安全研究
全部分类

关键信息基础设施安全动态周报【2019年第16期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-12-06 14:21
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第16期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第16期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第16期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-12-06 14:21
  • 访问量:
详情

目 录

  第一章 国内关键信息基础设施安全动态简讯

  (一)首都网警发布预警通报:OPENSSL加密组件存在重大风险隐患

  (二)12月1日等保2.0正式实施

  第二章 国外关键信息基础设施安全动态简讯

  (一)西门子提供了新发现的PLC漏洞的解决方法

  (二)IBM发现伊朗黑客开发的新型恶意软件ZeroCleare针对工业领域

  (三)英国一座核电厂遭到网络攻击

  (四)Tenable收购OT领导者Indegy

  (五)韩国黑客组织盗取74亿条个人信息

  (六)美国主要数据中心供应商CyrusOne遭受勒索软件攻击

  (七)美国健康医疗中心遭到勒索软件攻击

  (八)美商用短信服务商TrueDialog数据泄露 涉数千万条短信

  (九)北约举行大规模网络军演

 

  第一章 国内关键信息基础设施安全动态简讯

  (一)首都网警发布预警通报:OPENSSL加密组件存在重大风险隐患

  2019年11月30日,首都网警发布网络安全预警通报称,据国家网络与信息安全信息通报中心监测发现,互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患,可能导致信息泄露等风险。

  以下为首都网警《关于OPENSSL加密组件存在重大风险隐患的预警通报》全文:

  据国家网络与信息安全信息通报中心监测发现,互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患,可能导致信息泄露等风险。SSL(Secure Socket Layer)协议是一种为网络通信提供安全以及数据完整性的安全协议,该协议在传输层对网络进行加密。OPENSSL是实现SSL协议的一款开源软件,其提供了多种密码算法、常用密钥以及数字证书封装管理等功能。

  一、基本情况

  此次事件发现:一是众多RSA数字证书密钥存在被破解的可能性,二是部分低版本的OPENSSL组件存在内存泄露漏洞。

  二、影响范围

  以上问题涉及电信、金融、能源、医疗等多个重要行业部门,以及部分高校、企业邮件系统和多款网络设备。在通信数据被截获的情况下,攻击者可利用上述漏洞获取用户账号口令、业务系统数据、邮件内容等敏感信息。

  三、安全提示

  针对该情况,请大家做好防范。一是将原有RSA数字证书替换为RSA2048国产数字证书。二是及时提示本部门、本行业、本辖区重点单位,排查OPENSSL组件使用情况,督促相关单位及时将OPENSSL升级至最新版本。三是加强网络安全意识,开展隐患排查和安全加固,提高防范能力。

  本文版权归原作者所有,参考来源:新浪财经 http://1t.click/bwcR

 

  (二)12月1日等保2.0正式实施

  网络安全等级保护2.0时代,将于2019年12月1日正式开始。

  网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

  等级保护的概念自1994年提出后,经过20多年的发展和演进,已取得较大成功,网络安全法未发布之前可称为等保1.0,网络安全法发布之后成为等保2.0,在2.0时代发生了较大变化。但万变不离其宗,等保五个等级不变、五项工作不变、主体责任不变。等级保护“五个级别”不变;等级保护“规定动作”不变,定级、备案、建设整改、等级测评、监督检查; 等级保护“主体职责”不变。

  对于工业控制系统,应依据等保基本要求中的安全通用要求和工控扩展要求来对工业控制系统开展等级保护工作。工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。工控扩展要求保护主要包括:室外控制设备防护、工业控制系统、网络架构安全、拨号使用控制无线使用控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等方面内容。工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使用安全通用要求条款,对工业控制系统的保护需要根据实际情况使用基本要求。

  根据网络安全法及等级保护相关要求,企业或单位应该按照网络安全法要求严格落实等级保护制度、履行网络安全责任、加强网络安全防护、不断提高网络抗攻击能力,因此还应定期开展网络的等级测评、风险评估、渗透测试、安全培训、安全运维、重要时期的安全保障、日常的应急响应和安全通报等工作。通过这些工作夯实网络安全工作的各个层面,提高安全水平和防御能力,保障企业或单位的网络系统稳定运行。

