安全研究
全部分类

关键信息基础设施安全动态周报【2020年第19期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-05-15 18:11
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第19期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第19期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第19期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-05-15 18:11
  • 访问量:
详情

  目 录

  第一章 国内关键信息基础设施安全动态

  (一)工信部近日印发《关于工业大数据发展的指导意见》

  第二章 国外关键信息基础设施安全动态

  (一)休斯顿石油天然气生产商W&T Offshore遭受勒索软件攻击

  (二)英国电力中间商Elexon遭受网络攻击

  (三)瑞士轨道车辆制造商Stadler遭受恶意软件攻击

  (四)伊朗霍尔木兹海峡阿巴斯港遭受网络攻击

  (五)西门子电表中存在多个Urgent/11漏洞

  (六)美国ATM制造商Diebold Nixdorf遭受勒索软件攻击

  (七)包裹运输企业Pitney Bowes再次遭受勒索软件攻击

  (八)研究人员发现新型攻击方法Thunderspy

  (九)新型恶意软件Ramsay可从气隔网络中窃取敏感文档

  (十)FBI和CISA联合披露十大最常被利用的漏洞

  (十一)美国医疗保健企业Magellan Health遭受勒索软件攻击

  (十二)尼日利亚组织SilverTerrier针对医疗机构及政府组织发起BEC攻击

  (十三)FBI和DHS联合披露朝鲜黑客使用的恶意软件

  (十四)黑客组织Shiny Hunters在暗网上出售11家公司超1.6亿用户数据

  (十五)针对智能制造系统的三大攻击入口点

 

  第一章 国内关键信息基础设施安全动态

  (一)工信部近日印发《关于工业大数据发展的指导意见》

  5月13日,工业和信息化部近日印发《关于工业大数据发展的指导意见》,明确将促进工业数据汇聚共享、深化数据融合创新、提升数据治理能力、加强数据安全管理,着力打造资源富集、应用繁荣、产业进步、治理有序的工业大数据生态体系。并提出加快数据汇聚、推动数据共享、深化数据应用、完善数据治理、强化数据安全、促进产业发展、加强组织保障等七方面21条指导意见。

  工业大数据是工业领域产品和服务全生命周期数据的总称,包括工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台中的数据等。为贯彻落实国家大数据发展战略,促进工业数字化转型,激发工业数据资源要素潜力,加快工业大数据产业发展,现提出该意见。

  本文版权归原作者所有,参考来源:工信部 http://dwz.date/aBX4

 

  第二章 国外关键信息基础设施安全动态

  (一)休斯顿石油天然气生产商W&T Offshore遭受勒索软件攻击

  近日,美国休斯顿石油和天然气生产商W&T Offshore遭受了勒索软件Nefilim攻击,攻击者窃取了800GB的个人和财务数据,并在暗网上发布了这些数据的一小部分,并威胁将公开更多内容。

  网络安全公司Cyble Inc.首先报道了该事件,E&E News无法确认这些文件的真实性。W&T Offshore未对此事做出回应。网络安全专家表示,随着能源部门与远程劳动力因冠状病毒大流行而导致的网络威胁急剧增加,这种类型的事件会变得越来越普遍。

  由于攻击者不满足于通常的加密文件和要求付费解锁文件的方法,网络犯罪分子威胁表示,如果勒索软件受害者拒绝付款,他们将泄露机密信息。

  网络安全公司Pondurance的高级安全分析师Chip Henderson表示:“自从冠状病毒流行以来,我们看到赎金大幅上升,因为黑客拥有更多的筹码,他们可以勒索更多的钱,并且可以获得更多的钱。”

  在石油和天然气公司陷入困境之际(面对历史低位的原油价格和受冠状病毒阻碍的动荡的能源市场),黑客使用这种新的勒索软件技术来确保获得更大、更可靠的收入。

  多家网络安全公司和政府警告称,出于经济动机的黑客组织通过使用恶意的钓鱼电子邮件并攻击远程员工使用的通用程序来加大攻击力度。

  网络安全公司FireEye Inc.的高级经理内森·布鲁贝克表示,W&T Offshore 泄漏的主要是财务数据,似乎不包括与可能用于影响石油或其他关键过程的流量的工业控制系统或操作技术有关的文件。

  但是,黑客们表示,到目前为止发布的文件只是一个“开胃菜”,暗示可能还会有更多的泄漏。布鲁贝克警告说,持续生产必不可少的文件通常存储在公司网络中。

  网络安全专家表示,专注于勒索软件攻击的黑客在很大程度上是出于经济利益的考虑,这使包括石油和天然气运营商以及电力公司在内的能源公司成为主要目标,因为其首要任务之一就是继续运营。

  FBI公开建议公司不要支付赎金,理由是它只会通过资助未来的攻击而加剧这一问题。

  今年以来Nefilim勒索软件一直困扰着其他能源公司。上个月,他们攻击了印度最大的石油公司海上钻井服务提供商Aban Offshore Ltd.,以及能源和糖生产商巴西综合企业Cosan Ltd.。Nefilim背后的攻击者没有公布他们勒索金额。

  该勒索软件不是第一个威胁要利用窃取数据公开的人。上周,使用Ragnar Locker勒索软件的黑客泄漏了最近对葡萄牙国家石油公司Energias de Portugal SA(EDP)进行攻击所窃取的文件。黑客表示他们已经获取了超过10TB的文件,并索要超过1000万美元的加密货币比特币。

  北美电力可靠性公司电力信息共享和分析中心的弹性和政策协调高级经理Matt Duncan表示,电力行业正在密切关注EDP案件,以了解外攻击者如何试图渗透到国外电力网络。

  如果受害者不支付赎金,就威胁泄漏相关信息的趋势仍然是新趋势。最开始启用这种方法的是勒索软件Maze,然后从去年年底开始蔓延,此后许多规模较小的黑客组织都使用了相同的方法。

  Bitdefender分析师Liviu Arsene表示,黑客在发现许多公司备份了关键数据后改变了策略,这意味着典型的勒索软件攻击不再像过去那样具有潜在的盈利能力。从那时起,勒索软件开始采取Maze的策略,加入勒索方案。Arsene 预计,今年会有更多此类勒索软件2.0攻击。

  网络安全公司Emsisoft的威胁分析师布Brett Callow表示,除了赎金需求外,停机时间成本损失也很大。Emsisoft最近的一份报告警告表示,在计算赎金需求和停机时间成本时,会产生巨大的经济影响。

