安全研究
全部分类

关键信息基础设施安全动态周报【2021年第2期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-01-15 16:29
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第2期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第2期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第2期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-01-15 16:29
  • 访问量:
详情

目   录

第一章 国内关键信息基础设施安全动态

(一)工信部印发《工业互联网创新发展行动计划(2021年-2023年)》

(二)中国初创公司Socialarks泄露400GB数据影响2亿用户
 

第二章 国外关键信息基础设施安全动态

(一)Pepperl + Fuchs Comtrol工业网关中存在六个漏洞

(二)罗克韦尔产品中存在四个高危DoS漏洞

(三)美国短线铁路运营商OmniTRAX遭受勒索软件Conti攻击

(四)飞机制造商达索猎鹰遭受勒索软件Ragnar Locker攻击

(五)哥伦比亚能源及冶金企业遭受木马攻击

(六)F5 BIG-IP产品中存在DoS漏洞

(七)SolarWinds供应链攻击中发现第三种恶意软件Sunspot

(八)美国国家安全局发布《网络安全年度回顾报告》

(九)美国太空部队加入美国国家情报体系

(十)联合国环境规划署超10万员工数据泄露

(十一)欧洲刑警组织捣毁最大暗网市场DarkMarket

(十二)新西兰中央银行遭受网络攻击

(十三)加拿大共享汽车服务商Communauto遭受网络攻击

(十四)美国技术供应商Ubiquiti因未授权访问泄露用户数据

 

第一章 国内关键信息基础设施安全动态

(一)工信部印发《工业互联网创新发展行动计划(2021年-2023年)》

1月13日,工信部官网发布《工业互联网创新发展行动计划(2021-2023年)》(以下简称《行动计划》),提出5项发展目标,明确11项重点工作任务,这也是工业互联网的第2个三年行动计划。

据了解,该《行动计划》已在工业互联网专项工作组第二次会议审议通过,旨在深入实施工业互联网创新发展战略,推动工业化和信息化在更广范围、更深程度、更高水平上融合发展。

《行动计划》指出,2021-2023年是我国工业互联网的快速成长期。到2023年,工业互联网新型基础设施建设量质并进,新模式、新业态大范围推广,产业综合实力显著提升。

一是新型基础设施进一步完善。覆盖各地区、各行业的工业互联网网络基础设施初步建成,在10个重点行业打造30个5G全连接工厂。标识解析体系创新赋能效应凸显,二级节点达到120个以上。打造3~5个具有国际影响力的综合型工业互联网平台。基本建成国家工业互联网大数据中心体系,建设20个区域级分中心和10个行业级分中心。

二是融合应用成效进一步彰显。智能化制造、网络化协同、个性化定制、服务化延伸、数字化管理等新模式新业态广泛普及。重点企业生产效率提高20%以上,新模式应用普及率达到30%,制造业数字化、网络化、智能化发展基础更加坚实,提质、增效、降本、绿色、安全发展成效不断提升。

三是技术创新能力进一步提升。工业互联网基础创新能力显著提升,网络、标识、平台、安全等领域一批关键技术实现产业化突破,工业芯片、工业软件、工业控制系统等供给能力明显增强。基本建立统一、融合、开放的工业互联网标准体系,关键领域标准研制取得突破。

四是产业发展生态进一步健全。培育发展40个以上主营业务收入超10亿元的创新型领军企业,形成1~2家具有国际影响力的龙头企业。培育5个国家级工业互联网产业示范基地,促进产业链供应链现代化水平提升。

五是安全保障能力进一步增强。工业互联网企业网络安全分类分级管理有效实施,聚焦重点工业领域打造200家贯标示范企业和100个优秀解决方案。培育一批综合实力强的安全服务龙头企业,打造一批工业互联网安全创新示范园区。基本建成覆盖全网、多方联动、运行高效的工业互联网安全技术监测服务体系。
 

本文版权归原作者所有,参考来源:工业互联网世界 http://dwz.date/dTRm
 

 

(二)中国初创公司Socialarks泄露400GB数据影响2亿用户

SafetyDetectives研究人员发现,中国初创公司Socialarks(笨鸟社交)遭遇了一次大规模数据泄露事件,导致超过400 GB的个人数据泄露,超过3.18亿条记录,其中包括多名知名人士和社交媒体影响力人士。

