安全研究
全部分类

关键信息基础设施安全动态周报【2020年第32期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-08-14 19:05
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第32期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第32期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第32期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-08-14 19:05
  • 访问量:
详情

  目 录

  第一章 国内关键信息基础设施安全动态

  (一)2019年外国对华网络攻击一半以上来自美国

  第二章 国外关键信息基础设施安全动态

  (一)高通芯片DSP漏洞可致数十亿台设备遭受攻击

  (二)美国海军网络指挥部发布未来五年战略计划

  (三)美国宇航局完成对全球定位系统地面部分升级

  (四)500多款移动应用程序中存在美国政府跟踪软件

  (五)朝鲜黑客组织Lazarus Group攻击以色列国防部门

  (六)FBI发现伊朗黑客组织Fox Kitten正在攻击F5网络设备

  (七)巴基斯坦军方确认印度黑客针对政府和军方官员手机进行重大网络攻击

  (八)黑客组织RedCurl专门从事间谍活动 窃取大量数据

  (九)俄罗斯遭受多起源自德国的网络攻击

  (十)德国科技公司NETZSCH遭受勒索软件Clop攻击

  (十一)美国发布选举威胁声明,中国、俄罗斯及伊朗遭美国点名

  (十二)300美元的设备可用来监听卫星互联网通信信号

  (十三)Agent Tesla新变体可从Web浏览器及VPN软件中窃取凭据

  (十四)网络安全培训机构SANS遭受黑客攻击泄露用户信息

  (十五)白俄罗斯在选举期间互联网中断

 

  第一章 国内关键信息基础设施安全动态

  (一)2019年外国对华网络攻击一半以上来自美国

  中国最近收紧了其网络安全规则,要求“关键信息基础设施”要经过更严格的审查程序。根据中国政府下属的网络安全团队数据,2019年中国超过一半的计算机恶意软件攻击来自美国。

  国家计算机网络应急响应技术小组(CNCERT)表示,2019年国家计算机网络应急响应技术小组捕获的计算机恶意软件攻击总量超过6200万次,其中约53.5%的外国攻击来自美国,低于一年前超过1亿起事件的数量。

  俄罗斯和加拿大是针对中国的计算机恶意软件攻击的第二大和第三大贡献者,分别占外国攻击总数的2.9%和2.6%。CNCERT数据显示,2019年针对移动网络的新增恶意攻击数量近280万起,同比下降1.4%,为五年来此类攻击首次下降。

  CNCERT 8月11日发布了一份网络安全报告,将自己描述为一家“非政府非营利”机构,但其网站上2019年的一篇招聘帖子称,该机构“直接隶属于中国最高互联网监管机构,中国网信办”。

  随着美中之间不断升级的科技和贸易紧张局势,网络安全目前正上升到国际议程上。

  根据中国领先的网络安全提供商奇虎360在4月份的一份报告,今年早些时候的一次协同网络间谍行动中,中国机构和外交使团通过其虚拟专用网(VPN)服务器成为黑客攻击的目标,而此时许多政府和全球组织由于疫情期间的远程工作安排,比以往任何时候都更容易受到安全漏洞的攻击。

  与此同时,特朗普政府已经对中国社交应用TikTok和微信采取行动,理由是它们涉嫌对国家安全构成威胁。美国司法部(Justice Department)还在7月份指控两名中国黑客代表中国情报部门针对疫苗开发,这是针对国防承包商、高端制造业和太阳能公司等行业的长达数年的全球网络盗窃行动的一部分。

  中国最近收紧了网络安全规则,要求“关键信息基础设施”对任何可能影响国家安全的采购进行网络安全审查。专家表示,这些标准可能会促使公司避开更有可能被视为对中国国家安全构成更高风险的跨国供应商。

  CNCERT在报告中称,“面对网络安全的新趋势和新挑战,(我们应该)加快网络安全技术创新,发展产业,培养人才,促进合作。”

  参考来源:SouthChinaMorningPost http://dwz.date/bXpb

 

  第二章 国外关键信息基础设施安全动态

  (一)高通芯片DSP漏洞可致数十亿台设备遭受攻击

  安全研究人员发现了数百个漏洞,这些漏洞使带有高通 Snapdragon芯片的设备受到攻击。

  在近日DEF Con的一次演讲中,Check Point安全研究员Slava Makkaveev透露,计算数字信号处理器(DSP,一个能够以低功耗处理数据的子系统)中的漏洞可能会为Android应用程序执行恶意攻击打开大门。

  专有子系统被授权给原始设备制造商和少数应用程序开发商编程,在DSP上运行的代码是有签名的,但安全研究人员已经找到了绕过高通签名在DSP上运行代码的方法。

  供应商可以使用Hexagon SDK为DSP构建软件,而开发工具包本身中的严重安全缺陷已导致高通及其合作伙伴供应商在代码中引入数百个漏洞。

  根据Makkaveev的说法,几乎所有嵌入到基于高通的智能手机中的DSP可执行库都会通过Hexagon SDK中确定的问题受到攻击。

  发现的漏洞共有400多个,跟踪编号为CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208和CVE-2020-11209,并已得到高通的认可。

  Check Point尚未公布这些漏洞的技术细节,但表示,能够利用这些漏洞的攻击者不需要用户交互就可以泄露大量信息,包括用户的照片和视频,以及GPS和位置数据,或者通过录音或打开麦克风来监视用户。