  同时,黑客可以依靠难以追踪的数字货币并采取其他预防措施来保持匿名。Callow表示,黑客被发现的可能性几乎为零。

  信息技术巨头Cognizant Technology Solutions Corp.首席财务官Karen McLoughlin上周在财报电话会议上表示,最近的勒索软件攻击可能使其使损失5000万至7000万美元。为能源行业和其他行业提供服务的Cognizant于4月份遭到Maze勒索软件攻击。

  根据网络安全公司Coveware Inc. 的最新报告,Ryuk勒索软件的平均赎金需求约为130万美元。Ryuk今年早些时候攻击了五个石油和天然气设施。

  即便如此,不要期望公共勒索趋势会像仅加密文件的典型勒索软件攻击那样普遍,FireEye的Mandiant Threat Intelligence分析经理Jeremy Kennelly表示。尽管在勒索赎金的同时确实为黑客提供了额外的杠杆作用,但这种勒索也是一个涉及更多的过程,需要攻击者找出哪些文件最容易破坏目标文件。

  专家表示,勒索软件技术正在不断发展,并且黑客一直在寻找新的方法来攻击受害者。今年早些时候,出现了一种新的勒索软件变种,称为Ekans,针对敏感的控制系统进程。网络安全公司还发现,使用勒索软件的黑客正在花费更多的时间来寻找要关闭的网络的重要部分。

  根据美国能源部的一份电力扰动报告,2月份对德克萨斯州斯特林县附近一家不知名的可再生能源设施的勒索软件攻击只是对美国能源部门日益严重威胁的最新例子之一。美国能源部官员表示,这次袭击并未对电网造成任何影响,两个恶意文件在该站点的服务器中执行,该站点在本地运行,直到更换了受感染的设备。该事件丝毫没有影响或威胁大容量电力系统的稳定性。

  天地和兴工控安全研究院编译,参考来源:E&E News http://dwz.date/aBau

 

  (二)英国电力中间商Elexon遭受网络攻击

  为英国电力市场交易提供便利的Elexon公司5月14日表示,其内部电脑遭到网络攻击,员工无法使用电子邮件。整个14日,公司都在努力应对此次网络攻击,在推特上发布消息称已经确定了事件的根本原因。

  该公司表示,“此次攻击仅针对我们的内部IT系统和Elexon的笔记本电脑。” 目前尚不清楚谁对这次网络攻击负责。

  Elexon表示,这次攻击并未影响该公司用来追踪电力生产商和供应商之间交易的外部IT系统。该公司管理着每年价值约20亿美元的交易,解决了发电商和供应商所说的他们将生产或使用的产品与实际工作之间的差异。

  英国国家电力系统运营商National Grid ESO的发言人表示,该组织正在调查此事件,称其为对Elexon内部IT系统的网络入侵。

  国家电网ESO 发言人表示,“电力供应不受影响。我们在所有IT和运营基础设施中均采取了强有力的网络安全措施,以防范网络威胁,并确保我们能够继续可靠地供应电力。”

  工业网络安全公司Dragos的高级对手猎人Joe Slowik表示,Elexon 在将英国电网的供需关系联系在一起方面发挥着重要作用。他说,破坏支持电力市场的通信和流程的机会使该组织成为黑客的高价值目标。

  虽然电力公司的网络防御通常会引起公众注意,但对Elexon的攻击却是电力市场中不太知名的公司,也面临威胁的一个例子。

  今年3月,帮助协调欧洲电力市场的欧洲输电系统运营商网络(European Network Of Transport System Operators For Electrity)宣布,其IT网络遭到黑客入侵。攻击者几周来一直可以访问该组织的电子邮件服务器,并使用远程黑客工具与其通信。

  天地和兴工控安全研究院编译,参考来源:cyberscoop http://dwz.date/aBKa

 

  (三)瑞士轨道车辆制造商Stadler遭受恶意软件攻击

  瑞士轨道车制造商Stadler遭受勒索软件攻击,攻击者破坏了公司的IT网络,并在其中一些计算机上部署了恶意软件,用于从受感染设备中窃取数据。

  该公司数据泄露通知表示,Stadler内部监控部门发现,该公司的IT网络已受到恶意软件的攻击,这很可能导致数据泄漏。这次泄漏的规模还有待进一步分析,Stadler认为此事件是由未知罪犯的专业攻击造成的。

  该公司透露,攻击者索要大量资金,并试图通过威胁释放被盗数据来敲诈Stadler。

  攻击者试图敲诈Stadler一大笔钱,并威胁该公司以可能会公布数据,从而伤害Stadler及其员工。Stadler立即启动了所需的安全行动,并召集了一个外部专家小组,相关负责部门也参与其中。该公司的备份数据完整且功能正常。所有受影响的系统都将重新启动。

  这家轨道车辆制造商正在外部安全专家的帮助下调查这起事件。Stadler没有支付赎金,而是通过恢复备份来恢复运营。

  瑞士网站Tagblatt证实,网络攻击影响了该组织的所有地点。铁路车辆制造商Stadler的IT网络已受到恶意软件的攻击,很有可能发生未知的数据泄露,Stadler认为这是一场职业攻击。Stadler在瑞士的Altenrhein、St.Margrethen、Erlen、Winterthur、Wallisellen和Biel设有办事处。

  Stadler已向图尔高检察官提出申诉。Stadler补充表示,尽管遭受新冠病毒大流行和网络攻击,但Stadler的新列车生产和服务仍然是有保证的。

  天地和兴工控安全研究院编译,参考来源:SecurityAffairs http://dwz.date/aBPj

 

  (四)伊朗霍尔木兹海峡阿巴斯港遭受网络攻击

  伊朗官员5月10日表示,在针对霍尔木兹海峡最大的港口阿巴斯港的一次网络攻击失败后,黑客破坏了少量计算机。有关网络攻击性质的细节仍不得而知。

  上周,当攻击发生时,霍尔木兹根州港口和海事组织(PMO)的当地官员否认出了任何问题。尽管有人抱怨港口活动于周五关闭,但官员们否认有关网络攻击的谣言。

  在霍尔木兹海峡也发生了一起无关事件后,迫于媒体压力,中央政府官员最终在周日澄清了网络攻击事件。

  上周末,伊朗海军支援舰科纳拉克号在海上进行军事演习时被友军炮火击中,这起事件导致19名海员死亡,另有15人受伤。很快有报道称网络攻击可能起到了一定作用。

  德黑兰官员被迫就阿巴斯港网络攻击事件发表正式声明,以平息围绕无关的科纳拉克(Konarak)悲剧日益高涨的阴谋论。

  根据ILNA新闻和在法尔斯通讯社报道,伊朗道路和城市发展部副部长Mohammad Rastad周日表示,最近的一次网络攻击未能渗透到PMO的系统,只能渗透和破坏港口的一些私人操作系统。