该公司不安全的ElasticSearch数据库包含来自世界各地至少2.14亿社交媒体用户的个人身份信息(PII),这些用户既使用Facebook和Instagram等消费者平台,也使用LinkedIn等专业网络。

在Socialarks的案例中,安全公司Safety Detectives团队发现ElasticSearch服务器在对可能不安全的数据库进行常规IP地址检查时,在没有口令保护或加密的情况下被公开。该公司的服务器上没有安全设备,这意味着任何拥有服务器IP地址的人都可以访问一个包含数百万人私人信息的数据库。

Safety Detectives团队负责人Anurag Sen表示,受影响的数据库中包含了“海量”的敏感个人信息,总计达408GB,超过3.18亿条记录。

考虑到数据泄露的巨大规模,研究团队要全面了解造成的潜在损害,一直是一个严峻的挑战。但是能够确定,所有泄露的数据都是从社交媒体平台上“窃取”的,这既是不道德的,也违反了Facebook、Instagram和LinkedIn的服务条款。

此外,值得注意的是,Socialarks在2020年8月遭遇了类似的数据泄露,导致1.5亿LinkedIn、Facebook和Instagram用户的数据被曝光。8月份的数据库泄露事件,泄露了6600万LinkedIn用户、1160万Instagram账户和8150万Facebook账户的大量个人数据。

从发现的泄露数据中,有可能确定人们的全名、居住国、工作地点、职位、订户数据和联系信息,以及到他们个人资料的直接链接。

该数据库包含超过408GB的数据和超过3.18亿条记录,包括11,651,162 Instagram用户个人资料、66,117,839领英用户个人资料、81,551,567 Facebook用户个人资料。

 

 

研究团队发现的受数据泄漏影响的配置文件数量与8月数据泄漏中提到的数量相同。但是,存在很大的差异,例如数据库的大小,托管这些服务器的公司以及索引的数量。

由腾讯托管的受影响服务器被细分为索引,以便存储从每个社交媒体源获取的数据。研究团队从3个主要社交媒体平台上发现了记录:Instagram,Facebook和LinkedIn。

Instagram索引包含各种受欢迎的人物和在线名人。研究团队在公开的数据库中发现了几位备受瞩目的网红,包括著名的美食博客、名人和其他社交媒体网红。

 

 

每条记录都包含从Instagram帐户中窃取的公共数据,包括其履历、个人资料图片、关注者总数、位置设置以及个人信息,例如电子邮件地址和电话号码的联系方式。

Instagram记录公开了以下详细信息:姓名、600多万用户的电话号码、所有1100多万用户的电子邮件地址、配置文件链接、用户名、资料图片、概要描述、平均评论数、关注者数量和关注人数、所在国、某些情况下的特定位置、常用标签。

 

 

Facebook的记录暴露了以下细节:姓名、“关于”文本、电子邮件地址、电话号码、所在地国家/地区、点赞,关注和收视率计算、ID、带有个人资料图片的Facebook链接、网站链接、配置文件描述。

LinkedIn的记录暴露了以下细节:姓名、电子邮件地址、工作概况,包括职称和资历级别、LinkedIn个人资料链接、用户标签、域名、互联社交媒体帐户登录名,例如Twitter、公司名称和收入利润率。

值得注意的是,Socialarks总部位于中国,于2014年由私人风险投资创立,而易受攻击的服务器位于香港。目前尚不清楚该公司如何设法从多个安全来源获取私人数据。
 

参考来源:SafetyDetectives http://dwz.date/dUWR
 

 

第二章 国外关键信息基础设施安全动态

(一)Pepperl + Fuchs Comtrol工业网关中存在六个漏洞

奥地利网络安全咨询公司SEC Consult研究人员发现了Pepperl + Fuchs Comtrol IO-Link Master工业网关中存在六个漏洞,包括跨站点请求伪造(CSRF)、反射跨站点脚本(XSS)、命令注入、拒绝服务(DoS)等问题。受影响的产品利用了已知具有漏洞的第三方组件的过时版本,包括PHP、OpenSSL、BusyBox、Linux内核和lighttpd。这些漏洞可被利用来获得设备的root访问权限并创建后门。

 

 

Pepperl+Fuchs在1月4日发布的一份公告中表示,这些漏洞可以让远程攻击者访问目标设备,执行“任何程序”,并获取信息。
首席安全顾问、SEC Consult漏洞实验室负责人Johannes Greil表示,如果攻击者能够访问其中一个受影响的控制设备,例如通过使用XSS攻击或口令猜测,他们可能能够以root权限在设备上执行命令,并实现永久后门。