  拒绝服务攻击也是可能的,设备保持永久无响应状态,从而使其上存储的信息不可用。此外,安装在设备上的恶意代码可能会完全隐藏活动并变得不可删除。

  由于高通的芯片安装在大约40%的智能手机中,包括谷歌、LG、一加、三星、小米和其他公司的高端设备,至少有10亿移动用户受到这些漏洞的影响。

  提供支持强大的安全和隐私的技术是高通的优先事项。关于Check Point披露的QUALCOMM Compute DSP漏洞,高通的一位发言表示努力验证该问题,并向OEM提供适当的缓解措施。目前没有证据表明它在被利用。我们鼓励最终用户在补丁可用时更新其设备,并且只安装来自可信位置的应用程序,如Google Play Store。

  参考来源:SecurityWeek http://dwz.date/bXbM

 

  (二)美国海军网络指挥部发布未来五年战略计划

  美国海军主要网络部门发布了其未来五年战略计划,该文件呼吁将该部门的网络作为作战平台。这份由第十舰队网络司令部发布的文件涵盖了该司令部的职责范围,该司令部是唯一一支在所有军事领域都具有全球影响力的机队,包括网络空间作战、信号情报,最近还包括海军隶属于美国太空司令部(U.S.Space Command)的组成部分。

  自2015年公布上一份战略计划以来,情况发生了很大变化,即对手每天在武装冲突的临界点以下进行猖獗的活动,从战略上伤害美国。

  该文件写道,“我们今天面临的长期竞争是民主政体和独裁政权、航行自由和进入共同的世界市场之间的竞争。我们的长期战略竞争对手正在进行战略性网络活动,以改变国际秩序。这是不会松懈的。对手学会了军队的游戏,但现在军队必须学会对手的游戏,并按他们的条件玩游戏。”

  从历史上看,要破坏一个国家的权力,需要以领土为重点,公开的武装攻击或物理入侵。虽然这是一种可能性,而且永远都是可能的,但技术已经为我们的对手提供了在没有传统军事力量的情况下实现目标的能力。目前,对手正在网络空间与我们交战,代价是累积的,每一次入侵、黑客攻击或泄密本身可能从战略上来讲并不是必然的后果,但其加剧的影响却等同于被认为是战争行为。海军,以至军队,必须准备好参加这项活动。

  海军副上将Timothy White在《战略前沿》中表示:“我确信,21世纪的大国冲突,特别是影响到海洋领域的冲突,将在电磁、太空或网络领域展开。如果海军要为胜利而战,海军网络必须能够承受重击和战斗伤害。我们的人民必须接受训练和锻炼,才能克服这些打击。这场比赛跨越了竞争和冲突的整个过程。我们必须在“和平行动”的日常竞争中赢得这场竞赛。我们的网络已经在密切联系,不断的受到探测和攻击。如果我们不这样做,我们将在危机和致命战斗中处于严重劣势。”

  该计划继续体现在海军对分布式海上行动的总体构想中,具有三个方面的构想:在全面信息战中率先行动,在全面竞争的战场空间中赢得胜利,并促进现代化和创新。

  此外,该计划对之前的2015-2020年战略规划中概述的五个目标进行了调整。它们包括:

  将网络作为作战平台:在几次重大网络漏洞之后,海军必须收紧其网络。Fleet Cyber负责运营、维护和保卫网络,作为其中的一部分,服务负责人认识到,当网络紧张时,他们必须“与伤害作斗争”。他们还致力于在整个服务范围内建立更强的网络态势感知,并减少入侵攻击面。

  进行舰队密码战:舰队网络于2019年发布了密码网络战愿景。作为新战略的一部分,司令部官员表示,他们将寻求扩大和增强分布式信号情报的能力,作为其对分布式海上行动的贡献的一部分。

  提供作战能力和效果:舰队网络希望扩大其在战场上交付效果的方式,包括加快和同步整个海上行动中心的信息战能力,推进将网络效果整合到海军和海军陆战队概念中,并创建战术网络团队和海上消防小组,以在整个舰队提供提供网络效果的专业知识。

  加速海军网络力量建设:舰队网络需要制定计划,以满足日益增长的需求,既要满足美国网络司令部对其联合部队的要求,也要满足海军的具体要求。领导人还希望建立成熟的组织结构,以及控制全球部队的各种网络实体之间的指挥和控制关系,例如联合部队总部DoDIN,联合部队总部网络和网络运营综合计划元素。此外,随着空间领域的重要性,Fleet Cyber将寻求利用空间、网络空间和电磁频谱之间日益增长的融合。

  建立和完善海军太空司令部:文件指出,Fleet Cyber的目标是“保持从海底到太空的海上优势,核心重点是杀伤力、战备和能力”,因此官员们必须重新关注,作为太空司令部的服务组成部分,尽可能提供最好的空间整合。

  该战略还阐明了Fleet Cyber在实现分布式海上作战方面的作用,这是以可靠的指挥和控制、战场空间感知和综合火力为基础的。所有这些都需要强大的网络、信息和完整的杀伤链。

  参考来源:C4ISRnet http://dwz.date/bXuK

 

  (三)美国宇航局完成对全球定位系统地面部分升级

  美国宇航局8月6日宣布,已完成对全球定位系统地面部分的升级,这将使其部分使用一种称为M-code的新型军用GPS信号。

  虽然这种新的反欺骗、抗干扰、加密的M码信号已在许多GPS卫星上使用多年,但军方还没有相应的地面和用户设备来访问和利用它。雷神技术公司(Raytheon Technologies)为此建造的价值62亿美元的下一代操作控制系统(OCX)比原计划晚了五年,预计要到2021年6月才能交付使用。