  Rastad表示,袭击来自国外,但没有提供其他细节。这位副部长没有具体说明这起事件是由外国政府实施的,还是由一个出于经济动机的网络犯罪组织实施的。这是伊朗官员第二次声称外国网络攻击未能破坏计算机系统。

  2019年6月,在伊朗军队击落一架美国无人机后,美国发动了网络攻击,旨在破坏伊朗的火箭和导弹系统。 据美国媒体报道,德黑兰政府否认他们成功了。

  天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/aBR4

 

  (五)西门子电表中存在多个Urgent/11漏洞

  西门子5月12日告知其客户,其某些低压和高压电能表受到名为Urgent / 11的Wind River VxWorks漏洞的影响。

  据西门子表示,其电压表9410和9810系列产品受到11个Urgent / 11缺陷中的10个的影响。如果9410系列设备运行的固件版本低于2.1.1,则该漏洞将受到影响。对于9810设备,尚未发布补丁,西门子建议在固件更新可用之前采取一些解决方法和缓解措施。

  西门子在通知中表示,“这些漏洞可能使攻击者以拒绝服务(DoS)、数据提取、RCE等为目的,针对设备和数据的可用性和机密性执行各种攻击。”

  西门子只是其产品受到 Urgent / 11漏洞影响的众多工业和自动化解决方案提供商之一。此前该公司曾发布公告,警告客户该缺陷会影响其RUGGEDCOM WIN产品和SIPROTEC 5以太网插入式通信模块和设备。

  施耐德电气在周二也更新了有关Urgent / 11漏洞的初步通告,以告知客户有关受影响产品的更多补丁。自2019年7月漏洞披露以来,该公司一直在逐步发布补丁程序。

  URgent / 11是IoT安全公司Armis的研究人员在Wind River VxWorks实时操作系统(RTOS)中发现的一系列漏洞的名称。VxWorks在众多公司的产品中使用,包括航空航天、汽车、工业、医疗行业。Armis估计,在披露之时,数亿台设备已受到该漏洞的影响。

  利用某些Urgent /11漏洞,远程攻击者可在无需任何用户交互的情况下即可完全控制受影响的设备。

  天地和兴工控安全研究院编译,参考来源:SecurityWeek http://dwz.date/aAXb

 

  (六)美国ATM制造商Diebold Nixdorf遭受勒索软件攻击

  美国ATM制造商Diebold Nixdorf5月11日证实,该公司4月25日曾遭受勒索软件ProLock攻击,该事件仅造成有限的IT系统中断,未影响ATM及客户网络,并且该影响不涉及关键业务。

  Diebold Nixdorf是向银行和零售商提供ATM和支付技术的主要提供商,总部位于俄亥俄州坎顿,是美国最大的ATM供应商,估计全球自动提款机市场中有35%的份额。该公司拥有35,000名员工,还生产许多零售商使用的销售点系统和软件。

  4月25日晚,该公司安全团队发现了其公司网络中的异常行为。Diebold怀疑是勒索软件攻击,表示立即开始断开该网络上的系统以遏制恶意软件的传播。Diebold表示该事件影响了公司100多名客户服务,攻击者破坏了使现场服务技术人员使用的自动化系统,但该事件并未影响客户网络或公共网络。

  Diebold表示,“该恶意软件的传播已受到控制,该事件并未影响自动柜员机,客户网络或公共网络,其影响对我们的业务并不重要。不幸的是,网络犯罪对所有公司都是一个持续的挑战。Diebold Nixdorf非常重视我们系统的安全性和客户服务。我们的领导层已经与客户建立了亲密的联系,以使他们知道情况以及我们如何解决。”

  一项调查显示,攻击者使用的是ProLock勒索软件,专家称这是一种相对罕见的勒索软件,在过去的几个月中经历了多次命名和迭代。直到最近,ProLock才被更名为PwndLocker ,在3月份感染伊利诺伊州拉萨尔县服务器。但是,在Emsisoft的安全专家发布了一种工具之后,PwndLocker背后的恶意行为将其恶意软件重新命名,该工具可使PwndLocker受害者无需支付赎金即可解密其文件。

  Diebold表示他们没有支付攻击者要求的赎金,尽管该公司不会讨论所要求的金额。Lawrence Abrams表示,对ProLock受害者的赎金通常在六位数,根据受害者网络的规模,从175,000美元到超过660,000美元。

  Emsisoft的首席技术官Fabian Wosar表示,如果Diebold关于不向攻击者付款的说法是真的,那是最好的。这是因为ProLock的解密工具的当前版本会破坏数据库文件等较大的文件。

  幸运的是,Emsisoft提供了一个修复解密程序的工具,以便可以正确地恢复被ProLock劫持的文件,但它仅适用于已经向ProLock背后的骗子支付了赎金的受害者。Wosar表示,“我们确实有一个工具可以修复解密器中的漏洞,但是除非你有勒索软件作者的解密密钥,否则这个工具不会起作用。”

  天地和兴工控安全研究院编译,参考来源:KrebsonSecurity http://dwz.date/aB5E

 

  (七)包裹运输企业Pitney Bowes再次遭受勒索软件攻击

  近日,包裹和邮件递送企业Pitney Bowes遭受勒索软件Maze攻击,这是该公司在7个月内第二次遭受勒索软件攻击,此前该公司去年10月曾遭受勒索软件Ryuk攻击。此次勒索软件Maze的运营团伙称已经称入侵并加密了该公司的网络。

 

 

  Maze的运营人员以11张屏幕截图的形式提供了访问权限证明,这些截图为公司计算机网络内部的目录列表。

  Pitney Bowes 11日在电子邮件中确认了该事件。一位发言人表示,“最近,我们检测到一起与勒索软件Maze有关的安全事件。我们正在调查攻击的范围,特别是被访问的数据类型,这似乎是有限的。”该公司表示,已与第三方安全顾问合作,在其任何数据被加密之前采取措施阻止攻击。Pitney Bowes表示,“在这一点上,没有证据表明有进一步未经授权进入我们的IT系统目前,调查仍在进行中。”

  2019年10月,Pitney Bowes披露了首次勒索软件攻击。当时,该公司表示其某些关键系统已被Ryuk勒索软件团伙感染并加密。这起事件导致一些包裹跟踪系统的停机时间受到限制。

