安全研究
全部分类

关键信息基础设施安全动态周报【2019年第4期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-08-28 17:25
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第4期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第4期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第4期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-08-28 17:25
  • 访问量:
详情

  目 录

  (一)HEXANE威胁针对中东地区工业控制系统

  (二)乌克兰员工将核电站连接到互联网,以便挖掘加密货币

  (三)欧洲中央银行确认网站被黑造成数据泄露

  (四)德克萨斯州信息资源部(DIR)20个当地政府实体遭受网络攻击

  (五)高级黑客组织Silence攻击世界各地银行

  (六)银川一男子入侵政府网站

  (七)黑客对美国军用战斗机F15的飞行系统进行测试并发现漏洞

  (八)黑客使用虚假NordVPN网站分发特洛伊木马以盗取银行客户信息

  (九)用于汽车、航空、工业、军事的SoC板中发现了无法修补的安全漏洞

  (十)黑客利用社工诈骗加拿大政府部门百万美元

  (十一)工业控制系统网络安全会议将于2019年10月21日在美国亚特兰大举行

  (一)HEXANE威胁针对中东地区工业控制系统

  Dragos确定了一个针对工业控制系统(ICS)相关实体的新活动组:HEXANE。Dragos观察到该集团的目标是中东的石油和天然气公司,包括科威特作为主要经营区域。此外,与其他活动组Dragos不同,HEXANE还针对大中东,中亚和非洲的电信提供商,可能成为以网络为中心的中间人和相关攻击的跳板。

  HEXANE入侵活动包括恶意文档,这些文档会丢弃恶意软件以为后续活动建立立足点。虽然该小组至少在2018年中期开始运作,但活动在2019年初至中期加速。这一时间表、目标、增加的行动恰逢中东目前的紧张局势升级,这是目前的政治和军事冲突领域。

  HEXANE的电信目标似乎遵循其他活动组体现的趋势。ICS对手越来越多地瞄准潜在目标供应链中的第三方组织。例如,在2018年,Dragos确定了针对几家工业原始设备制造商(OEM)以及硬件和软件供应商的活动组XENOTIME。通过危害ICS内目标使用的设备,固件或电信网络,恶意活动可能会通过受信任的供应商进入受害环境,绕过实体的大部分安全堆栈。

  HEXANE表现出与MAGNALLIUM和CHRYSENE活动组的相似之处。所有这些都是ICS目标活动,主要集中在石油和天然气,一些行为和最近观察到的战术,技术和程序(TTPs)是相似的。与HEXANE一样,MAGNALLIUM也在2019年初至中期增加了活动。Dragos确定了最近针对美国政府和金融机构以及石油和天然气公司的MAGNALLIUM活动,试图访问目标组织的计算机。

  安全专业人员可以通过建立测试程序来帮助保护他们的组织免受ICS攻击,该测试程序根据各自的风险概况评估所有工业控制系统及其组件的相关安全威胁。公司还应考虑加强其事件响应和威胁情报功能,以便他们能够快速确定安全事件的根本原因并防止数字攻击者实现其目标。

  (二)乌克兰员工将核电站连接到互联网,以便挖掘加密货币

  据乌克兰新闻网站UNIAN报道,乌克兰当局正在调查当地核电厂可能发生的安全漏洞事件,因其员工将部分内部网络连接到互联网以便他们可以挖掘加密货币。

  据当局称,事件发生在7月份,位于乌克兰南部Yuzhnoukrainsk市附近的乌克兰南部核电站。目前还不知道该计划是如何被发现的,但是在7月10日,SBU突击搜查了核电站,从那里它查获了专门用于挖掘加密货币的计算机和设备。该设备在发电厂的管理办公室中找到,而不是在其工业网络中找到。没收的设备包括两个包含基本计算机部件的金属盒子,附带电源,冷却器和视频卡。根据法庭文件显示,一个盒子里面装了六个Radeon RX 470 GPU显卡,另一个盒子里装了五个这种显卡。

  该调查由乌克兰特勤局(SBU)领导,该机构将该事件视为可能违反国家机密的行为,因该核电厂的分类为关键基础设施。调查人员正在研究攻击者是否可能使用采矿钻机作为枢纽点进入核电站的网络并从其系统中检索信息,例如有关工厂物理防御和保护的数据。

