安全研究
全部分类

关键信息基础设施安全动态周报【2019年第10期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-10-16 15:27
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第10期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第10期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第10期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-10-16 15:27
  • 访问量:
详情

  目录

  第一章国内关键信息基础设施安全动态简讯

  (一)工信部:力争2025年网络安全产业规模突破2000亿

  (二)中方回应“27国联合声明”:试图将网络进攻性军事行动合法化

  第二章 海外关键信息基础设施安全动态简讯

  (一)新型Adwind变种针对美国石油工业进行袭击

  (二)伊朗对石油部门实施全面戒备以防止袭击

  (三)调查显示预计明年针对关键基础设施的攻击会有所增加

  (四)美国将帮助波罗的海国家确保波罗的海能源网

  (五)美国国家安全局NSA成立新的网络安全局

  (六)美国和澳大利亚多家医院受到新型勒索软件攻击

  (七)俄罗斯外交官成为新型恶意软件的攻击目标

  (八)丹麦助听器制造商Demant遭遇勒索软件袭击损失高达9500万美元

  (九)法国警告服务提供商和工程办公室可能受到网络间谍攻击

  第一章国内关键信息基础设施安全动态简讯

  (一)工信部:力争2025年网络安全产业规模突破2000亿

  工信部2019年9月27日发布消息,公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》(下称《指导意见》)的意见。《指导意见》以创新驱动、协同发展、需求引领、开放合作为基本原则,目标是到2025年,培育形成一批年营收超过20亿元的网络安全企业,形成若干具有国际竞争力的网络安全骨干企业,网络安全产业规模超过2000亿元。

  《指导意见》指出,网络安全的本质是技术对抗,保障网络安全离不开网络安全技术和产业的有力支撑,并明确了五大主要任务,具体包括:着力突破网络安全关键技术、积极创新网络安全服务模式、合力打造网络安全产业生态、大力推广网络安全技术应用、加快构建网络安全基础设施。

  在“着力突破网络安全关键技术”的任务中,资产识别、漏洞挖掘、病毒查杀、边界防护、入侵防御、源码检测、数据保护、追踪溯源等网络安全产品演进升级被重点提及。《指导意见》同时要求,加强5G、下一代互联网、工业互联网、物联网、车联网等新兴领域网络安全威胁和风险分析,大力推动相关场景下的网络安全技术产品研发。

  《指导意见》同时明确,要加大对网络安全产业的政策支持力度。其中,中央网信办指导支持国家网络安全人才与创新基地建设,会同相关部委推动网络关键设备和网络安全专用产品认证和安全检测结果互认,避免重复认证、检测。工信部推动国家网络安全产业园区建设,建立网络安全产业运行监测体系,组织开展网络安全技术应用试点示范,指导举办中国网络安全产业高峰论坛。国家发展改革委加强网络安全领域规划、政策研究制定。中央财政统筹利用中国互联网投资基金等现有渠道,引导支持网络安全产业发展。各地可结合本地实际情况,在财政、人才引进、要素保障等方面研究制定有针对性的产业扶持政策。

  本文版权归原作者所有,参考来源:上海证券报

  (二)中方回应“27国联合声明”:试图将网络进攻性军事行动合法化

  27个国家近日就网络空间负责任国家行为问题发表联合声明,中国外交部发言人耿爽在例行记者会上表示,有关声明意在将某些国家在网络空间开展进攻性军事行动合法化,把网络空间变为新的战场。

  耿爽表示,中方一贯主张在联合国框架下制定各方普遍接受的网络空间国家行为准则。中俄等上合组织成员国早在2011年就共同向联合国提交了全球第一份“信息安全国际行为准则”草案。在这些国家共同推动下,联合国多次成立政府专家组讨论这一问题,并达成重要共识。专家组有关报告最终纳入了草案的核心内容,明确提出各国应遵守以《联合国宪章》为基础的国际法,致力于维护网络空间的和平与合作。