  为了在过渡期间为战斗人员提供通道,美国空军在2016年与洛克希德·马丁公司(Lockheed Martin)签订了一项应急行动合同,以对当前的GPS作战控制系统进行M-code升级。M-Code的早期使用(Early Use)升级将使拥有适当设备的战斗人员能够使用新的军事信号的某些方面,直到OCX准备就绪为止。M-Code的早期使用于2019年6月交付,于10月进入试用期,并于2020年3月获准日常使用。

  M-Code的“早期使用”硬件和软件升级已于7月27日完成,为系统进入2020年11月进入运营验收阶段扫清了道路。安装在科罗拉多州施里弗空军基地的主控站和加利福尼亚州范登堡空军基地的备用主控站进行。

  通过升级,OCS可以在GPS星座上执行任务,上载和监视M-code,并将支持测试和部署可以接收信号的军事地面用户设备。

  M-Code早期使用项目经理史蒂文·尼尔森中校表示,“与洛克希德·马丁公司和我们的其他任务合作伙伴紧密合作,共同的国家目标始终是集中提供增强的[定位,导航和定时]信号安全性和安全性,意味着我们能够更快地向我们的任务提供正确的任务能力。”

  参考来源:c4isrnet http://dwz.date/bXaV

 

  (四)500多款移动应用程序中存在美国政府跟踪软件

  8月7日,《华尔街日报》发表了一篇报道,揭露了有关手机跟踪方面发展。根据该报告,至少有一个联邦承包商在500多个移动应用程序中放置了政府跟踪软件。

  该承包商总部位于美国弗吉尼亚州,名为Anomaly Six LLC。该公司向移动开发人员付钱,让他们在应用程序中加入内部跟踪代码。然后,跟踪器会从我们的手机中收集匿名数据,Anomaly Six 会汇总这些数据并将其出售给美国政府。听起来很疯狂,但是它正在发生。而且,这似乎是完全合法的。

  该报告明确表明,Anomaly Six 的跟踪软件出现在500多个移动应用程序中。但是,Anomaly Six 不会透露与之建立伙伴关系的应用程序。《华尔街日报》无法通过其他方法收集此信息。

  有人会假设你可以深入研究流行应用程序的服务协议条款,并找到有关Anomaly Six的条款。但是,这将浪费时间,因为应用程序开发人员无需向用户披露Anomaly Six 跟踪器。因此,使用者可能拥有一个甚至数十个带有Anomaly Six政府跟踪代码的应用程序,并且一无所知。

  为了清楚起见,Anomaly Six收集的数据是匿名的。每个智能手机都附有一个字母数字标识符,该标识符未链接到手机所有者的姓名。当然,有很多方法可以使用诸如此类的“匿名”数据来确定谁拥有该设备。例如,设备可能在所有者睡觉时晚上处于空闲状态,而那时设备的位置可能是所有者的家。掌握这些信息后,就不难开始总结其他用户习惯,例如他们的工作地点、通勤用途、外出就餐地点等。

  由于Anomaly Six没有公开其政府跟踪软件,因此无法选择退出。简而言之:您已被跟踪,您的智能手机习惯已被出售给政府,并且对此此无能为力。

  由于通过智能手机跟踪位置数据的想法还很新,因此与这种做法有关的法律法规落后了。由于Anomaly Six 收集的数据在技术上是匿名的,并且由于它不是出于商业目的(即广告或营销)出售数据,因此在法律允许的范围内这样做是可以的。

  不过,最大的问题是政府在处理这些数据。它只是在监视其公民吗?它是否将其用于执法目的?它是否将其用作反恐策略?这里有很多问题,但是Anomaly Six无意回答这些问题。据该公司称,其所从事的业务被视为机密信息(尽管从技术上讲不属于机密),因此未经其严格许可,不得详细阐述其业务伙伴。显然,要得到这样的许可并不容易。

  参考来源:Android Authority http://dwz.date/bW8Z

 

  (五)朝鲜黑客组织Lazarus Group攻击以色列国防部门

  以色列国防部8月12日表示,与朝鲜政府有关联的黑客一直在用虚假的就业机会攻击以色列国防部门。

  以色列称这些攻击者是黑客组织Lazarus Group的一部分,美国政府将其与朝鲜联系起来。他们通过LinkedIn发送了虚假的工作机会。国防部称,黑客创建了伪造的LinkedIn帐户,冒充跨国公司的首席执行官和高层管理人员进行骗局。

  这是朝鲜黑客利用假工作机会瞄准其间谍活动目标的最新例子。根据美国司法部的数据,2016年和2017年,朝鲜黑客冒充招聘人员发送鱼叉式电子邮件,试图侵入洛克希德·马丁公司的电脑系统。根据McAfee的研究,就在上个月,Lazarus Group的黑客似乎通过LinkedIn发送虚假的招聘信息,以收集情报。

  以色列国防部表示,它已经“实时”阻止了这些企图,并补充说,“他们的网络没有受到破坏或中断”。国防部表示,攻击者有意侵入员工的电脑,渗透他们的网络,窃取敏感的安全信息。

  尽管与朝鲜政府有关联的黑客继续冒充招聘人员或发送虚假的工作邀约,但目前还不清楚是否取得了成功。

  McAfee研究员兼首席科学家Raj Samani表示,以色列目标的战术、技术和程序(TTP)与McAfee Advanced Threat Research确定的北极星行动有相关性。因此,这些行动有可能是由同一威胁参与者实施的。来自McAfee确认的活动的恶意软件在7月下旬仍在使用,已在欧洲和美国检测到。