  本文版权归原作者所有,参考来源:NOSEC http://1t.click/bwcW

 

  第二章 国外关键信息基础设施安全动态简讯

  (一)西门子提供了新发现的PLC漏洞的解决方法

  2019年11月12日,西门子发布了一份安全报告,针对近期研究人员发现的其S7-1200 PLC中发现的漏洞提出了变通办法及缓解措施,该漏洞可用于绕过固件完整性检查以加载恶意软件或劫持设备的工业流程。

  此前,德国波鸿鲁尔大学的研究人员在研究引导加载程序时发现了西门子S7-1200 PLC中未记录的基于硬件的特殊访问功能,该引导加载程序可在设备启动时处理软件更新并验证PLC固件的完整性。

  作为一般的安全措施,西门子强烈建议使用适当的机制来保护对设备的网络访问。 为了在受保护的IT环境中操作设备,西门子建议根据西门子工业安全性操作准则来配置环境并遵循产品手册中的建议。可在https://www.siemens.com/cert/operational-guidelines-industrial-security下载西门子工业安全性操作准则。

  天地和兴安全研究院翻译整理,参考来源:Dark Reading http://1t.click/bwdd

 

  (二)IBM发现伊朗黑客开发的新型恶意软件ZeroCleare针对工业领域

  2019年12月4日,据外媒ZDNet报道,IBM的X-Force安全团队发现了一款由伊朗国家支持的新型破坏性数据清除恶意软件,并命名为ZeroCleare。该软件针对中东能源及工业领域的企业进行了多次攻击。

  IBM在报告中表示,该软件与Shamoon非常相似,Shamoon是过去十年中最危险和最具破坏性的恶意软件品种之一。IBM怀疑该恶意软件的背后开发者为伊朗政府支持的两个顶级黑客组织,APT34(ITG13,Oilrig)和xHunt(Hive0081)。

  ZeroCleare是一款经典的数据清除恶意软件,旨在从受感染的主机中删除尽可能多的数据。数据清除恶意软件通常在两种情况下使用:它要么通过删除重要的法证证据来掩盖入侵,要么被用来损害受害者进行正常商业活动的能力,例如Shamoon,NotPetya或Bad Rabbit等攻击。

  IBM在研究最近的ZeroCleare攻击时,表示已识别出两种版本的恶意软件。一个是为32位系统创建的,另一个是为64位系统创建的。在这两个版本中,IBM表示只有64位版本实际有效。研究人员说,攻击通常始于黑客执行暴力攻击以访问安全性较弱的公司网络帐户。一旦他们获得了公司服务器帐户的访问权限,便利用SharePoint漏洞安装了诸如China Chopper和Tunna之类的Web Shell。一旦攻击者在公司内部站稳脚跟,他们就会在网络内部横向传播到尽可能多的计算机,并在此部署ZeroCleare作为感染的最后一步。一旦ZeroCleare在主机上获得了特权提升,它就会加载EldoS RawDisk,这是用于与文件、磁盘和分区进行交互的合法工具包。然后,该恶意软件滥用了该合法工具,以擦除MBR并损坏大量网络设备上的磁盘分区。

  天地和兴安全研究院翻译整理,参考来源:ZDNet http://1t.click/bwdj

 

  (三)英国一座核电厂遭到网络攻击

  据2019年12月2日周日电讯报和都市晨报报道,一份周末披露的报告称英国一家核电厂遭到了网络攻击,目前仍然没有恢复正常运营。

  英国政府通信总部(Government Communication Headquarters)下属的国家网络安全中心(National Cyber Security Centre, NCSC )已经向该公司提供了帮助。

  英国核退役局(Nuclear Decommissioning Authorities, NDA)通过信息自由法获得的报告说,政府官员已经“意识到核电站是容易受到网络攻击的行业,国家网络安全中心也一直在帮助其恢复运营。”目前此次攻击造成的损失还不清楚。

  在10月份,国家网络安全中心报告中提到,该中心在过去一年抵御了超过600起的网络攻击,其抵御的网络攻击总数已经超过1800起。

  该组织称“相当大一部分攻击是持续来自敌对的国家”。

  本文版权归原作者所有,参考来源:中国国际贸易促进委员会驻英国代表处 http://1t.click/bwdp

 

