公共服务为支撑。当前,我国工业互联网安全公共服务支撑能力尚显不足,特别是检测认证、评估评价等具有较强外溢和拉动作用、公共性质相对突出。

  要重点依托科研院所、行业组织,联合具备第三方权威资质机构,加快构建我国工业互联网漏洞库、恶意代码库等安全基础资源库,建设国家工业互联网安全测试中心,形成安全检测、评估认证、应急处置等安全公共服务能力,为我国工业互联网安全健康发展提供公共服务支撑。

  四是工业互联网安全人才培养是保障。

  人是安全的核心,工业互联网安全保障体系的建设离不开大量的专业网络安全人员,工业互联网安全产业的发展更离不开高水平、高素质的网络安全从业人员。

  目前我国从事工业互联网安全的人才普遍短缺,特别是IT与OT融合性安全人才严重不足。要建立健全工业互联网安全人才教育体系,支持企事业单位联合高校建设国家工业互联网培训中心,共同培养实战能力强的多层次安全人才,为我国工业互联网安全提供有力的人才保障。

  新时代下,我国工业互联网创新发展进入快车道,前景广阔、机遇可期。要牢固树立总体国家安全观和正确的网络安全观,以《安全指导意见》为指引,坚持安全与发展同步、技术与管理并重、规范和引导并举,凝聚政产学研用各方力量,奋力谱写工业互联网安全工作新篇章,筑牢工业互联网安全发展基石,全力护航制造强国和网络强国战略实施。

  本文版权归原作者所有,参考来源:人民网

  第二章 海外关键信息基础设施安全动态简讯

  (一)伊朗阿巴丹炼油厂疑似遭受网络攻击导致火灾

  10月20日,国际知名刊物作者Babak Taghvaee在Twitter上附带视频发布伊朗阿巴丹炼油厂起火消息;值得注意的是,作者称火灾是由确认的网络攻击所为。很巧的是,就在前几日的10月16日,路透社援引美国两名官员话称“美在对伊朗发起秘密网络攻击行动,以还击9月14日沙特石油被袭之恨”。

  10月20日,伊朗西南部炼油厂火焰冲天。其国有媒体塔斯尼姆通讯社(Tasnim News Agency)发文报道:周日,在伊朗#Abadan炼油厂的一条运河上发生了一起大火。官方广播公司IRIB说:“该炼油厂的消防部门控制了大火,并阻止了火势蔓延到其他单位。”

  阿巴丹炼油厂(Abadan Refinary)位于阿巴丹附近的海岸波斯湾,于1912年完工,是世界上最大的炼油厂之一,也一直是其他国家的重点投资对象。

  然而,鉴于社交媒体人视频捕捉大火的程度,尤其是考虑到它发生在当前海湾地区,油轮、炼油厂局势如此紧张之下(9月14日沙特阿拉伯石油公司的两处重要石油设施遭遇无人机袭击),所以,伊朗阿巴丹这场“莫名”大火,引发社交媒体广泛关注。

  当天,国际知名刊物作者babak taghvaee就在Twitte上发文称:现在证实,一次网络攻击导致伊朗西南部阿巴丹炼油厂失火。可能是针对伊斯兰革命卫队公司于2019年9月14日对沙特阿拉伯国家石油公司的石油设施进行巡航导弹攻击的网络攻击。该文引发了众多人士互动讨论。或许,此言论并非空穴来风。毕竟在10月16日,路透社曾援引两名美国官员的话爆料:在9月14日对沙特阿拉伯石油设施的袭击之后,美国对伊朗进行了秘密网络攻击。

  

图片1

 

  由此可见,伊朗官方消息似乎是已经低估了阿布丹大火的轻描淡写。在这么多“前车之鉴”面前,此次阿巴丹大火真是“复仇”沙特石油被袭的结果吗?是否如社交媒体所言是潜在的网络攻击引起的火灾呢?

