安全研究
全部分类

关键信息基础设施安全动态周报【2019年第6期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-09-10 02:10
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第6期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第6期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第6期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-09-10 02:10
  • 访问量:
详情
  目 录
  第一章 国内关键信息基础设施安全动态简讯
  (一)境外响尾蛇组织伪装我国相关部门 对他国驻华使馆发起攻击
  (二)L根服务器上海镜像节点上线
  第二章 海外关键信息基础设施安全动态简讯
  (一)前苏联遗留水电站吸引大量比特币采矿企业
  (二)美国对伊朗发动网络攻击削弱其袭击油轮的能力
  (三)荷兰机构招募伊朗特工帮助美国和以色列种植Stuxnet病毒
  (四)Facebook4亿多条用户资料在线曝光
  (五)美国多地选民登记处受到勒索软件攻击
  (六)专家发现俄罗斯的SORM监控设备泄露了用户数据
  (七)勒索软件袭击了美国数百家牙医诊所



  第一章 国内关键信息基础设施安全动态简讯
  (一)境外响尾蛇组织伪装我国相关部门 对他国驻华使馆发起攻击
  2019年7月29日,某威胁情报云捕获到一份名为“test.rtf”的可疑文档,该恶意样本以我国国防部国际合作部门发送的通知文件为诱饵,尝试利用CVE-2017-11882漏洞,向他国驻华使馆人员投递远控木马,是一起典型的APT攻击活动。

 
  该文档内嵌一个js代码文件的Package对象。样本执行后,触发漏洞,通过一段ROP链执行shellcode,shellcode初始化JS脚本执行环境,然后托管执行被释放到临时目录的Package对象1.a.。JS文件释放微软利用组合文件,经过多次内存装载执行最终实现具备数据上传、下载以及收集主机信息、特定文件等典型窃密功能。
  过分析关联发现,本次攻击的幕后团伙为具有印度背景的黑客组织响尾蛇(SideWinder),此次攻击事件从侧面反映出我国已成为该组织攻击目标之一。

 

  本文版权归原作者所有,参考来源:步情报局


  (二)L根服务器上海镜像节点上线
  9月3日,中国互联网络信息中心(CNNIC)、上海市委网信办等在上海举行“L根服务器上海镜像节点”上线发布活动。
  L根服务器上海镜像节点的上线,将进一步提升华东地区的互联网基础资源设施服务水平和安全保障能力,更好地发挥上海的信息通信枢纽作用,提升互联网应用的访问性能和安全性,对华东地区乃至全国互联网快速、安全、稳定运行具有重要意义。
  据了解,根服务器的镜像节点由互联网名称与数字地址分配机构(ICANN)联合各根服务器运行机构,在全球范围内与当地托管机构合作建设。目前,全球已部署1164个根镜像。
  根服务器作为全球域名根状体系中的“根”,积极引进根服务器的镜像节点将有助于提升我国互联网的稳定性和安全性。从2003年开始,我国共引进了11个根镜像服务器,其中9个部署在北京。此次落户上海的L根镜像服务器,是我国第12个根镜像服务器,也是上海第一个对我国全网提供服务的根镜像服务器。
  本文版权归原作者所有,参考来源:科学网


  第二章 海外关键信息基础设施安全动态简讯
  (一)前苏联遗留水电站吸引大量比特币采矿企业
  9月2日消息,据外媒报道,前苏联时期的布拉茨克水电站正在转型,发展需要大量电力的比特币采矿业。几个大型采矿场开设在布拉茨克,利用该地区的低温,降低了冷却成本,同时这里还有廉价的电力。
  一方面是前苏联工厂关闭,另一方面随着产业升级,能源消耗越来越少,俄罗斯出现了电力供应过剩的情况。
  据了解俄罗斯各地的比特币采矿场共计有600兆瓦的联合电力,全球比特币网络约有7000兆瓦的电力支持,而俄罗斯占据了近10%。
  西伯利亚的电力主要由水电产生,是世界上最便宜的电力,约为4美分每千瓦时,俄罗斯的用电均价在7-8美分。
  布拉茨克的市长表示“这是布拉茨克经济和商业中崭新的一部分,它为城市提供了新的就业机会和大量税收”。
  本文版权归原作者所有,参考来源:TechWeb