  耿爽表示,声明曲解专家组报告,刻意回避国际社会要求建立“和平网络空间”的共识,将网络空间人为分为“和平时期”和非和平时期,意在将某些国家在网络空间开展进攻性军事行动合法化,把网络空间变为新的战场,这将推升国家间网络冲突和摩擦的风险,无助于维护网络空间和平与安全。我们呼吁所有国家能回到联合国已达成的共识上来。中方愿重申,国际社会应秉持共担责任、共享繁荣的理念,加强对话合作,共同构建和平、安全、开放、合作、有序的网络空间,携手打造网络空间命运共同体。

  本文版权归原作者所有,参考来源:央视网

  第二章海外关键信息基础设施安全动态简讯

  (一)新型Adwind变种针对美国石油工业进行袭击

  近日,一个流行的新型变种Adwind RAT正在针对美国石油行业中的实体。新变体实现了高级功能,例如多层混淆。该恶意软件通过垃圾邮件带有恶意附件或包含指向恶意内容的URL传播。

  NetSkope的分析报告表示,他们已经监测到传播Adwind RAT的新运动,特别是针对美国的石油工业。样品相对较新,实现多层混淆用来逃避检测。他们发现了多个在服务域中托管的RAT样本,并且分布在多个目录中,所有这些样本都已存在一个月以上。

  Adwind是用Java编写的跨平台远程访问木马,曾在针对瑞士,奥地利,乌克兰和美国的航空航天企业的攻击中被观察到。 Adwind RAT最早是在2012年初被发现的,专家将其称为Frutas RAT,后来又被标识为Unrecom RAT(2014年2月), 外星人间谍 (2014年10月),以及最近 套接字RAT (2015年6月)。Adwind可能会感染所有主要操作系统,包括Windows,Mac,Linux和Android,它在地下网络犯罪中以 恶意软件即服务(MaaS)模式提供。一旦Adwind RAT感染了计算机,它就可以出于多种非法目的(例如DDoS攻击,强行攻击)将其重新加入僵尸网络。

  专家指出,RAT的功能与以前的变体相同,主要的变化在于它实施的混淆技术。恶意软件使用交付通过嵌套JAR归档文件的RAT有效负载。的内斯科普 威胁防护将恶意软件检测为ByteCode-JAVA。木马。Kryptik和Gen:Variant.Application.Agentus.1。当受害者执行有效负载时,会

  

图片1

 

  发生多个级别的JAR提取。

  Adwind RAT是一个著名的恶意软件家族,在过去的几年中已被广泛用于多个活动中。分析样本显示,顶级JAR的VirusTotal检测率为5/56,而最终解密JAR的VirusTotal检测率为49/58。这些检测比率表明,攻击者在开发新的,创新的混淆技术以逃避检测方面已取得了很大的成功。

  天地和兴安全研究院翻译整理,参考来源:Security Affairs

  (二)伊朗对石油部门实施全面戒备以防止袭击

  2019年9月29日,伊朗石油部长Bijan Namdar Zanganeh下令要求能源领域公司要对物理和网络的威胁攻击保持全面戒备。伊朗担心西方国家进行报复,指责西方对其本国的基础设施和中东国家进行物理和网络攻击。伊朗石油部表示,华盛顿政府已对伊斯兰共和国发动了全面的经济战争。

  9月中旬,无人驾驶飞机袭击了沙特阿拉伯国有公司阿美公司(Aramco)运营的两个主要石油设施,其中之一是阿布凯克基地。该组织在也门的一位发言人说,伊朗支持的也门叛军声称对袭击阿布扎克工厂负责。该组织在这次袭击中部署了10架无人机。该组织正在威胁沙特阿拉伯进一步袭击。自2015年以来,侯赛斯(Houthis)将阿卜杜拉布·曼苏尔·哈迪(Abdrabbuh Mansour Hadi)总统逐出萨那,这是与伊朗结盟的胡西叛军运动与也门政府和由沙特阿拉伯领导的区域国家联盟作战的叛军。