  拥有世界上重要的石油、天然气资源,以及重要的地理位置,海湾地区一直是兵家必争之地。某些国家在品尝到网络战能不费一兵一卒就能取得重大的“战争”胜利果实后,愈发以“各种物理事件为由”对敌对国家频繁发动网络攻击:今年6月20日,美国无人机被伊朗击落后,在特朗普总统授权下,美国网络部队就曾对伊朗多个军事、情报机构展开带有破坏目的性的网络攻击。8月《纽约时报》援引美国一位高级官员的话,对上述事件给与了“肯定回复”,报道称:今年6月,美网军就对伊朗发动了网络攻击,摧毁了伊朗革命卫队使用的一个关键数据库。该目标数据库对伊军方至关重要,它关乎伊朗能否精准有效地对波斯湾地区航行的船只发动攻击。

  本文版权归原作者所有,参考来源:国际安全智库

  (二)CyberX发布《 2020年全球物联网/ ICS风险报告》

  据外媒报道,近日工业网络安全公司CyberX发布了《2020年全球物联网/ICS风险报告》(2020 Global IoT/ICS Risk Report)。该报告分析了2018年10月至2019年10月之间,CyberX从全球1800多个网络站点中被动收集的数据。

  在所有分析案例中,有62%的站点运行着过时、不受支持版本的Windows系统,如Windows XP和Windows 2000。若把Windows 7也包括在内(该版本将于2020年1月终止支持),该比例将增至71%。

  使用这些版本的Windows系统会带来严重安全风险:攻击者可从公开渠道获取这些系统的漏洞详细信息、PoC漏洞利用程序。此外,即使微软为这些系统发布了相关更新,组织机构在进行更新时也会遇到障碍。

  数据显示,22%的站点曾出现过可疑活动,另有64%站点的设备密码未被加密。与去年相比,被远程访问、或暴露于公共网络的站点设备所占比例显著降低,但运行过时系统、未启用安全软件自动更新的站点设备比例有所增加。

  CyberX注意到,与其他部门相比,石油、天然气及能源公共事业部门的设备显得更加安全。考虑到天然气和能源公用事业是受管制较多的行业,这种情况不足为奇。

  本文版权归原作者所有,参考来源:E安全

  (三)德国制造商Pilz遭受BitPaymer勒索攻击现仍未恢复工作

  近日,全球最大的自动化工具生产商之一,德国公司Pilz在其官网网站上发布公告,表示自2019年10月13日以来,公司的所有服务器和PC工作站(包括通信网络)都已在全球范围内受到影响。该网站目前仅部分运作。作为预防措施,该公司已从网络中删除了所有计算机系统,并阻止了对公司网络的访问。

  该公司在76个国家/地区的所有地点均受到影响,并且与主要网络断开连接,无法提交订单和检查客户状态。该公司已向公共检察官办公室报告了此事件,并通知了联邦信息技术安全办公室。Pilz还成立了危机小组,以管理事件响应活动并在最短时间内从中断中恢复。

  Pilz员工花了三天时间才能恢复对其电子邮件服务的访问权限,而又花了三天时间才能恢复其国际位置的电子邮件服务。直到今天才恢复对产品订单和交货系统的访问。

  FoxIT的首席情报分析师分析了BitPaymer样本后,认为该样本包含赎金记录,其中包含针对Pilz的联系详细信息,并针对该公司的网络进行了定制。BitPaymer最早出现在2017年夏天,但BitPaymer并不是常见的勒索软件,它仅攻击高价值的目标以希望获取大笔赎金,而不是勒索家庭消费者获取微薄的利润。在过去两年中,BitPaymer仅通过Dridex僵尸网络进行分发。Dridex组织发送垃圾邮件,用Dridex特洛伊木马感染用户,编制受害者列表,然后在大型公司的网络上部署BitPaymer,以期在加密文件后提取巨额赎金。

  天地和兴安全研究院翻译整理,参考来源:ZDNet

  (四)芬兰炼油企业Neste大规模信息系统故障

  芬兰炼油厂Neste10月14日表示,该公司遭受了“广泛的信息系统故障”,这影响了该公司的正常生产运营。在10月15日的后续调查中,Neste指出是芬兰服务提供商的数据中心出现硬件故障。目前该公司尚未对事件的确切细节发表评论。