  上个月,欧盟制裁了一家朝鲜幌子公司,因为该公司参与了2017年的WannaCry勒索软件攻击。据美国司法部称,同一家幌子公司被指控参与了以洛克希德·马丁(Lockheed Martin)为目标的招聘钓鱼电子邮件的阴谋。

  参考来源:Cyberscoop http://dwz.date/bXqA

 

  (六)FBI发现伊朗黑客组织Fox Kitten正在攻击F5网络设备

  美国联邦调查局(FBI)近日发布的安全警报显示,与伊朗政府有关联的精英黑客被发现攻击美国私人和政府部门。该组织已被较大的网络安全社区追踪,代号为 Fox Fox 或 Parisite。

  一位现供职于一家私人安全公司的前政府网络安全分析员称该组织为伊朗在网络攻击方面的“矛头”。他将该组织的首要任务描述为必须向其他伊朗黑客组织,如APT33(ShaMoon)、Oilrig(APT34)或Chafer提供“初步保证”。

  为了实现目标,Fox Kitten主要是在公司有足够的时间修补设备之前,利用最近披露的漏洞攻击高端和昂贵的网络设备。由于他们攻击的设备的性质,目标主要包括大型私人公司和政府网络。一旦黑客获得访问设备的权限,他们就会安装WebShell或后门,将设备转变为进入被黑客攻击的网络的网关。

  根据网络安全公司ClearSky和Dragos今年早些时候发布的报告,自2019年夏天以来,Fox Kitten一直在使用这种操作方式,当时它开始着重针对以下漏洞,例如:

  ·Pulse Secure“连接”企业VPN(CVE-2019-11510)

  ·运行FortiOS的Fortinet VPN服务器(CVE-2018-13379)

  ·Palo Alto Networks“Global Protect” VPN服务(CVE-2019-1579)

  ·Citrix“ ADC”服务器和Citrix网络网关(CVE-2019-19781)

  FBI上周向美国私营部门发出的通知称,该组织仍在瞄准这些漏洞,但Fox Kitten也升级了攻击武器库,包括对CVE-2020-5902漏洞的利用。CVE-2020-5902是7月初披露的一个漏洞,会影响F5 Networks生产的一款非常流行的多用途网络设备BIG-IP。

  联邦调查局没有公开称呼该组织的名字,但提到了他们过去对Pulse Secure VPN和Citrix网关的攻击,并警告公司,一旦黑客进入他们的网络,很可能会向其他伊朗组织提供访问权限,或者通过部署勒索软件将对间谍活动无用的网络货币化。

  联邦调查局官员还警告说,该组织并未针对任何特定的行业,任何运行BIG-IP设备的公司都可能成为攻击目标。虽然联邦调查局要求美国公司修补他们的内部BIG-IP设备,以防止成功入侵,但联邦调查局官员也分享了典型的Fox Kitten攻击的细节,这样公司就可以部署对策和检测规则。这些细节与ClearSky在2020年2月报告中详述的内容类似。

  “成功入侵VPN服务器后,参与者通过WebShell获取合法凭据并在服务器上建立持久性。参与者使用NMAP和愤怒的IP扫描程序等工具进行内部侦察后攻击。参与者部署MimiKatz在网络上捕获凭据,部署Juicy Potato进行权限提升。参与者在网络上创建新用户[...]”

  参与者使用多个应用程序进行命令和控制(C2),同时利用受害者网络,包括Chisel(C2隧道)、ngrok、Plink和SSHNET(反向SSH shell)。在跟踪疑似C2活动时,FBI建议,与Ngrok有关的C2活动可能与与Ngrok相关的外部基础设施有关。

  尽管联邦调查局的警报没有说明受害者信息,但有消息人士表示,Fox Kitten对BIG-IP设备的攻击已经成功。

  一家美国网络安全公司的安全研究员标表示,联邦调查局上周发出了PIN警报,此前特工被要求调查两起成功的入侵事件,Fox Kitten黑客成功侵入了美国公司。

  由于保密协议,消息人士无法透露这两家公司的身份,也无法确认这是国土安全部网络安全和基础设施安全局(DHS CISA)7月24日发出的类似警报中提到的相同“两个妥协”。无论哪种方式,伊朗国家支持的黑客组织并不是唯一针对BIG-IP漏洞的威胁行为者。

  在细节和漏洞POC公开后的两天内,多个黑客组织开始利用这个漏洞,最近几周,甚至在Mirai的DDoS僵尸网络中发现了针对这个BIG-IP漏洞的攻击。

  参考来源:ZDNet http://dwz.date/bXdn

 

  (七)巴基斯坦军方确认印度黑客针对政府和军方官员手机进行重大网络攻击

  巴基斯坦军方媒体WIND 8月12日表示,巴基斯坦情报机构追踪到了印度黑客的一次重大安全漏洞,政府官员和军事人员的手机和其他设备成为攻击目标。

  根据情报机构公共关系(ISPR)的一份声明,印度情报机构的网络攻击涉及“一系列网络犯罪,包括通过黑客攻击个人手机和技术设备进行欺骗性捏造”。

  军方媒体部门表示:“敌对情报机构的各种目标正在接受调查。”声明补充说:“巴基斯坦军队进一步加强了必要的措施,以挫败此类活动,包括对违反网络安全常备操作程序(SOP)的人采取行动。”同时还表示,正在向所有政府部门发送咨询意见,以便他们可以识别安全漏洞,并加强网络安全措施。