  Ryuk和Maze勒索软件团伙都是专家所说的人为操作勒索软件。这些类型的勒索软件感染发生在黑客入侵公司网络之后,并在执行实际的勒索软件来加密数据并要求勒索之前,对恶意软件进行了手动控制,以扩大对尽可能多的内部系统的访问。

  不过,Maze与Ryuk不同,因为Maze还经营一个网站,上面列出了受害者的名单,如果他们不支付解密(赎金)费用,就会泄露敏感数据。Maze率先采用了这种策略,目前是运行“泄密网站”的九个勒索软件团伙之一。

  今年以来,Maze一直非常活跃,是大量知名勒索软件感染事件的幕后黑手,如Chubb、Cognizant、Bouygues Construction、Southwire、Pensacola等等。网络安全公司Crowdstrike、FireEye和Palo Alto Networks最近注意到了Maze团伙活动的增加,并发表了分析Maze团伙的策略和恶意软件有效载荷的报告。

  在2019年,Pitney Bowes拥有超过11,000名员工,收入达到32亿美元。该公司已从传统的邮资计费器业务发展壮大,成为当今电子商务领域最重要的递送服务之一。作为人为勒索软件团伙的受害者已经够糟糕了,但被两个不同的组织攻击会引发严重的问题。

  天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/aBQ4

 

  (八)研究人员发现新型攻击方法Thunderspy

  近日荷兰埃因霍温理工大学的研究人员BjörnRuytenberg发现了一种名为thunderspy的新攻击方法。研究人员发现了总共7个漏洞,这些漏洞与不正确的固件验证、较弱的设备验证,使用未经身份验证的设备元数据、降级攻击、未经身份验证的控制器配置、SPI闪存接口问题,以及使用允许用户在Apple计算机上安装Windows的Boot Camp时缺乏Thunderbolt安全性。

  Thunderbolt是Intel和Apple创建的用于将外围设备连接到计算机的硬件接口。带有Thunderbolt端口的数百万台笔记本电脑和台式机可能会受到Thunderspy攻击。

  在一段攻击演示中, Ruytenberg演示了一个能够实际访问锁定的笔记本电脑的攻击者(该设备要求用户输入 windows 密码才能访问它)如何绕过身份验证,并在不到5分钟的时间内访问存储在该设备上的所有内容。

  攻击包括打开设备的后盖,将名为Bus Pirate的黑客设备连接到与Thunderbolt控制器固件相关的SPI闪存接口,将Bus Pirate连接到攻击者的笔记本电脑,使用名为Flashrom的工具复制Thunderbolt固件 ,修改Thunderbolt固件以禁用所有Thunderbolt安全性,并将其写回到目标设备。然后,攻击者将运行PCILeech的基于Thunderbolt的直接内存访问(DMA)攻击设备连接到目标PC,并使用它加载内核模块,从而绕过Windows登录屏幕。

  在第二个演示中,研究人员展示了攻击者如何利用某些Thunderspy漏洞永久禁用所有Thunderbolt安全性并阻止用户进行固件更新。

  Ruytenberg在一个专门的ThunderSpy网站上解释说:“ThunderSpy是隐形的,这意味着你找不到任何攻击的痕迹,这不需要你的参与,也就是说,没有网络钓鱼链接或攻击者诱骗你使用的恶意硬件。即使你遵循最佳安全做法,Thunderspy仍然可以工作,即使你短暂离开也可以锁定或挂起计算机,并且系统管理员已使用安全启动,强大的BIOS和操作系统帐户密码设置设备并启用了全盘加密,Thunderspy仍然可以工作。”

  根据Ruytenberg的说法,自2011年以来制造的所有设备如果都具有Thunderbolt端口,则很容易受到攻击-其中包括USB-C和Mini DisplayPort端口,旁边带有闪电符号。自2019年以来发布的一些较新的设备可能包括内核DMA保护,它可以缓解某些Thunderspy漏洞。研究人员已经确认,一些较新的HP EliteBook和ZBook以及Lenovo ThinkPad和Yoga设备都支持这种保护。

  Apple设备仅部分受到漏洞的影响,主要是当它们运行通过Boot Camp实用程序安装的Linux或Windows。

  Ruytenberg警告说,内核DMA保护无法缓解的Thunderspy漏洞会使设备遭受类似于BadUSB的攻击。

  六个Thunderspy漏洞被报告给英特尔中,一个影响Boot Camp的漏洞被报告人苹果。英特尔告诉研究人员,它已经意识到了三个问题,除了内核DMA保护外,它不会提供任何缓解措施。该芯片制造商还表示,将不会发布公共安全公告或为漏洞分配CVE标识符。SecurityWeek已与Intel取得联系,如果该公司提供评论或澄清,将更新本文。

  除了包含技术细节的研究论文之外,Ruytenberg还提供了一个名为Spycheck的免费开源工具,该工具可以告诉用户其系统是否容易受到Thunderspy的攻击,并提供有关如何保护其系统免受攻击的建议。

  去年,研究人员演示了Thunderclap,这是一种攻击方法,通过将特制设备连接到目标设备的Thunderbolt端口,黑客就可以控制计算机并访问敏感数据。

  更新:英特尔在Thunderspy上发布了一篇博客文章,并向SecurityWeek提供了以下声明:“这次攻击无法在内核 DMA保护启用系统上成功演示。 一如既往,我们鼓励所有人遵守良好的安全规范,包括防止未经授权的物理访问计算机。”

  天地和兴工控安全研究院编译,参考来源:SecurityWeek http://dwz.date/aBSg

 

  (九)新型恶意软件Ramsay可从气隔网络中窃取敏感文档

  网络安全公司ESET研究人员5月13日宣布,他们发现了一种新型恶意软件框架,该框架具有当今很少见的高级功能。ESET将其命名为Ramsay,该恶意软件工具包设计成可感染气隙计算机,在隐藏的存储容器中收集Word和其他敏感文档,然后等待可能的渗透机会。

 

 

  Ramsay的发现是一项重要的发现,因为研究人员很少发现包含能够跳过气隙的恶意软件,气隙是公司可以采取的最严格和有效的安全保护措施,可以用来保护敏感数据。

  气隙系统是与公司网络的其余部分隔离并与公共互联网隔离的计算机或网络。气隙计算机/网络经常出现在政府机构和大型企业的网络中,它们通常存储着绝密文件或知识产权。接入到具有气隙网络通常被视为任何安全漏洞的圣杯,因为由于气隙(与附近设备的任何连接缺失),这些系统通常无法被破坏。