  在10月15日的后续调查中,Neste指出芬兰服务提供商的数据中心出现硬件故障。后续调查减轻了人们对Neste可能遭受某种网络事件的担忧。

  总部位于芬兰埃斯波的Neste是全球最大的以废料和残渣精制的可再生柴油生产商。该公司生产、提炼和销售石油产品,并提供工程服务以及许可生产技术。Neste在14个国家/地区开展业务,拥有5,000多名员工。

  在10月14日有关IT系统故障的声明中,Neste表示,这种情况影响了Neste芬兰和波罗的海的加工,储罐和码头区域,并导致产品分销的延迟。该故障正在调查中。我们正在与我们的服务提供商一起调查这种情况。

  天地和兴安全研究院翻译整理,参考来源:MSSP Alert

  (五)Autoclerk数据库泄露美国政府人员敏感数据

  2019年10月21日,vpnMentor的研究人员发现了Autoclerk数据库中的一个漏洞,该数据库是Best Western Hotels and Resorts Group拥有的预订管理系统。该泄漏暴露了用户和酒店客人的敏感个人数据,以及他们的酒店和旅行预订的完整概述。它影响了全球1000万人,每天都会添加数百万条新记录。 这次泄漏最严重的受害者是美国政府、军方和国土安全部(DHS)。这些数据暴露了政府和军事人员的个人详细信息,以及他们过去和将来前往世界各地的旅行安排。

  该数据库由美国的Amazon Web Servers托管,包含超过179GB的数据。暴露的许多数据来自外部旅行和接待平台,这些平台使用数据库所有者的平台进行交互。 受影响的客户平台包括旅游业和酒店业内的财产管理系统(PMS)、预订引擎以及数据服务。

  尽管这些平台主要位于美国,但泄漏事件使世界各地的用户暴露无遗。vpnMentor团队查看了许多未加密的登录凭据,以访问数据库外部其他系统上的帐户,例如单独的PMS平台,访客评分和评论系统等。由于这次泄漏中暴露的平台集中在旅行和款待上,因此数据库包含了十万个针对来宾和旅行者的预订。这意味着使用受影响平台的住宿中客人的个人详细信息也已暴露。 公开预订的人的信息包括:姓名、出生日期、家庭地址、电话号码、旅行日期和费用、屏蔽的信用卡详细信息。

  天地和兴安全研究院翻译整理,参考来源:vpnMentor

  (六)DNC黑客APT29入侵欧盟多国外交机构

  继2016年入侵民主党全国委员会(DNC)的网络和服务器之后,与俄罗斯有联系的间谍组织Cozy Bear(也称为APT29和Dukes)一直致力于避免安全公司的关注,但近期仿佛经过冬眠之后,该组织再次活跃起来了。

  根据安全公司ESET今天发布的报告,APT29近期恢复并重建了大部分工具,并正在使用加密通信方式(例如在图像中隐藏信息和命令,隐写技术),来规避安全公司检测。不完全分析,该组织已经入侵了三个欧洲国家的外交部以及一个欧盟成员国的美国使馆。

  恶意软件研究人员Matthieu Faou说:“即使该组织几年来都规避了公众审查,但他们实际上还是非常积极地入侵了高价值目标,并开发了新工具。” “从2008年(或2009年)开始,它们已经运行了大约10年,几乎一直活跃。”

  随着美国开始新的选举周期临近,网络攻击的迹象已引起越来越多的关注。除政府外,该组织还针对与北约,智库和政党有联系的各种组织发起了攻击。这表明,APT组织对收集信息有浓厚的兴趣,以便更好地了解未来的国际政治走向,这对政府来说似乎十分重要。