  今年三月,联邦政府以外国情报机构的网络攻击威胁为由,向各省政府发出了禁止使用社交网络应用程序的指示。

  巴基斯坦政府内阁司国家电信和信息技术安全委员会发表了一封信,标题为“禁止使用WhatsApp以及同样用于共享公函和信息”,信中写道:“据报道,敌对情报机构已经开发出技术能力和手段,以获取该国政府部门、机构和部长的官员的手机中存储的敏感信息。这些间谍软件公司利用目标手机(iOS和Android)WhatsApp账户上的“Chat Line”和“Pegasus”恶意软件等黑客软件和应用程序,获取存储在手机上的敏感信息。该恶意软件只能通过在目标WhatsApp号码上生成未接来电来感染任何手机(iOS和Android)。这种Pegasus恶意软件已经感染了包括巴基斯坦在内的20个国家的大约1400名高级政府和军事官员。以色列的NSO Group等敌意间谍软件公司已被WhatsApp和Facebook在美国旧金山法院起诉,原因是它们同时违反了美国和加州的法律以及WhatsApp的服务条款。”

  此外,据说持有敏感投资组合并处理国家安全事务的高级政府官员被建议避免在WhatsApp上共享信息,并将该应用程序升级到最新版本。2019年5月10日之前购买的所有手机立即更换。

  参考来源:TheNews http://dwz.date/bXgC

 

  (八)黑客组织RedCurl专门从事间谍活动窃取大量数据

  根据安全公司Group-IB 8月13日发布的一项研究结果显示,自2018年以来,一个专门从事商业间谍活动的俄罗斯黑客组织已经开展了26次活动,试图从私营部门窃取大量数据。该名为RedCurl的黑客组织窃取了包括合同、财务文件、员工记录和法律记录在内的机密公司文件。受害者涉及一系列行业,包括建筑、金融、零售和法律,总部设在俄罗斯、乌克兰、英国、加拿大、德国和挪威。

  根据MITRE Corp.的黑客团体数据库, RedCurl依赖于类似于RedOctober和CloudAtlas的黑客技术,RedOctober和CloudAtlas是另一个俄罗斯组织,针对“主要在俄罗斯”的多个实体和政府网络。俄罗斯安全厂商卡巴斯基此前曾发表过有关RedOctober和CloudAtlas的调查结果,Group-IB现在表示,RedCurl对类似战术的关注“可能表明”该组织是之前那些攻击的延续。

  通常情况下,黑客会冒充受害者组织的人力资源人员,向同一部门的多名员工发送承诺发放员工奖金的电子邮件,显然是为了降低他们的防御。针对人力资源部的网络钓鱼电子邮件将成为最初的感染点,让攻击者有机会进入组织的其他部门。

  Group-IB没有推测RedCurl的总部设在哪里。正如研究人员指出的那样,该组织说俄语并不意味着RedCurl是一个总部设在俄罗斯的黑客组织。以俄罗斯为基地的黑客组织通常不以渗透位于俄罗斯境内的受害者为目标,部分原因是为了避免与该国的情报机构对抗。

  Group-IB恶意软件动态分析团队负责人Rustam Mirkasymov在电子邮件声明中称,“对RedCurl来说,攻击一家俄罗斯银行还是加拿大的一家咨询公司都没有区别。这类组织专注于商业间谍活动,并采用各种技术来掩盖他们的活动,包括使用难以侦测的合法工具。”

  在这种情况下,该组织利用Microsoft的PowerShell插入自己的恶意软件脚本。然后,黑客通常会在受到破坏的网络中花费两到六个月的时间,收集用户名,密码和其他敏感数据,同时努力避免被检测到。

  Group-IB没有在报告中透露受害者的名字。

  参考来源:cyberscoop http://dwz.date/bXt7

 

  (九)俄罗斯遭受多起源自德国的网络攻击

  俄罗斯官方外交官谢尔盖·拉夫罗夫(Sergei Lavrov)8月11日表示,根据官方媒体发表的评论,俄罗斯已发现许多源自德国的网络攻击。

  拉夫罗夫在莫斯科与德国外长海科·马斯(Heiko Maas)会面后表示:“我们对德国方面的网络安全合作现状表示关切。”拉夫罗夫在国家通讯社塔斯社(TASS)发表的评论中表示:“我们在去年和今年发现了来自德国互联网领域的针对俄罗斯设施和组织的许多网络攻击。”

  俄拉夫罗夫没有列举具体的例子。此前,德国5月曾有指控称,俄罗斯可能参与了2015年对德国国民议会的网络攻击。德国于5月召见了俄罗斯驻柏林大使,通知他已发出逮捕令,并逮捕了与该事件有关的俄罗斯国民。德国外交部当时在一份声明中表示:“有可靠的证据表明,嫌疑人在袭击发生时是格鲁吉亚军事情报部门的成员。”

  有媒体报道称,这名俄罗斯公民是俄罗斯黑客组织APT28的成员。据俄罗斯计算机安全公司卡巴斯基的描述,APT28也被称为Sofacy或Fancy Bear,是高级威胁组织,其特点是速度快,使用多个后门软件包进入目标系统。该黑客组织自2008年以来一直活跃,目标主要是北约国家及乌克兰的军事和政府实体。

  参考来源:TheStar http://dwz.date/bW6b

 

  (十)德国科技公司NETZSCH遭受勒索软件Clop攻击

  近日,德国NETZSCH Group遭受了勒索软件Clop攻击。由于赎金要求没有被接受,按照标准惯例,犯罪分子泄露了首席执行官、首席财务官和公司其他工作人员签署的5.32GB信件。

  

 

  NETZSCH Group为一家总部位于德国巴伐利亚州的国际科技公司。NETZSCH拥有2100名员工,年收入约为10亿美元。

  勒索软件Clop的组织在暗网上已经公开了一条消息,是关于负责战略、人力资源和创新的执行董事会成员莫里茨·耐驰的桃色信息。犯罪分子意识到使用这些文字会让Netzsch感到难堪。