  (二)美国对伊朗发动网络攻击削弱其袭击油轮的能力
  根据美国高级官员的说法,6月份针对伊朗的秘密网络攻击消灭了伊朗准军事部队使用的关键数据库,该数据库用于策划对油轮的袭击,并降低德黑兰秘密瞄准波斯湾航运的能力,至少是暂时的。

 
  官员们表示,伊朗仍在试图恢复6月20日袭击中被摧毁的信息,并重新启动部分计算机系统 - 包括军事通信网络 - 。
  高级官员讨论了罢工的结果,部分原因是为了平息特朗普政府内部的疑虑,即该行动的好处是否超过了成本损失的情报,以及失去了伊朗革命卫队,伊朗准军事部队使用的关键网络。
  美国和伊朗长期以来一直参与未申报的网络冲突,其中一个经过精心校准,以保持战争与和平之间的灰色地带。官员们表示,6月20日的罢工是正在进行的战斗中的一次重大攻击,即使在特朗普总统在伊朗击落美国无人机后的那天取消报复性空袭之后,这次袭击仍在继续。
  据美国政府官员称,伊朗没有对其袭击事件进行升级,继续以稳定的速度对美国政府和美国公司进行网络行动。
  前高级情报官员诺曼•鲁尔(Norman Roule)表示,美国的网络行动旨在改变伊朗的行为,而不会引发更广泛的冲突或引发报复。他说,因为他们很少公开承认,所以网络攻击很像秘密行动。
  “你需要确保你的对手理解一条信息:美国拥有他们永远无法匹敌的巨大能力,如果他们只是停止他们的违规行为,对所有人来说都是最好的,”Roule先生说。
  网络操作与其他常规战争完全不同。现任和前任官员表示,网络攻击不一定能像传统的军事打击一样阻止未来的侵略。高级国防官员表示,这部分是因为网络操作难以归因,并且并非总是被任何一方公开承认。
  安全研究院翻译整理,参考来源:纽约时报


  (三)荷兰机构招募伊朗特工帮助美国和以色列种植Stuxnet病毒
  据雅虎新闻本周报道,在美国和以色列情报部门与荷兰情报机构AIVD协调招募一名伊朗工程师作为内部特工可能感染伊朗在纳坦兹附近的浓缩工厂之后,2007年Stuxnet病毒袭击对伊朗当时正在萌芽的核计划实施。

 
  该工程师最初提供的数据帮助Stuxnet的作者开发了专门针对工厂系统的代码。后来,该内部人员冒充机械师进入该设施,并通过USB闪存驱动器直接将病毒下载到其系统中,或者感染设施工程师的系统,后者在不知不觉中传播病毒。
  被称为“奥运会”的Stuxnet运动旨在破坏和制止伊朗的核野心,同时各国寻求通过制裁和外交来终止该计划的手段。病毒感染了西门子的可编程逻辑控制器(PLC),当某些离心机上的出口阀关闭,捕获气体并升高内部压力时,或者当通过这些PLC操作的伊朗核离心机将秘密地失控并断裂时,导致破坏。
  该计划一直有效,直到2010年Stuxnet被发现并曝光。伊朗最终将恢复运营,但在2015年同意与P5 + 1国家和欧盟商定的联合综合行动计划。2018年5月,美国在唐纳德特朗普总统的命令下退出协议。
  ”奥运会“主要由国家安全局,中央情报局,以色列摩萨德,以色列国防部和以色列SIGINT国家部队领导。但雅虎新闻报道称,两国还获得了荷兰,德国,英国以及另一个被认为是法国的国家的战略援助。
  荷兰不仅招募了伊朗特工,而且据报道还利用黑客收集的信息和渗透帮助伊朗和利比亚发展核计划的行动者网络,为伊朗采购核设备的努力提供了情报。与此同时,德国提供了西门子工业控制系统的技术规范。(报告补充道,法国可能提供类似的情报。)
  安全研究院翻译整理,参考来源:SCMagazine