  国务卿迈克·庞培(Mike Pompeo)指责伊朗协调了这次袭击,并补充说,我们正面临着对世界能源供应的空前袭击。

  9月14日,利雅得,柏林,伦敦和巴黎也谴责德黑兰的袭击事件对沙特石油业造成了严重破坏。伊朗否认参与了袭击。袭击发生后,美国总统唐纳德·特朗普立即宣布他的国家正在准备回应。特朗普总统选择加紧对德黑兰的经济制裁。

  军事和情报专家认为,在美国的推动下,西方联合军可能会对伊朗的关键基础设施进行一系列的网络攻击。无人机袭击发生几天后,一些西方媒体报道对伊朗石油部门的基础设施进行了破坏性的网络攻击,但伊朗对此予以否认。

  政府网络安全办公室发表的声明说,与西方媒体的说法相反,今天进行的调查表明,没有对该国的石油设施和其他关键基础设施进行成功的网络攻击。

  尽管发表了上述声明,安全专家仍认为,针对伊朗基础设施的网络攻击仍在继续。

  天地和兴安全研究院翻译整理,参考来源:Security Affairs

  (三)调查显示预计明年针对关键基础设施的攻击会有所增加

  西门子和Ponemon研究所进行的一项研究显示,公用事业行业的代表认为,该行业遭受网络攻击的风险有所增加,许多人预计明年关键基础设施会遭受攻击。

  该研究基于对北美,拉丁美洲,欧洲,中东和亚太地区公用事业部门工作的1,700多名个人的调查。受访者包括技术人员,经理,董事,主管和高级管理人员。

  大多数受访者认为,网络威胁给其运营技术(OT)系统带来的风险要大于对信息技术(IT)系统的威胁。近三分之二的人将复杂的网络攻击视为最大的挑战,而56%的受访者认为,在过去一年中,至少有一次攻击涉及到私人信息丢失或旧版环境中断的攻击。4%的受访者表示,他们经历了10次或更多的此类事件。超过一半的受访者预计明年会遭受关键基础设施网络攻击,但参与研究的人认为,有30%的针对OT系统的攻击未能检测到。

  公用事业行业主要担心网络攻击可能导致严重的环境事件,可能导致盗窃机密信息,以及设备可能受损。报告显示,内部人占OT系统的大部分攻击。

  平均而言,组织对恶意软件攻击的响应时间为72天,小型企业为88天,大型企业为62天。

  管理OT安全方面的主要挑战是复杂攻击的增加(占受访者的61%),缺少熟练技术人员(占56%),孤立和零散的系统(占55%),快速发现漏洞和漏洞利用(占52%) ,并且没有明确的所有权(42%)。18%的受访者组织使用大数据或AI监控,最常见的是美国。

  天地和兴安全研究院翻译整理,参考来源:Security Week

  (四)美国将帮助波罗的海国家确保波罗的海能源网

  近日,美国和波罗的海宣布了合作,以保护波罗的海的能源网免受网络攻击,因其与俄罗斯的电网断开。美国能源部长里克·佩里(Rick Perry)以及立陶宛,拉脱维亚和爱沙尼亚的相关官员在这一关键时刻宣布了合作以保护波罗的海能源网免受网络攻击。

  立陶宛首都维尔纽斯官员在签署的联合声明中写道:我们看到美国可以在协助波罗的海国家提供战略和技术支持方面发挥关键作用。这三个国家于2004年加入了欧盟和北约,但它们仍然是俄罗斯控制的电网的一部分。到2025年,这三个国家将融入欧洲能源网格,而无需依赖俄罗斯电网。立陶宛的关键基础设施,尤其是能源部门的组织,是网络攻击的优先目标。

  2017年5月,一波“探索性”网络攻击针对波罗的海国家的能源网络。波罗的海的袭击使人们担心外国可能会破坏该地区的能源网络。消息人士称,怀疑是由俄罗斯支持的黑客已经对波罗的海国家的能源网络发起了探索性网络攻击,引发了西方主要军事同盟北约内部的安全担忧。北约专家和网络安全研究人员认为黑客正在测试波罗的海能源网络的弱点。现在,立陶宛证实正在寻找美国的技术公司,以防止可能破坏能源供应的控制能源系统被黑客入侵。