  NETZSCH发言人在接受评论时表示,“我们可以确定NETZSCH集团已成为7月10日勒索软件攻击的目标。我们的IT部门很早就做出了反应,从而能够最大程度地减少破坏。我们所有的网络和服务器都立即关闭。我们与网络安全和IT取证专家团队一起致力于在安全性得到进一步加强的情况下清理和还原系统。我们的大多数系统现在都可以再次使用,我们已重新连接到电子邮件通信,并且我们的生产和交付已启动并正在运行。所有已安装的IT安全措施都已经过仔细检查并得到了额外的保护。我们与执法机构密切合作,负责网络犯罪的负责特别部门立即开始调查。调查仍在进行中。对于据称由这一事件引起的数据出版物,我们与执法机构和律师一道,正在审查任何帖子,以核实这些帖子是否是伪造的。此外,我们将加强我们的权利以保护公司的机密性,并将支持对所有可能受到数据窃取和非法出版物影响的个人的隐私和个人权利的执行。”

  参考来源:ITWire http://dwz.date/bWAh

 

  (十一)美国发布选举威胁声明,中国、俄罗斯及伊朗遭美国点名

  根据美国反间谍执法办公室的分析,在美国总统竞选活动期间,中国与伊朗攻击对象是美国总统特朗普(Donald Trump),而俄罗斯的破坏行动则针对另一总统候选人拜登(Joe Biden),因为拜登支持俄罗斯境内反普京阵营。

  美国反间谍执法办公室(National Counterintelligence and Security Center,NCSC)在8月7日指出,随着美国总统大选即将于今年的11月3日举行,各国的黑客集团都已展开干扰活动,而他们主要关注中国、俄罗斯与伊朗的潜在威胁。

  NCSC主任William Evanina表示,在美国大选之前,国外政府持续利用公开及秘密的影响力来影响美国选民的偏好及观点,或者是企图转移美国的政策,扩大美国的不和,也破坏了人民对美国民主程序的信心,同时他们也可能寻求危害美国选举基础设施的机会,以干预投票过程、窃取机密资讯,或是让大众质疑投票结果的有效性。

  这些国家持续透过社交或传统媒体来传递各种信息,只不过,他们所偏好的候选人并不一致,根据NCSC的评估,中国希望现任的美国总统特朗普(Donald Trump)不要连任,于是针对不利于中国的政治人物施压,也持续批评美国对COVID-19的应对方式,更严厉抨击美国政府对于香港、TikTok、中国南海法律地位,以及由中国主导5G市场所持的立场,因为北京政府知道这些作法都可能影响美国的总统选举。

  而俄罗斯则专门诋毁另一总统候选人拜登(Joe Biden)。俄罗斯政府曾经公开批评拜登在担任美国副总统时对乌克兰的政策,且拜登也支持俄罗斯境内反普京的阵营。因此,亲俄罗斯的美国国会议员Andriy Derkach 就曾宣称,拜登是个贪污腐败的政客,有些俄罗斯的活动份子则在社交媒体或电视上推崇特朗普。

  至于伊朗则是试图破坏美国的民主机构,打算在总统大选前分裂美国,且着重在网络上发挥影响力,于社交媒体上散布不实信息讯或反对美国的内容,目的是造成政权的更迭,不想让持续向伊朗施压的特朗普连任。

  Evanina强调,美国的情报体系(Intelligence Community,IC)将会持续搜集与提供准确及客观的选举威胁信息,并定期向竞选总部、政治委员会、国会进行简报,自今年5月中旬以来,总计已举行近20场简报,也会根据国家安全义务,向美国民众提供最新消息。

  参考来源:iThome http://dwz.date/bXfm

 

  (十二)300美元的设备可用来监听卫星互联网通信信号

  安全研究人员詹姆斯·帕沃尔(James Pavur)在2020黑帽大会上发言时表示,卫星互联网通信容易受到窃听和信号拦截。攻击者可以使用便宜的设备,比如300美元起的基本家庭电视设备来监视高价值目标的互联网流量。

  当卫星ISP试图为客户建立互联网连接时,它会使用狭窄的通信信道将客户的信号传输到地球同步卫星。然后信号被发送回地面接收站,并被路由到互联网。响应信号使用相同的信道发回,卫星和用户之间的传输下行链路将是广播传输,同时包含更大的客户业务量,以优化成本。

  Pavur解释表示,“一个关键的区别是,我们将以非常宽的波束发送(下游信号),因为我们希望覆盖尽可能多的客户,而卫星非常昂贵。因此,携带谷歌搜索响应的无线电波将到达我们在大西洋中部的客户;但它们也会击中攻击者在加纳的菜肴。”

  Pavur解释说,民族国家行为者可以在安装的地面站中使用非常昂贵的设备来窃听卫星通信。然而,他展示了使用基本的家庭电视消费设备来监视卫星互联网连接是可能的。研究人员使用了一个普通的平板卫星碟子和一个现成的PCIe卫星调谐卡来实现监听站。Pavur指出,专业的PCIe调谐卡的价格在200美元到300美元之间,但也可以使用不太可靠、更便宜的版本,价格在50美元/80美元之间。

  

 