  ESET 在5月13日发布的报告中表示,他们发现了一种罕见的恶意软件,该恶意软件是专门为跳过安全距离并到达隔离的网络而专门开发的。ESET表示,他们已经能够追踪到三种不同版本的Ramsay恶意软件,其中一个版本于2019年9月编译(Ramsay v1),另外两个版本于2020年3月上旬和下半年(Ramsay v2.a和v2.b)。每个版本都是不同的,并且通过不同的方法感染了受害者,但是恶意软件的主要作用是扫描受感染的计算机,并将Word、PDF和ZIP文档收集到隐藏的存储文件夹中,以备日后使用。

  其他版本还包括一个扩展程序模块,该模块将Ramsay恶意软件的副本附加到在可移动驱动器和网络共享上找到的所有PE(便携式可执行文件)文件中。人们认为这是恶意软件用来跳空并到达隔离的网络的机制,因为用户很可能会在公司的不同网络层之间移动受感染的可执行文件,并最终落入隔离的系统中。

  ESET表示,在研究期间,它无法肯定地识别Ramsay的渗透模块,或确定Ramsay操作员如何从气隙系统中检索数据。然而,虽然这方面的攻击仍然是未知的,但现实世界显然已经发生了。

  ESET研究人员Ignacio Sanmillan表示,“我们最初在VirusTotal中发现了Ramsay的一个实例,该示例是从日本上载的,使我们发现了该框架的其他组件和版本。”研究人员尚未正式归因于谁可能是Ramsay的幕后使用者。但是,Sanmillan表示,该恶意软件包含与Retro共享的大量工件,Retro是以前由DarkHotel开发的恶意软件,DarkHotel是一个黑客团体,许多人认为这样做是为了韩国政府的利益。

  天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/aBBE

 

  (十)FBI和CISA联合披露十大最常被利用的漏洞

  网络安全和基础架构安全局(CISA)和联邦调查局(FBI)发布2016年至2019年以来最常被利用的十大安全漏洞。CISA和FBI通过国家网络意识系统发布了AA20-133A警报,让公共和私营部门组织更容易确定企业内部补丁的优先级。

  该报告由国土安全部网络安全和基础设施安全局(DHS CISA)和联邦调查局(FBI)共同撰写,敦促公共和私营部门的组织进行必要的更新,以防止最常见形式的攻击。这包括由国家支持、非国家和未归因的威胁攻击者进行的攻击。

  美国政府官员争辩说,应用补丁程序可能会降低针对美国实体的外国行为者的网络武力,因为他们必须投入资源开发新的漏洞利用方法,而不是依靠经过测试的旧漏洞。

  CISA和FBI联合安全警报的其他观察结果包括:

  • 受到最普遍攻击的是Microsoft的对象链接和嵌入(OLE),该技术允许Office文档嵌入来自其他应用程序的内容。

  • 像CVE-2017-11882,CVE-2017-0199和CVE-2012-0158这样的OLE漏洞是来自外国国家赞助团体的,来自中国,伊朗,朝鲜和俄罗斯等国家利用最多的漏洞。

  • Apache Struts是第二大受攻击的技术。这与最近的RiskSense报告一致。

  • 2020年最常利用的漏洞是CVE-2019-19781(Citrix VPN设备中的错误)和CVE-2019-11510(Pulse Secure VPN服务器中的错误)。

  • 在冠状病毒爆发期间,许多从家庭设置转移到工作场所的组织对Office 365部署进行了错误配置。

  下面列出了十大利用最多的漏洞(无特定顺序)。它包括CVE-2017-11882,CVE-2017-0199,CVE-2017-5638,CVE-2012-0158,CVE-2019-0604,CVE-2017-0143,CVE-2018-4878,CVE-2017之类的-8759,CVE-2015-1641和CVE-2018-7600。

  根据美国政府的技术分析,攻击者最经常利用Microsoft的对象链接和嵌入(OLE)技术中的漏洞。OLE允许文档包含来自其他应用程序(如电子表格)的嵌入内容。在OLE之后,第二大易受攻击的技术是Apache Struts的Web框架。

  在前10个漏洞中,来自伊朗、朝鲜和俄罗斯的国家黑客中最常利用的三个漏洞是CVE-2017-11882、CVE-2017-0199和CVE-2012-0158。其中,这三个漏洞均与Microsoft的OLE技术有关。

  漏洞补丁更新需要安全技术人员能够保持系统持续运行,并且补丁能与其他软件相兼容。美国在2019年初发布的一项行业研究发现,攻击者最常利用的漏洞存在于Microsoft和Adobe Flash产品中,这可能是由于某些技术使用所致。该行业研究报告中被利用最多的10个漏洞中的4个也出现在该警报列表中。

  报告中还提及针对每个漏洞做出相应的预防,尽可能减小漏洞利用的风险和损失。

  CVE-2017-11882

  漏洞产品:Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016产品

  相关恶意软件:Loki,FormBook,Pony / FAREIT

  防范措施:使用最新的安全补丁更新受影响的Microsoft产品

  更多详细信息:https://nvd.nist.gov/vuln/detail/CVE-2017-11882

  CVE-2017-0199

  漏洞产品:Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016,Vista SP2,Server 2008 SP2,Windows 7 SP1,Windows 8.1

  相关恶意软件:FINSPY,LATENTBOT,Dridex

  防范措施:使用最新的安全补丁更新受影响的Microsoft产品

  更多详细信息:https://nvd.nist.gov/vuln/detail/CVE-2017-0199

  CVE-2017-5638

  漏洞产品:Apache Struts 2 2.3.x之前的2.3.x和2.5.10.1之前的2.5.x

  相关恶意软件:JexBoss

  防范措施:升级到Struts 2.3.32或Struts 2.5.10.1

  更多详情:

  https://www.us-cert.gov/ncas/analysis-reports/AR18-312A

  https://nvd.nist.gov/vuln/detail/CVE-2017-5638

  CVE-2012-0158

  漏洞产品:Microsoft Office 2003 SP3、2007 SP2和SP3,以及2010 Gold和SP1;Office 2003 Web组件SP3;SQL Server 2000 SP4、2005 SP4和2008 SP2,SP3和R2; BizTalk Server 2002 SP1;Commerce Server 2002 SP4、2007 SP2和2009 Gold和R2; Visual FoxPro 8.0 SP1和9.0 SP2; 和Visual Basic 6.0