  (四)Facebook4亿多条用户资料在线曝光
  社交媒体巨头Facebook最近的隐私漏洞暴露了一台没有密码保护的服务器上4亿多条用户记录,每条记录都包含一个用户的Facebook ID和连接到他们账户的电话号码。
  暴露的服务器在多个地理位置的用户数据库中包含超过4.19亿条记录,其中包括美国Facebook用户的1.33亿条记录,英国的1800万用户记录,以及越南用户记录超过5000万条的另一条记录。
  但由于服务器没有受密码保护,任何人都可以找到并访问数据库。
  每条记录都包含用户唯一的Facebook ID和帐户中列出的电话号码。用户的Facebook ID通常是与其帐户关联的长而唯一的公共号码,可以轻松用于识别帐户的用户名。
  但是,由于Facebook限制访问用户的电话号码,电话号码在一年多的时间内尚未公开。
  TechCrunch通过将已知Facebook用户的电话号码与其列出的Facebook ID进行匹配来验证数据库中的多条记录。我们还通过将电话号码与Facebook自己的密码重置功能相匹配来检查其他记录,该功能可用于部分显示与其帐户关联的用户电话号码。
  一些记录还具有用户的姓名,性别和国家/地区的位置。

 
  这是自剑桥分析公司丑闻事件以来发生的一系列事件后涉及Facebook数据的最新安全失误,该丑闻在2016年美国总统大选中有超过8000万个人被用来帮助识别摇摆选民。
  从那以后,该公司已经看到了几起备受瞩目的刮擦事件,其中包括Instagram,后者最近承认批量数据被大量削减。
  这一最新事件仅仅通过他们的Facebook ID暴露了数百万用户的电话号码,使他们面临垃圾电话和SIM交换攻击的风险,这些攻击依赖于欺骗手机运营商向攻击者提供一个人的电话号码。使用其他人的电话号码,攻击者可以强制重置与该号码相关联的任何互联网帐户的密码。
  安全研究员兼GDI基金会成员Sanyam Jain在无法找到所有者后找到了数据库并联系了TechCrunch。在审查数据后,我们也不能。但在我们联系网络主机后,数据库被拉下线。
  杰恩说,他发现的电话号码与几位名人有关。
  Facebook发言人Jay Nancarrow表示,在Facebook切断对用户电话号码的访问之前,数据已被刮掉。
  发言人说:“这个数据集很旧,似乎在我们去年做出改变之前获得的信息是为了消除人们使用他们的电话号码找到其他人的能力。”“数据集已被删除,我们没有看到任何证据表明Facebook帐户遭到入侵。
  但问题仍然存在,究竟是谁在刮取数据,何时从Facebook上删除数据以及原因。
  Facebook 长期以来一直限制开发者访问用户电话号码。该公司还使搜索朋友的电话号码变得更加困难。但是数据似乎在上个月底被加载到暴露的数据库中 - 尽管这并不一定意味着数据是新的。
  这一最新数据曝光是最新的在线和公开存储的数据示例,没有密码。尽管数据暴露通常与人为错误相关而非恶意攻击,但仍然代表着新出现的安全问题。
  最近几个月,金融巨头First American的数据曝光,MoviePass和参议院民主党也是如此。
  安全研究院翻译整理,参考来源:TechCrunch


  (五)美国多地选民登记处受到勒索软件攻击
  敲诈勒索者最近关闭了德克萨斯州,马里兰州,佛罗里达州和纽约州的市政计算机系统,威胁要删除数据库,除非城市支付赎金。现在,全国各地的官员都担心黑客使用的工具(称为勒索软件)可以用来瞄准国家选民登记册,并在国家进入2020年选举时破坏信心。