  此外,SBU还发现缴获的附加设备看起来像乌克兰国民警卫队的军事单位用作兵营的建设采矿钻机,任务是守卫电厂。

  一些员工因参与该计划而被指控,但尚未被捕。目前还不清楚是否有任何军事人员受到指控。有关官员认为,由于最近加密货币交易价格在经历了很长一段时间的下跌之后,嫌疑人尝试了他们的计划。

  (三)欧洲中央银行确认网站被黑造成数据泄露

  未经授权的第三方攻击了欧洲中央银行(ECB)的综合报告词典(BIRD)网站,窃取了481个订阅者的电子邮件和其他联系信息,并促使该银行无限期关闭该网站。

  Bird是由中央银行的监管部门协调的服务,该部门负责监管19个欧元区国家的100多家最大和最重要的贷方。该网站支持银行收集和组织信息,以便提交给欧洲央行监管团队。

  根据公开信息,对欧洲央行的网络攻击似乎是由于违反供应商的服务器造成的。类似于今年夏天早些时候的Capital One漏洞,这进一步证明了与公司安全团队之外的第三方相关的风险。

  欧洲央行表示,虽然黑客无法访问加密货币等敏感信息,但它正在联系可能受影响的人,让他们知道。

  由于该网站是在与其他ECB计算机分开的外部服务器上运行的,“既没有ECB内部系统也没有市场敏感数据受到影响”,该银行补充道。幸运的是,欧洲央行声称密码没有被盗,银行的内部系统都没有受到损害,且市场敏感数据没有受到影响。

  

QQ截图20190828141418

 

  (四)德克萨斯州信息资源部(DIR)20个当地政府实体遭受网络攻击

  德克萨斯州信息资源部(DIR)周六证实,范围广泛的勒索软件攻击已经袭击了德克萨斯州的23个政府实体,其中大多数是“规模较小的地方政府”。

  袭击事件发生在美国时间8月16日星期五早上,当时几个较小的德克萨斯州当地政府报告说他们在德克萨斯州信息资源部(DIR)获取数据时遇到了问题。

  “目前,收集的证据表明攻击来自同一个威胁者,”DIR在一份新闻稿中表示,并指出“看来所有实际或可能受影响的实体都已被识别并通知。”

  州政府致力于让系统恢复运行,并从多方获取资源,包括DIR,德克萨斯州应急管理部,德克萨斯A&M大学系统安全运营中心/关键事件响应小组,公共安全部,国家安全部(DHS),FBI和FEMA。

  根据ZDNet的消息,德克萨斯州政府感染的可能是Sodinokibi(REvil)勒索软件。在一些受感染的系统上发现的.JSE文件扩展名很可能是由Ostap木马创建的,作为其自我复制功能之一,可以很容易地与勒索软件混淆。Ostap是一种已知的木马,用于分发TrickBot木马,这种恶意软件现经常用于在受感染的主机上下载和部署勒索软件。

  (五)高级黑客组织Silence攻击世界各地银行

  被研究人员称为Silence的高级黑客组织的活动在过去一年中显著增加。金融部门的受害者分散在30多个国家,经济损失增加了五倍。

  该组织在2016年开始活动,起初通过学习其他黑客组织的道路起步。从那以后,它成功地窃取了至少420万美元,最初来自前苏联的银行,然后是欧洲,拉丁美洲,非洲和亚洲的受害者。

  总部位于新加坡的IB-Group网络安全公司Group-IB的研究人员早期跟踪了Silence并判断其成员熟悉白帽安全活动。

  研究人员表示,Silence已经改善了其操作安全性并改变了其工具集以阻止检测。除了重写第一阶段模块(Silence.Downloader / Truebot)之外,该小组还开始使用名为Ivoke的基于PowerShell的无文件加载器。

  对于受害者网络中的横向移动,使用名为EmpireDNSAgent(EDA)的新PowerShell代理,因为它基于最近放弃的Empire框架和dnscat2项目。