  相关恶意软件:Dridex

  防范措施:使用最新的安全补丁更新受影响的Microsoft产品

  更多详情:

  https://www.us-cert.gov/ncas/alerts/aa19-339a

  https://nvd.nist.gov/vuln/detail/CVE-2012-0158

  CVE-2019-0604

  漏洞产品:Microsoft SharePoint

  相关恶意软件:中国菜刀

  防范措施:使用最新的安全补丁更新受影响的Microsoft产品

  更多详细信息:http://nvd.nist.gov/vuln/detail/CVE-2019-0604

  CVE-2017-0143

  漏洞产品:Microsoft Windows Vista SP2;Windows Server 2008 SP2和R2 SP1; Windows 7 SP1;Windows 8.1; Windows Server 2012 Gold和R2;Windows RT 8.1;Windows 10 Gold,1511和1607;以及 和Windows Server 2016

  关联的恶意软件:使用EternalSynergy和EternalBlue Exploit Kit进行多次攻击

  防范措施:使用最新的安全补丁更新受影响的Microsoft产品

  更多详细信息:https://nvd.nist.gov/vuln/detail/CVE-2017-0143

  CVE-2018-4878

  漏洞产品:28.0.0.161之前的Adobe Flash Player

  关联的恶意软件:DOGCALL

  防范措施:将Adobe Flash Player安装更新到最新版本

  更多详细信息:https://nvd.nist.gov/vuln/detail/CVE-2018-4878

  CVE-2017-8759

  漏洞产品:Microsoft .NET Framework 2.0、3.5、3.5.1、4.5.2、4.6、4.6.1、4.6.2和4.7

  相关恶意软件:FINSPY,FinFisher,WingBird

  防范措施:使用最新的安全补丁更新受影响的Microsoft产品

  更多详细信息:https://nvd.nist.gov/vuln/detail/CVE-2017-8759

  CVE-2015-1641

  易受攻击的产品:Microsoft Word 2007 SP3,Office 2010 SP2,Word 2010 SP2,Word 2013 SP1,Word 2013 RT SP1,Mac版Word 2011,Office兼容包SP3,SharePoint Server 2010 SP2和2013 SP1上的Word Automation Services和Office Web Apps Server 2010 SP2和2013 SP1

  相关恶意软件:UWarrior Toshliph

  防范措施:使用最新的安全补丁更新受影响的Microsoft产品

  更多详细信息:https://nvd.nist.gov/vuln/detail/CVE-2015-1641

  CVE-2018-7600

  易受攻击的产品:7.58之前的Drupal,8.3.9之前的8.x,8.4.6之前的8.4.x和8.5.1之前的8.5.x

  相关恶意软件:Kitty

  防范措施:升级到Drupal 7或8核心的最新版本。

  更多详细信息:https://nvd.nist.gov/vuln/detail/CVE-2018-7600

  2020年安全漏洞风险

  此外,美国政府还报告在2020年容易为黑客利用的一些安全问题:

  针对未打补丁的虚拟专用网(VPN)漏洞增加,比如Citrix VPN设备中的任意代码执行漏洞(称为CVE-2019-19781)已在野外攻击中被检测到;Pulse Secure VPN服务器中的任意文件读取漏洞(称为CVE-2019-11510)仍然是黑客的觊觎对象。

  2020年3月,对于许多组织而言,突然实施远程办公,需要快速部署云协作服务,例如Microsoft Office 365(O365)。这些组织快速部署Microsoft O365可能导致安全配置方面的监督不足,容易受到攻击。

  此外,网络安全存在其他弱点,例如对员工社会工程学教育不足、缺乏系统恢复和应急计划等,这些都是组织在2020年容易遭受攻击的因素。

  CVE-2019-11510

  漏洞产品:Pulse Connect Secure 9.0R1-9.0R3.3、8.3R1-8.3R7、8.2R1-8.2R12、8.1R1-8.1R15和Pulse Policy Secure 9.0R1-9.0R3.1、5.4R1-5.4R7、5.3 R1-5.3R12、5.2R1-5.2R12、5.1R1-5.1R15

  防范措施:使用最新的安全补丁更新受影响的Pulse Secure设备。

  CVE-2019-19781

  易受攻击的产品:Citrix应用程序交付控制器,Citrix网关和Citrix SDWAN WANOP

  防范措施:使用最新的安全补丁更新受影响的Citrix设备

  Microsoft O365安全配置中的监督

  漏洞产品:Microsoft O365

  防范措施:遵循Microsoft O365安全建议

  更多详细信息:https://www.us-cert.gov/ncas/alerts/aa20-120a

  企业网络安全弱点

  脆弱产品:系统、网络和数据

  防范措施:遵循网络安全最佳实践

  天地和兴工控安全研究院编译,参考来源:USCERT http://dwz.date/aBVx

 

  (十一)美国医疗保健企业Magellan Health遭受勒索软件攻击

  美国财富500强企业麦哲伦健康(Magellan Health Inc)5月12日称,该公司4月11日曾遭受了勒索软件攻击,导致一个服务器的个人信息被盗。攻击者伪装成客户发送的钓鱼电子邮件,并在勒索软件加密文件之前,窃取了个人信息记录。

  Magellan Health是一家以营利为目的的管理型医疗保健和保险公司,客户包括健康计划和其他管理式护理组织、工会、雇主、军事和政府机构以及第三方管理人员。

  Magellan Health在5月12日发送给信息被泄露的人员的网络事件通知信中表示,被窃取的记录“包括姓名、地址、员工ID号以及诸如W-2或1099之类的个人信息,例如社会安全号或纳税人ID号,在有限的情况下,还可能包括用户名和密码。”

  攻击者窃取了Magellan单个服务器的部分数据,但他们并没有就此止步。麦哲伦(Magellan)发言人表示,“在有限的情况下,仅针对某些当前雇员,未经授权的演员还使用了一种旨在窃取登录凭据和密码的恶意软件。”

  在发现勒索软件攻击后,麦哲伦雇用了网络安全取证公司 Mandiant 来帮助对该事件进行彻底的调查。Mandiant发现,在勒索软件启动之前,数据已经被泄露。该公司还向联邦调查局和相关执法机构报告了网络攻击,并于周一向加利福尼亚州检察长办公室提交了通知。

  KnowBe4的安全意识倡导者Erich Kron在评论此事件时表示, “这里的大问题不是数据加密和随后的停机时间,而是数据的实际泄漏,这已成为勒索软件攻击的常态。”

  麦哲伦表示,自事件发生以来,该公司已实施了其他安全协议,旨在保护我们的网络,电子邮件环境,系统和个人信息。麦哲伦写信给那些在攻击中暴露其数据的人时表示,“目前,我们不知道由于这一事件而对您的任何个人信息有任何欺诈或滥用。”该公司正在为信息被盗的人提供身份盗用保护。 麦哲伦发言人表示, “不幸的是,这类攻击越来越普遍。我们正在积极调查此事,并将随着调查的继续向受影响者提供最新信息。”