 
  例如,根据州选举委员会发言人马特·迪特里奇(Matt Deitrich)的说法,伊利诺伊州的选民登记数据库只能通过封闭的光纤网络而不是开放的互联网进行访问。他说,草原州正在取得进展,但仍有一段路要走。目前,其108个辖区中只有不到三分之一通过专用网络连接到数据库。
  该安全努力是值得的,Deitrich说。如果一个黑客甚至用勒索软件锁定一个县的选举机构,那就会造成整个系统受到损害的印象。“这种现象可能会破坏选民的信心,”Deitrich说。
  勒索软件将成为选举黑客的一个新特征,在情报官员称俄罗斯黑客在2016年总统竞选期间调查选民登记后,这引起了公众的注意。官员们表示,2020年的勒索软件攻击可能会造成毁灭性打击,阻止选民登记或调查工人确认选民资格。黑客的目标不会改变所投的票数,而是怀疑合格选民是否能够发出自己的声音。
  勒索软件锁定受害者的计算机系统,直到支付赎金,通常是比特币或其他加密货币。黑客经常威胁要删除数据。它像其他恶意软件一样通过电子邮件附件或不安全的链接传播。
  这些攻击已经成为一种常见的数字攻击:城市,医院和个人都受到锁定计算机的阻碍。纽约首都奥尔巴尼今年早些时候被击中。在圣迭戈港和旧金山牟尼公共交通系统受到了重创。即使是美国PGA高尔夫球队也是勒索软件攻击的受害者。情况变得如此糟糕,超过225名市长最近签署了一项决议,不支付网络攻击中的赎金。
  美国国土安全部担心选民登记数据库易受勒索软件的影响。情报官员说,俄罗斯军方黑客试图在2016年大选之前访问这些数据库。参议院委员会发现俄罗斯人试图渗透所有州的选民制度。该委员会发现伊利诺伊州的系统已被渗透,但没有证据表明黑客改变了任何信息。
  国土安全部发言人斯科特麦康奈尔在一份声明中表示,“在选举前的关键时刻成功进行勒索软件攻击可能会限制信息获取,并有可能破坏公众对选举本身的信心。
  据国土安全部证实,路透社的一份报告称,网络安全基础设施安全局是一个DHS部门,正在与州选举官员合作,以防止勒索软件感染。除了就如何从勒索软件攻击中恢复提供建议外,CISA还提供针对漏洞的教育材料和扫描系统。
  与投票系统不同,投票系统很少连接到互联网,选民登记数据库通常会这样做。这使他们变得脆弱。
  州选举官员表示,最大的脆弱点是县和地方选举机构,通常需要获得选民名单,并负责分发缺席选票。根据威斯康星州选举委员会发言人雷德马格尼的说法,威斯康辛州很清楚这一挑战,因为它拥有的市政选举机构比其他任何州都多。
  “我们担心的是,在选举期间的某个地方,1,850个城市中的一个可能遭到勒索软件攻击,”马格尼说。
  该州正在使用联邦拨款来帮助当地选举机构确保他们的设备是安全的。它还要求用户在登录到状态系统时使用称为FIDO密钥的物理令牌对其身份进行身份验证。
  由于县和地方选举机构是自治的,州选举官员不能强迫他们雇用IT人员或采用自己的系统采取特定的做法。但他们可以为员工提供培训,并为改进的设备和软件提供资金。
  像伊利诺伊州,威斯康星州和华盛顿州这样的国家也找到了将系统分成若干段的方法,这样一个受损帐户就不会扩散到特定的县以外。他们强调在线和物理数据备份的重要性,并不断更新扫描恶意软件和过滤掉可疑电子邮件的系统。
  安全研究院翻译整理,参考来源:cnet


  (六)专家发现俄罗斯的SORM监控设备泄露了用户数据
  俄罗斯安全研究员Leonid Evdokimov发现构成俄罗斯SORM监控系统的硬件窃听设备在网上泄露了用户数据。
  俄罗斯政府要求国家ISP购买和安装SORM系统使用的探测器,允许联邦安全局(FSB)监控包括在线通信在内的互联网流量。
  SORM是一种大规模监视系统,由于俄罗斯互联网服务提供商的支持,它允许莫斯科政府跟踪单个人的在线活动。