  天地和兴安全研究院翻译整理,参考来源:Security Affairs

  (五)美国国家安全局NSA成立新的网络安全局

  2019年10月1日,美国国家安全局NSA新成立了网络安全局。该网络安全局是统一国家安全局的外国情报和网络防御任务的主要组织。国家安全局将致力于预防和消除对国家安全系统和关键基础设施的威胁,最初将重点放在国防工业基础和改进武器方面。

  

图片2

 

  该局反映了国家网络安全重要性的变化,并暗示了政府机构如何重新考虑应如何组织网络安全部门。该局将统一国家安全局当前的外国情报和网络防御行动,将它们合并为一个旨在保护国内组织免受外国网络攻击的主要组织。美国国家安全局(NSA)希望该局通过使原子能机构转向向合作伙伴和客户提供威胁信息,以及通过其他方式使他们免受网络攻击,来重振国家安全局的白帽任务。该局还将通过整合这些工作以提供优先结果,更好地定位NSA使其威胁情报,漏洞评估和网络防御专业知识投入运营。

  天地和兴安全研究院翻译整理,参考来源:NSA

  (六)美国和澳大利亚多家医院受到新型勒索软件攻击

  2019年10月1日,来自美国和澳大利亚的数家医院和医疗服务提供商受到了勒索软件攻击,被迫关闭了一些系统,影响并破坏了其IT系统。美国西阿拉巴马州塔斯卡卢萨(Tuscaloosa)、诺斯波特(Northport)和费耶特(Fayette)的DCH地区医疗中心,诺斯波特医疗中心和费耶特医疗中心只能使用有限的计算机系统。此外,澳大利亚维多利亚州政府网站上发布的网络健康事件咨询表示,维多利亚州西南部和吉普斯兰岛的多家医院和卫生服务机构已无法访问多个IT系统,必须关闭一些服务器,并在某些情况下采取手动操作模式。

  美国阿拉巴马州DCH Health System的三家医院遭受了勒索软件攻击,犯罪分子限制其使用计算机系统来交换未知金额的勒索。三家医院表示,已经制定了应急程序,因此,就算无法访问受损的计算系统也不会影响日常操作。为了患者的安全,DCH地区医疗中心,Northport医疗中心和Fayette医疗中心已经不对所有患者开放,不包括重要的新患者。这些医院的工作人员正在照顾目前在医院的病人,也没有转移现有病人的计划。

  来自澳大利亚Gippsland和西南维多利亚地区的7家主要医院和数家医疗服务机构被迫完全关闭部分系统,或者在IT系统普遍受到勒索软件感染后进入手动操作模式。维多利亚州总理府和内阁今天发布的一份咨询报告表明,周一发现的网络事件已通过勒索软件的渗透(包括财务管理)阻止了对多个系统的访问。医院已经隔离并断开了许多系统,例如互联网以隔离感染。这种隔离导致多个系统被完全关闭,包括但不限于患者记录,预约和管理系统。咨询补充表明,在可行的情况下,医院将恢复为手动系统以维持其服务。 受影响的医院是西南农村卫生联盟和吉普斯兰卫生联盟的一部分。正在调查该事件的维多利亚警察局和澳大利亚网络安全中心没有发现任何证据表明已经访问了患者的个人信息。

  就在近日,美国参议院通过了《DHS网络查寻和事件响应小组法》,授权国土安全部(DHS)维护网络查寻和事件响应小组,以帮助私人和公共实体抵御勒索软件和网络攻击。这些响应团队将向任何需要其协助的实体提供有关如何适当地增强IT系统抵御勒索软件和各种其他类型的恶意软件的建议和技术支持。如果任何组织成为勒索软件或其他类型的网络攻击的受害者,则由联邦政府提供资源的网络响应团队也将随时提供协助,作为事件响应阶段的一部分。

  根据已通过的立法,这些网络狩猎和事件响应团队将负责:在网络事件之后,协助资产所有者和运营商恢复服务;识别网络安全风险和未经授权的网络活动;缓解策略,以预防,阻止和防范网络安全风险;建议资产所有者和运营商改善整体网络和控制系统的安全性,以降低网络安全风险,并酌情提出其他建议。