  (四)Tenable收购OT领导者Indegy

  2019年12月02日,美国Cyber Exposure公司Tenable,Inc宣布收购Integy Ltd,收购价格为7800万美元。Integy是工业网络安全领域领导者,提供可视、安全、可控的OT环境。

  收购Integy将扩大Tenable的OT专业知识及情报深度,以及其在漏洞管理、资产清单等领域中特定于OT的功能的广度、配置管理、和威胁检测。

  Tenable董事长兼首席执行官Amit Yoran在一份声明中说:“ Tenable和Indegy的结合汇集了IT漏洞管理和工业网络安全的两位先驱,以提供业界第一个基于风险的统一的IT和OT安全观点。” “这将改变游戏规则,将有助于改变安全性和最高管理层围绕OT风险做出战略决策的方式。”

  Tenable和Indegy表示,它们在一个平台上提供以下功能:基于风险的衡量;对IT和OT漏洞的统一看法;深入OT环境的智能; IT和OT漏洞评估;以及特定于OT的流程管理。

  天地和兴安全研究院翻译整理,参考来源:CRN http://1t.click/bwds

 

  (五)韩国黑客组织盗取74亿条个人信息

  2019年12月4日,据外媒报道,韩检方捣毁一黑客团伙,该团伙将黑客程序伪装成微软认证程序,窃取74亿条被感染电脑中的个人信息。

  报道中指出,黑客将植入黑客代码的软件伪装成微软正品的软件进行传播,共窃取了74亿条个人信息。这一非法黑客组织近日被检方捣毁,八成韩国民众的各种个人情报都被保存在该组织的数据库里。

  检方表示,犯罪嫌疑人涉嫌将黑客程序伪装成微软认证的正品软件,并在网上传播,只要电脑感染黑客程序,该组织成员就能通过远程查该台电脑的所有信息。使用者每次输入个人信息时,黑客程序就会进行采集,最终形成了庞大的数据库。

  其中还包含54亿条个人信息的某中国电信诈骗团伙的电脑,也被该黑客团伙控制。以此手段采集到的个人信息达到74亿条,只要搜索网站域名,就能检索到用户名、密码、身份证号甚至是住址。

  目前检方已逮捕犯罪嫌疑人三名,并提起公诉。

  本文版权归原作者所有,参考来源:新浪科技 http://1t.click/bwdu

 

  (六)美国主要数据中心供应商CyrusOne遭受勒索软件攻击

  2019年12月4日,美国最大的数据中心提供商之一CyrusOne遭受了勒索软件攻击。CyrusOne目前正在与执法部门及取证公司合作,调查这种攻击,并帮助客户从备份中恢复丢失的数据。该公司遭受的勒索软件类型为REvil(Sodinokibi)。

  该勒索软件家族在6月袭击了几家托管服务提供商,在8月初袭击了德克萨斯州20多个地方政府,在8月底袭击了400多家美国牙医办公室。

  根据赎金记录的副本,这是针对公司网络的针对性攻击。入口点目前未知。

  CyrusOne尚未公开披露此事件。CyrusOne发言人无法通过电话,电子邮件或公司网站上的实时支持聊天发表评论。

  金融和经纪公司FIA Tech今天通知客户,其云服务中断源自其数据中心提供商。FIA Tech并未指定数据中心提供商的名称,但快速搜索将其识别为CyrusOne。

  有消息人士指出,该事件并未影响CyrusOne的所有数据中心,但是恢复服务器和客户数据将是一个漫长的过程。有人透露CyrusOne不打算支付赎金,除非有任何未来的不可预见的发展。

  CyrusOne在欧洲,亚洲和美洲拥有45个数据中心,并拥有1,000多个客户。CyrusOne是一家在纳斯达克上市的公开交易公司。在去年的SEC文件中,该公司明确将“勒索软件”列为其业务的风险因素。

  天地和兴安全研究院翻译整理,参考来源:ZDNet http://1t.click/bwdy

 