  ESET报告并不是将攻击归因于该组织的唯一机构。 2018年,FireEye曾将来针对美国国务院的网络钓鱼攻击与APT29关联起来,这些攻击企图破坏政府,国防,医药和运输部门的系统。据分析,攻击者使用了的工具和技术,与“APT29”组织有着深层的“基因”联系,且这一波次攻击中APT组织开始启用了一些特殊加密通道,或新的公开渠道。例如:使用Twitter,Imgur和Reddit作为在受到入侵后立即向系统发出命令的主要方式。 Cozy Bear使用算法生成器生成新的Twitter句柄,受感染的机器将从中获取加密的URL。

  该组织还使用OneDrive等公共云服务,将通信隐藏在合法服务中。同时,该APT组织还常会将数据隐藏在图像内部,这很难检测。隐写技术的实施非常复杂,并不常见,很难检测,因为即使在更改图像以包含命令或有效载荷之后,仅查看网络流量,很难检测到可疑攻击行为正在进行。

  此外,该组织在其当前活动中正在使用三个新的恶意软件家族,这些组织被ESET称为PolyglotDuke,RegDuke和FatDuke。ESET还发现了第四个恶意软件样本LiteDuke,该样本用于以前未曾描述的较早的活动中。

  PolyglotDuke使用Twitter和其他网站获取命令和控制服务器的地址。RegDuke通过隐藏在注册表中并使用Dropbox重建与攻击者控制的服务器的连接来建立持久性。FatDuke是安装在MiniDuke后门之后的客户端,具有很多功能,并且使用混淆处理使其代码,使得难以解密分析。MiniDuke后门,可在初始感染后安装该后门,并允许攻击者向受感染的系统发出命令。

  该APT组织还广泛使用凭据在整个网络中“漫游”,从而在受害者响应事件的同时损害其他系统,并重新感染系统。ESET报告中称:“在应对Dukes时,确保在短时间内移除所有植入物非常重要。” “否则,攻击者将使用剩下的任何植入物再次危害清洁的系统。”

  本文版权归原作者所有,参考来源:malwarebenchmark

  (七)联合国,儿童基金会,红十字会官员成为近期网络钓鱼活动的目标

  近日,网络安全公司Lookout发现在过去的几个月中,遍布全球的鱼叉式网络钓鱼运动袭击了许多人权组织,一些受害者包括红十字会,联合国儿童基金会以及联合国世界粮食计划署和联合国开发计划署。

  这些站点以及它们背后的服务器基础架构一直持续到今年3月。有些站点已经运行了很长时间,没有被检测到,并且报告说用于通过HTTPS为它们提供服务的SSL证书有时间到期。

  Lookout 上周在一份报告中指出,他们发现所有的网络钓鱼网站都没有包含在Google Safe Browsing中。Google Safe Browsing是一个不良网站的数据库,浏览器浏览这些链接就会像用户警报。这就意味着用户在浏览这些网站时就不会收到警报。

  Lookout表示,他们已与执法部门和目标组织联系,以警告他们遭到袭击。目前尚不清楚是谁发动了袭击。范围从民族国家的黑客组织到常规的网络犯罪组织。联合国发言人说,成员经常会收到反网络钓鱼材料和警报,建议启用多因素身份验证。攻击的动机是破坏Okta和Microsoft的凭据以获取对这些帐户的访问权限,这些帐户可用于进一步的攻击或情报收集。

  Lookout认为这次的网络钓鱼页面与绝大多数网络钓鱼活动不同。这些页面适合移动设备使用,这意味着它们也可以在平板电脑和智能手机等小屏幕设备上加载并正常显示。其次,网上诱骗页面还包含用于在实时输入密码时记录密码的代码,而不仅是在用户提交登录表单时。这种技术是一种巧妙的技术,在大多数网络钓鱼站点中很少见,因为它使攻击者即使后来发现网络钓鱼页面并放弃站点而无需提交登录凭据,也可以获取用户的数据。Lookout说,托管网络钓鱼站点的服务器今天仍在活动。

  

图片2

 