  与大多数APT一样,Silence使用网络钓鱼电子邮件来感染受害者。然而,在2018年10月,Silence采用了新的策略:该团伙开始发送侦察电子邮件,作为其攻击准备阶段的一部分。Silence的消息看起来像“邮件传递失败”消息,通常包含没有恶意负载的链接。此类“侦察”电子邮件允许网络犯罪分子获取有效电子邮件列表以供将来攻击,并获取有关目标公司使用的网络安全解决方案的信息,同时保持未被发现。Group-IB的威胁情报团队确定了至少三次主要的侦察活动。这些活动遍及亚洲,欧洲和后苏联国家,超过170,000发送“侦察”电子邮件。最大的活动集中在亚洲:自2018年11月起,Silence向台湾,马来西亚,韩国,阿联酋,印度尼西亚,巴基斯坦,约旦,沙特阿拉伯,新加坡,越南,香港和中国的组织发送了近8万封电子邮件。2018年10月开始的另一场大规模战役在俄罗斯和后苏联国家开展。Silence的欧洲“侦察”活动是最小的:在2018年10月,该组织向英国的金融机构发送了不到10,000封的侦察电子邮件。

  验证电子邮件地址后,威胁行为者将进入攻击的下一阶段,并开始发送带有下载特定于Silence的恶意软件的负载的消息。使用目标系统上已有的自行开发的工具或二进制文件,遵循持久性和横向移动。在最后阶段,攻击者到达卡处理机器并且可以使用其Atmosphere木马或称为“xfs-disp.exe”的程序控制ATM,以在特定时间向钱骡分发现金。

  

Silence2-Tactics_TW

 

  (六)银川某男子入侵政府网站

  8月16日,记者从宁夏银川市公安局网安支队了解到,银川市公安局网安部门近期成功侦办一起重大非法侵入计算机信息案。

  7月19日,某政府网站管理员向网安支队报警,该政府网络内局长信箱模块有网民多次发送非正常留言,后模块运行不正常,疑遭黑客攻击。接警后,网安支队立即开展核查,发现有用户名为“ADMIN”、“ADMI”两个账号在该网站上进行注册后,表面上留言内容为“11111111”或者空白,但其实均隐藏着恶意代码。嫌疑人的行为已构成《刑法》二百八十五条非法侵入计算机信息系统罪。至此,网安支队确定该网站被黑客使用跨站脚本攻击(XSS)方式进行非法入侵。

  办案民警介绍,该攻击方式可以秘密获取网站管理员使用电脑的浏览器权限,并绕过验证登陆后,可删改网站内容,并进行植入木马等后续提权操作等,进而可能造成非常严重后果。

  经查,嫌疑人真实身份为李培及其徒弟李木子,经过多方调查发现二人均在乌鲁木齐市。李培供职于某网络科技公司,负责向运营商提供重要信息系统等级保护测评业务,工作中网络渗透测试的目标网站均获得官方授权,属于公司正常业务行为。

  李培是银川人,最近,他利用休息时间,在未授权的情况下,对银川市的某政府网站进行渗透测试,他的目的就是为了找出网站漏洞并生成漏洞报告,然后上传CNVD(国家信息安全漏洞共享平台),由CNVD下发各网站进行修补。

  按照李培的说法,他这是为家乡做点贡献,在此之前,他还对包括石嘴山市多个政府网站及周边多个省、市政府网站进行攻击。可法律意识较为淡薄的李培并没有意识到自己的行为属于违法犯罪行为。最终,两名嫌疑人对犯罪事实供认不讳,目前羁押在银川市看守所。

  

银川男子

 

  (七)黑客对美国军用战斗机F15的飞行系统进行测试并发现漏洞

  在8月8日-11日举行的defcon安全大会上,一个由7名白帽子组成的团队经过授权对美国军用战斗机飞行系统进行了安全测试,测试发现F15战斗机系统中存在多个严重漏洞。

  攻击者利用漏洞可以控制视频摄像头和传感器,在飞行时可以关闭Trusted Aircraft Information Download Station (可信飞机信息下载站,TADS)。TADS是在战斗机飞行过程中从视频摄像头和传感器来收集数据的一个价值2万美元的设备。

  这些“白帽子”黑客全部来自五角大楼国防数字服务部门的外包商Synack网络安全创业公司,尽管这是他们首次获得授权测试入侵F-15战机实体系统,但他们去年已在不接触军用设备的情况下,入侵过类似的军用信息系统,事后美国空军试图“亡羊补牢”,却被证明是徒劳无功。