  研究人员解释表示,攻击者可以通过用碟子指向特定的卫星进行间谍活动,这些卫星的位置是公开的。然后,他们可以使用像EPS Pro这样的软件来发现互联网订阅源。

  Pavur解释表示,“我们将把卫星天线指向天空中一个我们知道有卫星的地方,我们将扫描无线电频谱的Ku波段,以找到与背景噪音相反的信号。我们识别频道的方法是在无线电频谱中寻找不同的驼峰;因为它们在背景噪音的衬托下很突出,我们可以猜测那里发生了什么。我们将把我们的卡调到这一点,并将其视为卫星馈送的数字视频广播。几秒钟后,我们锁定了该信息,这意味着我们成功地找到了一颗连接的卫星。”

  一旦发现信号,攻击者就必须记录它并分析收集的数据,以便确定流量是与互联网连接还是与电视提要相关。Pavur解释说,这项检查非常简单,他只是查找是否存在与互联网流量相关的字符串HTTP,而不是在电视Feed中。一旦攻击者识别出卫星互联网连接,他就可以记录下来,然后对其进行解析,以获取有价值的信息。馈送以MPEG视频流格式或通用流封装(GSE)协议传输。使用Wireshark等常用工具很容易解析MPEG,而GSE利用更复杂的调制,这使得廉价硬件很难解析流。

  Pavur和他的同事们注意到,他们收集的大部分流量都导致了损坏的文件,因此,他们开发了一个名为GC Extract的工具,可以从损坏的GSE记录中提取IP数据。即使对流量进行加密,攻击者也可以收集信息。DNS的分析可以揭示用户的Internet浏览历史,而TLS证书的分析可以对用户连接的服务器进行指纹识别。

  这位研究人员提供了一些真实的案例,在这些案例中,他能够访问通过卫星互联网连接发送的数据。研究人员和他的牛津团队向测试受害者和互联网服务提供商透露了他们的发现。

  联邦调查局(Federal Bureau Of Investigation)在公布研究结果后发布了一份私人威胁情报通知。“然而,最近进行的研究发现,针对海上VSAT信号的中间人攻击可以用不到400美元的广泛可用的电视设备进行,这为更广泛的威胁行为者提供了潜在地获得敏感信息可见性的机会。”

  Pavur总结表示,“互联网是一个奇怪的网络,设备和系统的连接方式是你永远无法预测的,你可能会连接到一个安全的Wi-Fi热点或蜂窝发射塔,但下一跳可能是卫星链路或窃听的以太网电缆,拥有权利,能够加密自己的数据并选择这样做的能力和知识,对于防范此类攻击f都是至关重要的。”

  参考来源:SecurityAffairs http://dwz.date/bXe4

 

  (十三)Agent Tesla新变体可从Web浏览器及VPN软件中窃取凭据

  SentinelOne的研究人员发现了流行的Agent Tesla特洛伊木马的新变体,其中包括从流行的Web浏览器、VPN软件以及FTP和电子邮件客户端等应用程序窃取凭据的新模块。

  Agent Tesla是一种间谍软件,用于通过从受感染系统收集击键、系统剪贴板、屏幕截图和凭据来监视受害者。为此,间谍软件在Main函数中创建不同的线程和计时器函数。

  专家们于2018年6月首次发现该恶意软件,但自2014年以来一直可用,当时他们观察到威胁分子通过包含可自动执行的恶意VBA宏的Microsoft Word文档传播该软件。一旦用户启用了宏,间谍软件就会安装在受害者的计算机上。Agent Tesla经常参与商业电子邮件泄露(BEC)攻击,并从受害者的系统中窃取数据并收集他们系统上的信息。

  最近的恶意软件样本包括从几个应用程序收集应用程序配置数据和凭据的特定代码。

  目前,Agent Tesla继续被用于各种攻击阶段。它持续管理和操纵受害者设备的能力仍然吸引着低级别的犯罪分子。Agent Tesla现在能够从许多常见的VPN客户端、FTP和电子邮件客户端以及Web浏览器中获取配置数据和凭据。恶意软件能够从注册表以及相关的配置或支持文件中提取凭据。

  

 

  新的变种能够针对流行的应用程序,包括Google Chrome、Chromium、Safari、Brave、FileZilla、Mozilla Firefox、Mozilla Thunderbird、OpenVPN和Outlook。

  然后,窃取信息的特洛伊木马程序试图通过FTP或STMP将数据发送回命令与控制(C2)服务器,专家注意到凭据被硬编码在其内部配置中。最近的变种通常会丢弃要注入的二级可执行文件,或者尝试注入目标主机上已有的已知二进制文件。

  专家报告说,该恶意软件经常使用“进程空心化”注入技术,该技术允许创建或操作进程,通过这些进程可以取消内存部分的映射(被掏空)。然后,使用所需的恶意代码重新分配这些内存区域。在执行时,恶意软件将收集本地系统信息,安装键盘记录器模块,以及初始化发现和获取数据的例程。

  最近的示例实现了发现无线网络设置和凭据的功能,然后在生成netsh.exe实例之前短时间保持休眠模式。它们通常通过注册表项输入或计划任务来实现持久性。

  参考来源:SecurityAffairs http://dwz.date/bXrd

 

  (十四)网络安全培训机构SANS遭受黑客攻击泄露用户信息

  SANS研究所(SANS Institute)8月11日表示,该机构正在全球范围内培训网络安全专业人员,遭到了黑客攻击,导致2.8万条个人身份信息记录泄露。

  这家总部位于马里兰州的研究和教育机构表示,这一漏洞是由于向SANS员工发送的一封网络钓鱼电子邮件导致该组织500多封电子邮件被转发。被泄露的数据包括姓名、电子邮件地址和物理地址,这些信息是最近一次SANS虚拟培训活动的参加者提交的。