  天地和兴安全研究院翻译整理,参考来源:Bleeping Computer

  (七)俄罗斯外交官成为新型恶意软件的攻击目标

  ESET研究人员发现了一种针对外交和政府实体的新型模块化和恶意软件,这种软件已针对讲俄语的个人发起攻击至少7年。研究人员将这种恶意间谍软件命名为Attor,这个恶意软件有一些不同寻常的功能,包括使用加密模块、基于Tor的通信、以及设计用于使用AT协议进行GSM指纹识别的插件。

  ESET恶意软件研究员ZuzanaHromcová认为,使用Attor的攻击者的重点放在外交使团和政府机构上。这些攻击至少从2013年就开始了,一直在针对俄罗斯的用户,特别是那些关注隐私的用户。

  Attor使用模块化架构构建,具有专门为持久性、数据收集、渗透以及与恶意软件的命令和控制(C2)服务器通信而开发的模块。ESET找到了八个模块(也称为插件),即安装程序/看门狗,设备监视器,音频记录器,屏幕抓取器,键/剪贴板记录器,文件上载器,命令分配器和通信模块。ESET在分析了几十个受Attor感染的受害者的感染链时,发现该恶意软件是使用分派器模块(使用多种加密方法和逃避技术)以分派器的形式通过滴管交付的。除Symantec安全产品和若干系统进程外,此调度程序将自身注入受感染计算机上大多数正在运行的进程中。然后,Ator通过仅在为其操作员带来价值的流程中加载实现为DLL的插件来激活监视和数据收集,例如Web浏览器和即时通讯程序。

  

图片3

 

  Attor针对特定的流程,其中包括与俄罗斯社交网络和某些加密/数字签名实用程序相关的流程; VPN服务HMA;端到端加密电子邮件服务Hushmail和The Bat !;以及磁盘加密实用程序TrueCrypt。插件以压缩和加密的形式存储在磁盘上,DLL的有效形式仅在调度程序加载插件时才在内存中恢复。这可能是试图阻止检测的尝试,因为插件DLL永远不会目前未加密在磁盘上。 Attor具有内置机制,可以添加新插件,自我更新以及自动提取收集的数据和日志文件。Attor加载的最著名的插件是设备监视器,该模块使用将从连接的电话/调制解调器/存储设备收集的文件元数据信息进行设备指纹识别。更重要的是,此插件利用1980年代开发的AT命令与与受感染系统的COM端口相连的GSM / GPRS调制解调器/电话设备进行通信。

  ESET认为此插件的GSM指纹识别功能用于定位调制解调器和较旧的电话,并检索多个订户和设备标识符,例如IMSI,IMEI,MSISDN和软件版本。对设备进行指纹识别可以作为进一步窃取数据的基础。如果攻击者了解所连接设备的类型,他们可以制作和部署定制的插件,该插件可以使用AT命令从该设备窃取数据并进行进行更改,包括更改设备的固件。

  天地和兴安全研究院翻译整理,参考来源:Bleeping Computer

  (八)丹麦助听器制造商Demant遭遇勒索软件袭击损失高达9500万美元

  全球最大的助听器制造商之一Demant在本月初遭受勒索软件感染之后预计将遭受高达9500万美元的损失。这是NotPetya勒索软件爆发之后造成最重大损失之一的网络安全事件。

  NotPetya勒索软件导致的事件包括航运巨头马士基(Maersk)和快递服务联邦快递(FedEx)等公司各自遭受超过3亿美元的损失。Demant的损失也超过了铝生产商Norsk Hydro勒索软件事件造成的损失,该损失最初估计为4000万美元,但现在预计将达到7000万美元。

  Demant公司于9月3日受到攻击,当时在其网站上的简短声明中表示,该事件定义为“严重事件”,并将关闭其整个内部IT基础架构。Demant从未透露任何细节信息,故并不得知公司的网络上真正发生了什么,只是知道其IT基础设施受到了网络攻击。