  (七)美国健康医疗中心遭到勒索软件攻击

  2019年11月25日约晚上7:00,美国Great Plains健康医疗中心遭受勒索软件攻击,致使其工作人员改用笔和纸来维持工作。

  该中心CEO Mel McNea表示,GPHealth信息系统团队立即发现了问题,并通宵工作,以尽可能减少对当地卫生服务的影响。该中心不会以任何方式泄露患者信息,但会进行全面内部审核以进一步调查攻击程度。

  该勒索事件对GPHealth的运营影响非常重大。周二,GPHealth宣布由于勒索软件攻击而取消了许多非紧急患者的预约和程序,幸运的是手术和成像程序不受感染的影响。

  该组织已经将该事件报告给了执法部门,目前仍不清楚感染其系统的恶意软件的家族以及攻击者如何发起攻击。

  该组织确认,2019年11月26日已经恢复了运营,但是电话线及邮箱仍然有些问题。

  天地和兴安全研究院翻译整理,参考来源:Security Affairs http://1t.click/bwd3

 

  (八)美商用短信服务商TrueDialog数据泄露 涉数千万条短信

  2019年12月02日,据外媒报道,安全公司vpnMentor发现了美国商用短信服务商TrueDialog泄露了千万条短信消息,泄露的数据大多为企业发送给潜在客户的短信。该数据库存储有TrueDialog客户数年来收发的短信,由于没有密码,数据也没有经过加密,任何人都可以获得该数据库内容。

  TrueDialog专注于提供几种不同的SMS程序,包括群发短信、营销短信、紧急警报、教育短信解决方案等。 该公司目前与990多家手机运营商合作,拥有超过50亿用户。

  除了私人短信,vpnMentor团队发现了数以百万计的TrueDialog用户及客户的帐户用户名、密码、以及更多的PII数据。由于没有适当地保护数据库,TrueDialog损害了美国数百万人的安全和隐私。

  该数据库不受在线保护,数据以纯文本格式存储,由Microsoft Azure托管,并在Oracle Marketing Cloud上运行。

  根据研究人员的说法,该数据库包含10亿个条目,这些条目属于1亿多美国公民,该团队分析了包含604 GB数据的存档。

  专家从通过TrueDialog发送的消息和平台上托管的对话中找到了数千万个条目。这些SMS消息中包含的敏感数据包括收件人的全名、TrueDialog帐户持有人、TrueDialog用户、消息的内容、电子邮件地址、收件人、用户的电话号码、消息的发送日期和时间、发送消息的状态指示器(即阅读收据,答复等)、TrueDialog帐户详细信息。

  该数据库还包括平台日志,这些日志揭示了有关数据库的结构和管理方式的重要细节。该数据库还包括内部系统错误的日志以及暴露站点流量的许多HTTP请求和响应。

  vpnMentor试图向TrueDialog报告他们的发现,但他们从未收到回复。该数据库于19/11/19被发现,专家于19/11/28向TrueDialog提交了报告,该数据库于19/11/19受到保护。

  天地和兴安全研究院翻译整理,参考来源:Security Affairs http://1t.click/bwd8

 

  (九)北约举行大规模网络军演

  据俄罗斯卫星网12月2日报道,爱沙尼亚国防部新闻部门发布消息称,北约大规模网络军演“网络联盟(Cyber Coalition)”于12月2日在爱沙尼亚的“国防军事学院”基地举行。

  报道援引爱军方消息称:“定于12月2至6日举行的‘网络联盟’演习由29个北约国家中的27个成员、欧盟以及包括日本、阿尔及利亚、奥地利、芬兰、爱尔兰和瑞典在内的6个北约伙伴国参加。参演国家将派出约700名相关人员,其中包括网络安全专家、技术人员、军队、政府官员以及企业代表。”

  演习期间,多国参演部队将模拟贴近现实的网络攻击场景,通过密切互相配合,防止假想敌网络攻击瘫痪国家重要系统,并训练相关人员增强网络应对能力。

  报道称,爱沙尼亚于2004年成为北约成员。北约“网络联盟”演习已是第7次在爱沙尼亚举行。

  本文版权归原作者所有,参考来源:新华网 http://1t.click/bwdB

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号