  天地和兴工控安全研究院编译,参考来源:InfoSecurity http://dwz.date/aBAz

 

  (十二)尼日利亚组织SilverTerrier针对医疗机构及政府组织发起BEC攻击

  网络安全公司Palo Alto Networks研究人员近日发现,尼日利亚网络犯罪组织SilverTerrier正在使用新冠病毒为诱饵针对医疗机构及政府组织进行BEC攻击。

  SilverTerrier至少自2014年以来一直活跃,是数百个独立威胁行为者的集合。根据最近的互联网犯罪投诉中心(IC3)报告,BEC攻击继续威胁着全球范围内的组织,FBI在2019年记录了23,775例BEC攻击,造成了估计17.7亿美元的全球损失。

  Palo Alto Networks的分析表示,“在过去90天内(1月30日至4月30日),我们观察到三个SilverTerrier参与者发起了一系列以COVID-19为主题的10个恶意软件活动。特别是,我们感到震惊的是,其中一些运动肆意地将目标瞄准了政府医疗保健机构、地方和地区政府、设有医学计划/中心的大型大学、地区公用事业、医学出版公司、保险公司,遍布美国、澳大利亚、加拿大、意大利和英国。”

 

 

  在2020年1月30日至4月30日之间,研究人员观察到三个SilverTerrier小组发起了十个以COVID-19为主题的恶意软件活动,其中一些还针对参与COVID-19的相关组织。好消息是,SilverTerrier团体使用COVID-19诱饵进行的攻击均未成功攻击受害者。

  首次活动发生于2020年1月30日,专家们观察到以英语和印度尼西亚语发送的电子邮件主题有所不同。电子邮件使用伪装成印度尼西亚卫生部门文档的附件来传递Lokibot恶意软件的变体。几周后,威胁行动者发动了多次攻击,试图利用CVE 2017-11882 Office漏洞运行恶意可执行文件。

  这些攻击的目标是美国的一家主要公用事业提供商、一所大学和一家政府机构、加拿大的一家医疗机构、一家健康保险提供商、澳大利亚的一家能源公司以及一家欧洲医疗出版公司,目的是发各种恶意软件家族。

  在3月和4月观察到的其他活动还针对美国组织(政府卫生机构、具有医疗计划的大学、州基础设施和健康保险公司)、加拿大健康保险公司、意大利的大学和地区政府以及澳大利亚的各种政府机构。

  该分析表示,“2020年4月8日,我们发现了该组织的最新的一次攻击活动。该运动的目标广泛,除了意大利的大学和地区政府以及澳大利亚的各种政府机构外,还包括美国的政府卫生机构,州基础设施和健康保险公司。这些网上诱骗电子邮件被伪装成来自泰国医务室的COVID-19救济材料,是与Lokibot恶意软件的两个样本之一一起发送的,这些样本旨在呼叫185 [.] 126 [.] 202 [.] 111进行命令和控制。”

  3月下旬,第二位SilverTerrier公司向包括美国政府卫生机构在内的多个组织发送了网络钓鱼电子邮件,试图将Lokibot恶意软件传递给预期的受害者。

  3月23日至24日,追踪为Black Emeka的第三位攻击者使用伪装成COVID-19信息的电子邮件发起了一系列攻击。随附的恶意软件样本使用PowerShell从域Goldenlion [.] sg下载恶意有效负载。SilverTerrier攻击者将继续使用COVID-19诱饵来感染受害者的系统。

  Palo Alto Networks总结表示,“鉴于COVID-19的全球影响,SilverTerrier参与者已开始调整其网络钓鱼活动,并可能会继续使用以COVID-19为主题的电子邮件来广泛传播商品恶意软件以支持其目标。鉴于这种趋势,我们建议政府机构、医疗保健和保险组织、公共事业以及具有医疗计划的大学对包含附件的与COVID-19相关的电子邮件进行额外的审查。”

  天地和兴工控安全研究院编译,参考来源:SecurityAffairs http://dwz.date/aB8h

 

  (十三)FBI和DHS联合披露朝鲜黑客使用的恶意软件

  美国联邦调查局和国土安全部正准备联合曝光朝鲜政府支持的黑客行为,旨在帮助企业抵御黑客攻击的威胁数据已经与私营部门共享,以提高关键基础设施领域的网络防御能力。

  这些流传的信息包含在几份名为恶意软件分析报告(MARS)的文件中,详细说明了Hidden Cobra Hacker的活动,Hidden Cobra Hacker是一个高级的持续性威胁组织,美国政府此前曾将其与朝鲜政府联系在一起。

  政府表示,Hidden Cobra Hacker组织经常针对银行、加密货币交易所和自动取款机等金融机构获取经济利益。然而,目前尚不清楚美国政府在信息共享努力中试图揭露哪些具体的安全事件。

  消息人士称,这些文件包含26个恶意软件样本,似乎是美国政府追究朝鲜恶意黑客活动责任,并阻止平壤非法筹款活动的最新举措。

  例如,在国际制裁下,美国司法部最近几个月指控两名中国公民涉嫌帮助朝鲜黑客洗钱。去年,美国财政部三个以朝鲜为重点的黑客组织,因为他们支持了政府的导弹发展计划。

  如果这些信息在周二发布,那将是WannaCry攻击三周年,那次攻击影响了150个国家的30多万台机器,使受到感染的公司陷入瘫痪。特朗普政府将2017年12月的那次袭击归咎于朝鲜。

  据看过这份报告的消息人士称,第一批MAR详细列出了22个恶意软件样本,所有这些样本似乎都属于同一恶意软件家族,即“ Manuscrypt”。

  根据卡巴斯基之前的研究, Man uscrypt之前曾被用来攻击韩国的外交目标、使用虚拟货币的个人和电子支付系统。Manuscrypt背后的攻击者-美国财政部去年追究的组织之一,通常以全球金融机构以及环球银行间金融电信协会(SWIFT)货币转移系统为目标。

  据卡巴斯基称,联邦调查局和国土安全部此前曾发布过有关该恶意软件变种的公共警告,称为US-CERT警报,也称为TYPEFRAME。

  但研究过这些报告的多名消息人士告诉CyberScoop,本周将披露的Manuscrypt恶意软件样本似乎没有暴露有关朝鲜可疑活动的新信息。

  这不是美国政府首次以增强防御的名义共享恶意软件样本,而这些样本已经被信息安全界所熟知。

  美国网络司令部(U.S.Cyber Command)的一位发言人承认,公开识别黑客行为不仅仅是为了数据保护。美国网络司令部是五角大楼负责对外国黑客采取攻击性网络行动的分支机构。一些人将国防部共享旧信息的努力视为向外国政府发出信号,表明他们在网上的恶意活动并不总是匿名的。