  美国空军部长助理威尔·罗珀表示,美军所有战机都有数以百万计的代码行数,只要其中一行存在缺陷,就有可能被对手入侵。即便是一个无法制造先进战机的国家,也能通过键盘入侵搞垮美军战机。为此,明年他将把这些黑客送到内利斯空军基地和克里奇空军基地,深入探测军用飞机的每一个网络安全漏洞,搞清楚哪些后门会让黑客得以控制其他系统,乃至有效控制整架战机。此外,他还计划向“白帽子”黑客开放测试一个军用卫星地面控制系统。

  (八)黑客使用虚假NordVPN网站分发特洛伊木马以盗取英语国家银行客户信息

  研究人员称,网络黑客最近通过假冒的Nord VPN网站nord-vpn.club网站积极分发Win32.Bolik.2银行木马,这个网站几乎完美的克隆了著名的NordVPN所使用的真实官方网站nordvpn.com。

  

Fake NordVPN website

 

  这个克隆的假网站做的非常逼真,具有和真实网站相同的设计、配色方案、和字体,甚至克隆的网站还拥有由开放证书颁发机构Let's Encrypt于8月3日颁发的有效SSL证书,有效期至11月1日。

  “Win32.Bolik.2木马是Win32.Bolik.1的改进版本,具有多组分多态文件病毒的特性。使用这种恶意软件,黑客可以执行网络注入,流量拦截,键盘记录以及窃取来自不同银行的客户系统的信息。

  这个恶意活动背后的运营商已于8月8日发起攻击,主要目标专注于讲英语的地区。据研究人员称,已有数千人已经访问了nord-vpn.club网站来寻找链接下载NordVPN客户端。

  在成功感染受害者之后,黑客使用恶意软件主要是作为键盘记录器/交通嗅探器/后门。

  受感染的NordVPN安装程序实际上真的会安装NordVPN客户端,以避免引起怀疑。同时在已经受损的系统幕后删除Win32.Bolik.2特洛伊木马恶意负载。

  这个网络攻击者以前破坏和滥用免费多媒体编辑VSDC网站分发Win32. Bolik.2银行木马,攻击合法网站劫持被恶意软件感染的下载链接;现在他们创建克隆网站,以便将银行特洛伊木马交付给毫无防备的受害者计算机,这使他们可以专注于为恶意工具添加功能,而不是通过尝试渗透合法企业的服务器和网站来浪费时间。

  (九)用于汽车、航空、工业、军事的SoC板中发现了无法修补的安全漏洞

  安全研究人员在Xilinx制造的流行的SoC板上发现了一个无法修复的安全漏洞。易受攻击的组件是Xilinx的Zynq UltraScale +品牌,其中包括片上系统(SoC),多处理器片上系统(MPSoC)以及射频片上系统(RFSoC)产品,应用于汽车、航空、消费电子、工业、和军事部件。

  根据Inverse Path的安全研究人员—F-Secure的硬件安全团队介绍,这些SoC包含破坏其安全启动功能的安全漏洞。

  F-Secure表示,这些SoC的仅加密安全启动模式包含两个安全漏洞,其中一个是软件更新无法修复的,并且需要供应商提供“新的芯片修订版”。

  在GitHub上发布的技术报告中,研究人员称Xilinx Zynq UltraScale +仅加密安全启动模式不会加密启动映像元数据,这使得这些数据容易受到恶意修改。

  “在启动程序的早期阶段能够篡改启动头的攻击者可以修改其内容以执行任意代码,从而绕过'仅加密'模式提供的安全措施,”F-Secure的Adam Pilkey说。

  研究人员还发现了第二个错误。虽然第一个是在引导ROM执行的引导头解析中,但第二个错误在于解析分区头表。第二个错误也允许攻击者运行任意代码,但与第一个不同,这是可修补的。

  但是,Xilinx没有针对第二个漏洞发布软件修复程序,因为攻击者可以通过利用第一个漏洞绕过该公司发布的任何补丁。

  显然,只有配置为以“仅加密”安全启动模式启动的Zynq UltraScale + SoC才会受此问题的影响。设备供应商经常使用此安全引导模式来强制执行对使用Zynq UltraScale + SoC作为其内部计算组件的设备中加载的固件和其他软件资产的身份验证和机密性。