  根据丹麦媒体报道,该事件为外部勒索软件攻击,该公司所有的基础架构都受到了严重影响。其中包括该公司的ERP系统,在波兰的生产和分销设施,在墨西哥的生产和服务场所,在法国的耳蜗植入物生产基地,在丹麦的放大器生产基地以及整个亚太地区网络。

  公司通常会在数据泄露的几天后后恢复;但是,Demant花了几周时间,至今仍在恢复资产,并预计还需要两周才能全部恢复。这种破坏模式需要几个月的时间才能恢复,通常仅在受到勒索软件感染时才会遇到。

  尽管公司的员工一直在恢复IT基础架构,但最大的损失来自于无法最初访问这些系统。该公司的报告表明,这会导致产品供应延迟及影响该公司接收订单的能力。此外,在公司的助听器零售业务中,该公司网络上的许多诊所都无法以常规方式为最终用户提供服务。这些业务动荡对公司造成了灾难。在给投资者的信息中,Demant表示,预计将亏损8000万至9500万美元。该金额本来会更高,但该公司预计将收到1,460万美元的网络保险赔偿。大部分损失来自销售损失和公司无法履行订单。恢复和重建其IT基础架构的实际成本仅为730万美元,与总计相比而言是很小的一笔钱。

  估计损失的大约一半销售与助听器批发业务有关。该事件使该公司无法在一年中最重要的几个月中进行快速的增长,特别是其最大市场美国。估计损失的销售额的小一半与零售业务有关,在该业务中,许多诊所无法以常规方式为终端用户提供服务。该公司预估零售业务将在澳大利亚产生最大的影响,其次是美国、加拿大、和英国。该公司的绝大多数诊所现已全面投入运营,但是由于该事件影响了9月份获得新预约的能力,预计未来一两个月还会有一些销售损失,这也包括在当前估算中。该公司其他的业务活动,包括植入式听力、诊断、和个人通讯,也受到了事件的影响,但是由于这些业务的性质和规模,对集团整体的影响相对较小。该公司预计,这次事件将对其产生长期影响,再次证明了企业不能再忽略其网络安全态势。

  天地和兴安全研究院翻译整理,参考来源:ZDNet

  (九)法国警告服务提供商和工程办公室可能受到网络间谍攻击

  2019年10月7日,法国国家网络安全局(ANNSI)发布了针对服务提供商和工程公司基础设施的网络间谍活动的警报报告。在报告中表示,攻击者正在破坏这些企业网络,以便访问数据,并最终访问其客户的网络。

  ANSSI网络威胁情报部门负责人表示,分析表明两波攻击是在时间上分开的,并且没有技术证据表明它们之间存在联系。第一波主要使用PlugX恶意软件。第二波依赖合法工具和凭据盗窃。ANSSI相关人员没有说出受害者的名字,也没有将攻击归因于任何特定的黑客组织或外国。但是,报告中提到的PlugX后门木马是一种常见的实用程序,在过去的十年中,中国支持的黑客组织经常在许多入侵中使用该实用程序。

  除了针对服务提供商和工程公司的攻击报告之外,ANSSI还发布了第二份报告。第二份报告详细介绍了主要针对政府机构的大规模网络钓鱼和凭据收集活动。ANSSI官员说:“假定的目标范围很广,包括国家官员和智囊团。五个可能成为目标的外交实体属于联合国安理会成员国(中国,法国,比利时,秘鲁,南非)。”

  ANSSI说,这两个报告仅仅是开始,他们计划将来在该机构网站上建立的专用页面上发布更多内容。该机构希望,这些报告将提供技术细节,以便法国和外国公司可以制定防御措施,以预防或阻止未来的袭击。法国网络安全机构正在遵循一种趋势,该趋势已受到美国和英国网络安全机构的普遍欢迎。在过去的一年中,该趋势已开始与私营部门共享有关正在进行的网络间谍活动的更多信息,驱逐外国并发布面向公众的内部工具(例如NSA的Ghidra恶意软件分析框架)。

  天地和兴安全研究院翻译整理,参考来源:ZDNet

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号