  天地和兴安全研究院翻译整理,参考来源:ZDNet

  (八)美国金融服务提供商Billtrust遭受恶意软件攻击后中断

  2019年10月17日,美国金融服务提供商Billtrust的某些计算系统遭受恶意软件攻击后中断,影响了其所有服务。虽然Billtrust并未公开发布受到攻击,但其客户之一Wittichen Supply Company发布了服务中断通知,称其客户发票和在线账单支付供应商通知他们其受到恶意软件攻击。

  Wittichen Supply Company于昨天晚些时候收到通知,其客户发票和在线账单支付第三方供应商BillTrust是恶意软件攻击的对象。BillTrust正在与联邦执法和网络安全公司合作,调查和补救该攻击。当前,所有BillTrust服务都已关闭,这影响了Wittichen Supply Company提供发票和展示在线支付功能。BillTrust还告诉Wittichen Supply Company,该攻击没有损害其客户的任何数据,并且由于涉及的数据量大,该公司正在按计划的时间表恢复服务。Billtrust还通知Wittichen Supply Company,他们已在大多数系统上部署了取证软件,作为对该事件进行调查的一部分。 该公司还向客户保证,他们的数据将定期备份,以为此类事件做准备,并且在恢复其余受影响的服务方面正在取得进展。

  随后在10月21日CST上午9:00在Wittichen Supply Company网站上发布的更新中表示,Billtrust系统继续恢复在线状态,该公司正在努力弥补中断中丢失的数据。另外,自此更新以来,用户可访问其在线中支付功能BillPay以查看10/16/2019之前的发票和帐户付款并在线进行付款。该公司尽快上传将17日至20日的发票和付款上传到BillTrust。

  尽管该公司尚未指出网络攻击的类型,但熟悉此事的消息人士告诉他推断该公司受到的是BitPaymer勒索软件。

  天地和兴安全研究院翻译整理,参考来源:Bleeping Computer

  (九)美国高等法院系统被入侵并传播垃圾邮件

  近日,美国得克萨斯州一名男子因入侵洛杉矶高等法院(LASC)计算机系统并使用其服务器传送约200万个垃圾邮件而被判入狱145个月。33岁的Oriyomi Sadiq Aloba被裁定犯有一项串谋实施电汇欺诈罪,15起电汇欺诈罪,一项未遂电汇欺诈罪,一项对受保护计算机的未经授权损害,五项未经授权的访问罪进入受保护的计算机以获取信息,并进行四次严重的身份盗窃。

  在2019年7月26日被裁定犯有上述指控后,他面临联邦监狱最高350年的法定最高刑期,但在今天的宣判听证会上,法官判处他大约12年徒刑。除了必须在联邦监狱度过的12年以上时间外,该男子还受到美国地方法院法官加里·克劳斯纳(R. Gary Klausner)的命令,要赔偿47,479美元。

  在网络钓鱼攻击之后,Aloba设法渗透到法院的计算机,该攻击导致LASC员工的一个电子邮件帐户在2017年7月遭到入侵。此帐户后来被用于针对数千名其他LASC员工帐户的鱼叉式网络钓鱼攻击。Aloba向他们发送了包含伪造的Dropbox通知的网络钓鱼电子邮件,要求他们向公司发送用户凭据。这使Aloba可以收集数百名高等法院雇员的电子邮件地址和密码。

  根据2018年2月的最初起诉书,他使用这些凭据登录到LASC服务器, 并向他自己发送了测试电子邮件以测试安全功能并确保他具有对帐户的完全访问权限。随后,阿罗巴(Aloba)使用受损的电子邮件帐户发送了超过200万个网络钓鱼电子邮件,冒充美国运通(American Express)和富国银行(Wells Fargo)等公司。

  司法部认为,欺诈性电子邮件中的超链接导致受害者进入一个网页,该网页要求他们提供银行登录凭证,个人身份信息和信用卡信息。虚假的美国运通网站的链接使用的源代码指定了Aloba的电子邮件帐户作为受害者输入虚假网站的信息的传递地址。

  天地和兴安全研究院翻译整理,参考来源:Bleeping Computer

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号