  此外,攻击者只能通过物理访问设备来利用这两个安全漏洞,以便对SoC启动序列执行DPA(差分功耗分析)攻击。

  但是,使用Zynq UltraScale + SoC的大多数设备通常用于离线场景,这意味着物理攻击通常是唯一的攻击路径。

  在根据F-Secure发布的安全公告中的调查结果,Xilinx表示它修改了其技术手册,因此使用Zynq UltraScale + SoC的设备供应商将知道使用不受影响且更强大的硬件信任根(HWRoT)安全启动模式,而不使用较弱的“仅加密”模式。

  “HWRoT引导模式确实对引导和分区头进行了身份验证,”Xilinx说。“对于必须使用仅加密启动模式的系统,建议客户考虑DPA,未经身份验证的启动和分区标头攻击向量的系统级保护。

  

xilinx-zynq

 

  (十)黑客利用社工诈骗加拿大政府部门百万美元

  根据当地新闻报道,加拿大萨斯卡通市向一名冒充Allan Construction公司首席财务官的人员转账了104万美元,Allan Construction是一家签约为萨斯卡通市修复桥梁的公司。

  这是典型的商务电子邮件入侵(BEC)欺诈,同时也称为电子邮件账户妥协(EAC)。这种现象去年仅在美国就造成了超过12亿美元的损失。

  在这种类型的欺诈行为中,诈骗者试图让负责付款的员工直接转账到欺诈者控制的账户。这是通过使用看似合法但经过修改以包含攻击者的银行账户的付款文件来实现的。目标是财务部门的员工,他们会收到一封电子邮件,指示他们付款。

  付款是在8月7日或8日左右进行的。在8月12日发现之后,立即通知包括执法部门和金融机构在内的当局,试图扭转交易并收回资金。

  根据市政经理杰夫乔根森(Jeff Jorgenson)的说法,大部分资金都被分散到其他10-15个银行账户,这些账户已被法院命令冻结。

  欺诈者使用的许多账户都在加拿大并且没有被清空,这解释了该城市如何能够冻结它们。如果资金转移到海外银行,网络犯罪分子将会承担巨额赔付。

  资金回收过程处于早期阶段,到目前为止,该市仅收到40,000美元的分期付款。不太可能资金会全额返还给市政府,但乔根森相信他们会追回大部分。

  政府开始加强金融交易的安全控制,以防止未来的欺诈事件。目前还不清楚谁是抢劫者的作者。通常情况下,BEC诈骗是帮派作案,这些团伙不仅专门从事这种欺诈行为,而且还对诈骗技巧非常有经验。

  (十一)工业控制系统网络安全会议将于2019年10月21日在美国亚特兰大举行

  由Security Week举办的ICS网络安全大会将于2019年10月21日至24日在美国亚特兰大举行。Security Week举办的工业控制系统(ICS)网络安全会议是规模最大,运行时间最长的系列活动,专注于工业网络安全。自2002年以来,该会议聚集了各行各业的ICS网络安全利益相关者,吸引了运营和控制工程师,IT,政府,供应商和学者。多年来,会议的重点已从提高认识转向分享安全事件历史,讨论解决方案和保护战略。作为工业控制系统部门的原始网络安全会议,这个会议迎合了能源,公用事业,化工,运输,制造以及其他工业和关键基础设施组织的需求。

  此次会议可能包括的议程有:ICS环境中基于完整性的攻击的过去和未来;利用数据二极管进行工业网络中的边缘分析;IT/ OT融合中的冒险;如何从OT设备中拉出二进制文件;在ICS环境中使用虚拟网络TAP;火车ICS的0级漏洞利用;ICS攻击者工具集的同质化;强化现代ICS环境;Red Team / Blue Team ICS网络安全培训;数字双安全分析和最佳实践;自动发现0级传感器及其相互依赖性;工业控制欺骗环境-模拟水平;深入了解IEC 62443网络安全规范;如何准确衡量当前的ICS网络安全态势;将DevSecOps引入ICS;安全与网络安全的融合;隔离扁平网络以提高可靠性和安全性。

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号