  在8月6日发现泄露后,SANS表示,它“很快停止了任何进一步的信息泄露”,该账户正在将数据转发到一个“未知的外部电子邮件地址”。该研究所没有确定谁应对这次黑客攻击负责。

  SANS表示,“我们正在调查这起事件,并得到一些世界顶级专家的支持,以确保我们了解所访问内容的完整范围”。

  SANS表示,它在全世界有16.5万名安全专业人员,以其在网络事件响应和渗透测试方面的培训而闻名。该研究所培训了无数企业要职人员,还为美国军人举行了网络安全演习。成为一名SANS讲师是网络安全行业的荣誉勋章,一些美国政府和企业员工兼职担任教师。

  SANS在通知邮件中说:“我们对这次袭击事件的发生深表遗憾。调查完成后,如果有我们认为对社区有用的信息,我们将进行网络广播,概述我们的经验教训。”

  这封电子邮件称,没有证据表明被盗数据被滥用,“但如果你收到任何未经请求的通信,尤其是如果他们声称来自SANS研究所或GIAC认证,请务必格外小心。”SANS指的是SANS运营的全球安全认证。

  参考来源:cyberscoop http://dwz.date/bXr9

 

  (十五)白俄罗斯在选举期间互联网中断

  白俄罗斯的互联网连接和手机服务自8月9日晚间以来一直处于中断状态,当天清晨和全天都出现了零星的中断。此次连接中断包括固定电话,似乎是政府强制中断的,发生在8月9日白俄罗斯总统选举引发的广泛抗议和日益加剧的社会动荡之中。

  持续的政府停摆进一步扰乱了这个拥有约950万人口的国家,8月10日上午的官方选举结果显示,连任5届的总统亚历山大·卢卡申科(Aleksandr Lukashenko)以约80%的选票赢得了第六个任期。在全国各地都有针对卢卡申科政府的抗议活动,包括对他的外交政策和对新冠肺炎疫情处理的批评,在选举前的几天里不断增加,并在周日晚间爆发。政府对抗议活动的反应是动员警察和军队,特别是在首都明斯克。与此同时,反对派候选人和抗议者表示,选举受到操纵,并认为选举结果是非法的。

  卢卡申科(Lukashenko)10日在接受采访时说,互联网中断来自国外,而不是白俄罗斯政府的举措造成的。白俄罗斯社区紧急响应小组(CERT)在周日的声明中指责大规模分布式拒绝服务攻击,特别是针对该国国家安全委员会和内政部的攻击,造成了“设备问题”。白俄罗斯政府所有的ISP RUE Beltelecom在周一的声明中说,在“多次不同程度的网络攻击”后,它正在努力解决停机问题并恢复服务。外部观察者对此表示怀疑。

  无党派连接跟踪组织NetBlock的负责人Alp Toker表示:“目前还不清楚白俄罗斯发生的事情的真相,但没有迹象表明发生了DDoS攻击。不能排除这一可能性,但我们没有看到任何外部迹象。周日午夜过后,NetBlock观察到白俄罗斯民众在很大程度上没有注意到断网,因为只有一个小时,但此后该国的互联网基础设施变得越来越不稳定。在早上投票开始的时候,出现了更多的干扰,而这些干扰确实在继续并取得进展。随后,NetBlock检测到的重大断网恰好在投票接近尾声时开始,而且还在继续。”

  中断甚至延伸到虚拟专用网络,这是互联网中断或审查的常见解决办法,其中大多数仍然无法到达。与此同时,有一些坊间迹象表明,断网是有计划的,甚至可能是政府提前警告了一些企业和机构。周六,俄罗斯报纸“莫斯科时报”发表了一篇颇具先见之明的报道,其中包括对一名销售人员的采访。这名销售人员警告试图购买SIM卡的记者,政府已经表示,大范围的连接中断最快可能会在当晚到来。

  早在上周二,也就是8月4日,Telegram上流传的一篇帖子声称,显示了一名白俄罗斯银行员工警告客户数字银行可能即将中断的电子邮件的截图。

  断网发生之际,包括伊朗、埃塞俄比亚和印度在内的世界各国政府越来越多地将互联网中断作为镇压和威权控制的工具,试图平息大规模抗议和动乱。围绕选举的连接中断也变得更加常见;今年到目前为止,布隆迪、几内亚、多哥和委内瑞拉政府都在选举期间或前一天晚上扰乱了社交媒体平台。

  白俄罗斯有一个相当集中的互联网基础设施,国有企业既控制着移动数据网络,也控制着中国与国际互联网的互联点。Toker表示,停机似乎是网络层暴力封锁策略的结果,而不是应用层更精细的过滤系统的结果。(伊拉克、利比里亚和委内瑞拉等国在动乱期间屏蔽了特定的社交媒体和通讯应用,包括WhatsApp、Instagram、Snapchat和Facebook,而不会扰乱更广泛的互联网。)。

  50多个人权组织签署了一封公开信,谴责白俄罗斯的互联网中断,这封公开信写给联合国人权事务高级专员办事处的三名相关特别报告员。

  报道称,在7月19日的一次大规模抗议活动中,明斯克也可能出现了零星的移动互联网中断。托克说,NetBlock监测平台那天确实记录到了一些波动,但发现还不是决定性的。然而,与此同时,白俄罗斯的活动人士开始散发使用VPN、Tor浏览器和其他工具绕过政府强加的连接中断的提示和指南。

  尽管连接中断仍在持续,但当地时间周一晚间,明斯克的抗议活动升级。

  参考来源:Wired http://dwz.date/bXfE

 

  如未标注,均为天地和兴工业网络安全研究院编译

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号