 
  Leonid Evdokimov于8月25日在圣彼得堡的“Chaos Constructions”IT会议上分享了他的发现,他的研究的技术细节被报道了一篇题为“ SORM缺陷 ” 的论文。
  他发现在20个运行不安全FTP服务器的俄罗斯ISP网络上安装了30台SORM设备。这些服务器包含与当局进行的监视活动有关的流量日志。
  阅读在Meduza.io网站发布的帖子了解到,使用开源安全扫描仪“ZMap”,Evdokimov在至少20家俄罗斯互联网服务提供商的网络中发现了30多个“可疑数据包嗅探器”。
  在这些设备的IP地址上,Evdokimov发现了开放的FTP(文件传输协议)服务器,以及某些”实时流量“,其中 - 除其他数据外 - 他发现”与提供商的手机号码非常相似“客户,他们的登录,电子邮件地址,网络地址,信使号码,甚至GPS坐标都是由运行过时固件的保护不当的智能手机清晰传输的。
  所有这些数据都可以确切地确定这是谁的流量,以及它们是哪些客户,”Evdokimov总结道。
  Evdokimov 在2018年4月发现了窃听设备,自2018年6月起,他与互联网服务供应商合作,确保了SORM设备的安全。
  专家在不安全的FTP服务器上找到的数据包括:
  拥有俄罗斯核研究中心的萨罗夫居民的GPS坐标 ;
  ICQ即时通讯工具 用户名,IMEI号码和电话号码属于莫斯科的一百部手机;
  生活在Novosilske村的人们的路由器的MAC地址和GPS坐标;
  来自多个位置的智能手机运行过时固件的GPS坐标。
  在Evdokimov在会议上发表演讲之前,30台SORM设备仍然没有在线保护。
  研究人员发现的一些SORM设备是由俄罗斯MFI Soft制造的。但是,其他监视设备是由其他供应商创建的。
  MFI Soft的工作人员拒绝相信该公司的硬件是数据泄露的来源,而是将其归因于电信客户运营的”公司信息安全系统。在所有SORM设备供应商中,MFI Soft去年表现最佳,收入飙升294%至103亿卢布(1.545亿美元),利润增长298%至近21亿卢布(3150万美元)。
  安全研究院翻译整理,参考来源:SecurityAffairs


  (七)勒索软件袭击了美国数百家牙医诊所
  本周美国数以百计的牙科诊所办公室的计算机感染了勒索软件。
  此事件是勒索软件公司破坏软件提供商并使用其产品在客户系统上部署勒索软件的一个案例。
  软件提供商是The Digital Dental Record和PerCSoft,两家位于威斯康星州的公司,他们合作开发了DDS Safe,这是一种向美国牙科诊所办公室广告的医疗记录保留和备份解决方案。
  在上周末,一个黑客组织违反了该软件背后的基础设施,并用它在美国数百个牙医诊所的计算机上部署了REvil(Sodinokibi)勒索软件。
  周一,当牙医重返工作岗位时,安全漏洞曝光,但却发现他们无法获取任何患者信息。
  受勒索软件影响的消息来源告诉ZDNet,这两家公司选择支付赎金需求。自周一以来,Digital Dental Record和PerCSoft一直与受影响的牙科诊所共享一个解密器,帮助公司恢复加密文件。

 
  恢复过程一直很缓慢,因为大多数勒索软件恢复操作往往是,一些牙科诊所声称在Facebook组上解密器要么不起作用,要么没有恢复所有数据。
  在本文发布之前,Digital Dental Record和PerCSoft没有回复电话或电子邮件寻求其他信息。
  此事件是黑客组织第三次破坏托管服务提供商(MSP)并使用其基础设施部署REvil(Sodinokibi)勒索软件。
  第一个发生在6月,当时一个团队违反了几个尚未确定的MSP并使用Webroot SecureAnywhere控制台用REvil(Sodinokibi)感染客户PC。
  第二起事件发生在DDS Safe袭击前的周末。黑客攻击了另一家MSP公司,并利用其基础设施在德克萨斯州22个县的IT网络上部署勒索软件(最初报告为23个)。
  在今天发布的一份报告中,Fidelis Security将REvil(Sodinokibi)列为今年最活跃和最普遍的勒索软件之一,市场份额为12.5%,仅落后于Ryuk,Phobos和Dharma。
  具有讽刺意味的是,数字牙科记录在其网站上宣传DDS Safe是一种保护文件免受勒索软件攻击的方法。
  安全研究院翻译整理,参考来源:ZDNet

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号