  一位发言人说:“美国网络司令部持续发布由DHS和FBI归因的恶意软件,以实现全国防御。公开披露恶意网络活动会让那些积极和非法侵害美国利益和我们合作伙伴的国家付出代价。”

  近两年来,网络司令部一直在网上上传对抗性恶意软件的案例,目的是提高人们的认识,并说服私营部门加强对外国黑客的保护。

  目前尚不清楚Cyber Command是否会像通常那样将样本从MAR上传到恶意软件共享存储库VirusTotal。消息人士称,大约有20个样本已经在VirusTotal上。

  天地和兴工控安全研究院编译,参考来源:CyberScoop http://dwz.date/aBUP

 

  (十四)黑客组织Shiny Hunters在暗网上出售11家公司超1.6亿用户数据

  近来有一个名为Shiny Hunters的黑客组织,在暗网中狂卖11家遭黑企业的用户资料,大约涉及了1.6亿名使用者,其中,最大宗的是印尼最大的电子商务网站Tokopedia,9,100万笔的用户资料售价5千美元。此外,黑客也宣称他们取得了微软的GitHub帐号,而微软则正在调查中。

  除了Tokopedia之外,遭殃的还有线上约会程式Zoosk(3,000万用户)、照片列印服务ChatBooks(1,500万用户)、食物快递服务Homechef(800万用户)、南韩时尚平台SocialShare(600万用户)、线上市集Minted(500万用户)、《高等教育纪事报》(The Chronicle of Higher Education)的300万用户、南韩家具杂志GGuMim(200万用户)、健康杂志Mindful(200万用户)、印尼线上商店Bhinneka(120万用户),以及美国报纸StarTribune(100万用户)。

  黑客把不同平台的用户资料库分开出售,售价从500美元到5千美元不等。

 

 

  现在,黑客集团已开始销售餐包和食品配送公司HomeChef,照片打印服务ChatBooks和Chronicle.com的数据库。

  BleepingComputer与ZDNet验证了黑客所公布的部份资料,发现它们是真实的,且其中的Chatbooks已对外坦承受到黑客入侵。Chatbooks表示,该公司系统是在3月26日被攻陷,黑客盗走了使用者的登入资讯,包括名字、电子邮件帐号,以及加密的密码,虽然密码并非以明文存放,但Chatbooks还是建议使用者变更登入密码。

  此外,Shiny Hunters还宣称他们取得了微软的GitHub帐号,并秀出了微软私有的原始码储存库,内含500GB的微软产品原始码,包括Azure、Office,以及一些Windows运行文件或APIs,而微软正在调查中,尚未证实此事。

  天地和兴工控安全研究院编译,参考来源:iThome http://dwz.date/aBTu

 

  (十五)针对智能制造系统的三大攻击入口点

  网络安全公司趋势科技和米兰理工大学的研究人员分析了针对智能制造环境的攻击的可能切入点和载体,并在这个过程中发现了几个新的漏洞。研究人员发现,针对智能制造系统的三大主要攻击入口点为:工程工作站、定制工业物联网(IIoT)设备和制造执行系统(MES)。

  传统恶意软件进入工业环境的情况并不少见,在许多情况下,现有安全解决方案会检测到这些恶意软件,但希望以工业组织为目标的经验丰富的攻击者更有可能发起专门针对操作技术(OT)系统的攻击,以提高攻击效率并降低被检测到的可能性。

  米兰理工大学拥有专门的工业4.0实验室,其制造设备通常部署在真实环境中。趋势科技与该大学合作,以研究攻击者如何进入制造环境以及攻击者可以采取的行动。!

  最重要的入口点之一是工程工作站,它们通常连接到工厂车间的设备。工程工作站用于管理PLC和HMI,访问工作站对攻击者非常有用,因为它允许攻击者访问敏感信息、横向移动或篡改制造设备。

  趋势科技和米兰理工大学的研究人员展示了如何使用恶意的工业外接程序或扩展程序破坏这些工程工作站。如果攻击者可以说服目标组织中的用户安装恶意插件,他们就可以将任意自动化逻辑代码推送到制造设备。

  虽然诱骗工程师使用恶意插件听起来不是一件容易的事情,但研究人员已经发现了一些漏洞,可以让黑客的工作变得更容易。例如,ABB的RobotStudio应用商店中存在一个安全漏洞,该商店托管ABB制造的工业机器人的自动化逻辑,可能会让攻击者绕过审查过程,上传一个恶意加载项,然后立即在商店中可用。ABB在收到Trend Micro的通知后发布了针对此漏洞的服务器端修补程序。

  另一个例子涉及KUKA的KUKA.Sim机器人和计算机数控(CNC)设备的工程和开发软件。该问题与eCatalog功能相关,该功能允许用户导入其他人制作的3D模型。研究人员发现,该软件没有对从eCatalog下载的数据进行任何完整性检查,并且客户端和服务器之间的通信没有加密,使得中间人(MITM)攻击者能够恶意更改模型。

  定制IIoT设备允许工程师在制造设备上运行完全定制的自动化逻辑,也可能是攻击的一个很好的切入点。虽然这些自定义设备有很多好处,但它们可以依赖第三方库,这使它们更容易受到供应链攻击。

  趋势科技警告说,如果攻击者以某种方式使目标能够使用特洛伊木马程序库或直接在开发工作站上更改代码,他们就可以远程获得对工厂的完全访问权限。

  对于存储工作订单和模板的MES数据库,攻击者可以简单地更改数据库中的记录来造成问题。这可以由获得对目标组织的网络或不受保护的MES数据库的访问权限的攻击者来完成,此攻击也可从受损的工程工作站开始。

  研究人员还研究了移动HMI,这些HMI可能具有其他移动应用程序中常见的漏洞。Google Play上有170多种HMI应用程序,其中许多具有数千甚至数十万的安装量。

  这些应用程序中都存在漏洞,但是趋势科技的攻击示例着重于Comau的PickApp,该软件使用户可以从平板电脑或手机控制其机器人。该应用程序受到各种类型的漏洞的影响,这些漏洞可以使攻击者控制连接的计算机。

  天地和兴工控安全研究院编译,参考来源:SecurityWeek http://dwz.date/aBW9

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号