IO-Link是一种用于数字传感器和执行器的工业通信协议。Pepperl+Fuchs表示,其IO-Link Master产品线“将IO-Link标准的优点与以太网/IP和Modbus TCP协议结合在一起。IO-Link Master通过处理IO-Link本身的复杂性,有效地使PLC程序员免受IO-Link复杂性的影响。”

该供应商在被告知存在漏洞几个月后,修补了SEC Consulting发现的漏洞。该公司表示,十几款IO-Link Master产品受到影响,并敦促客户更新U-Boot引导加载程序、系统映像和应用程序基础,以防止利用漏洞。SEC Consult发布了一份公告,其中包含每个漏洞的概念验证(PoC)代码。
 

参考来源:SecurityWeek http://dwz.date/dUWN

 

(二)罗克韦尔产品中存在四个高危DoS漏洞

研究人员发现,罗克韦尔FactoryTalk Linx和RSLinx Classic产品中存在四个DoS漏洞。根据罗克韦尔12月底发布的一份咨询报告,网络安全公司Tenable的研究人员总共发现了四个DoS漏洞,其中三个影响FactoryTalk Linx,一个影响FactoryTalk服务平台。
FactoryTalk Linx(前身为RSLinx Enterprise)是一款广泛使用的产品,设计用于将Allen Bradley PLC连接到罗克韦尔应用程序,包括编程、数据采集和HMI交互。

影响FactoryTalk Linx的两个安全漏洞是由DLL文件中未经处理的异常引起的,它们允许远程未经验证的攻击者通过发送巧尽心思构建的数据包来造成DoS情况,从而导致RSLinxNG.exe进程终止。这些漏洞被评为高危漏洞,漏洞编号为为CVE-2020-5801和CVE-2020-5802。

影响FactoryTalk Linx的另一个漏洞是DLL文件中的缓冲区溢出,它还可能通过发送导致RSLinxNG.exe进程终止的恶意数据包来造成DoS情况。然而,根据罗克韦尔的建议,虽然利用不需要身份验证,但它确实需要本地访问,而Tenable已证实了这一点。

通过说服目标用户打开日志文件,可利用影响FactoryTalk服务平台的漏洞进行DoS攻击。“当本地用户打开恶意日志文件时,它可能导致FactoryTalk Services Platform中的缓冲区溢出,从而导致暂时的拒绝服务状况。用户可以通过重新打开受影响的软件来从状况中恢复过来。”

罗克韦尔尚未发布针对这些漏洞的修补程序。然而,它分享了一些风险缓解建议,包括网络、软件、社会工程和一般缓解策略。

Tenable研究工程师David Wells表示:“在大多数情况下,RSLinx组件中的拒绝服务不会影响PLC的运行;但是,它会阻止管理员对PLC应用新的配置和更改,并在PLC的运行中失去可见性。”

思科Talos透露,它的一名研究人员在Rockwell的RslinxClassic中发现了一个严重程度很高的漏洞,攻击者可以利用该漏洞造成DoS情况。RslinxClassic是一种广泛用于工业自动化产品的通信服务器。该漏洞编号为CVE-2020-13573,与产品的以太网/IP服务器功能有关,可以通过发送网络请求加以利用。罗克韦尔告诉Talos,该问题在11月份就解决了,但似乎罗克韦尔还没有发布安全建议。Talos发布了一份公告,解释了如何利用该漏洞。
 

参考来源:SecurityWeek http://dwz.date/dRZU

 

(三)美国短线铁路运营商OmniTRAX遭受勒索软件Conti攻击

总部位于美国科罗拉多州的短途铁路运营商和物流供应商OmniTRAX近日遭受了针对其母公司Broe Group的勒索软件攻击和数据窃取。

OmniTRAX证实,网络攻击事件发生在勒索软件组织Conti在泄漏站点发布窃取的数据后。然而,该公司没有提供有关这起事件的细节,也没有提供它是否影响了任何运营。

OmniTRAX首席法律官兼法律总顾问约翰·斯皮格勒曼(John Spiegleman)在一份声明中说:“我们完全清楚目前的情况,但是公司政策要求我们不要对安全协议发表评论。OmniTRAX继续照常营业。”

OmniTRAX的总部位于丹佛,在美国经营21条短线铁路,在加拿大经营一条。尽管没有迹象表明会对运营产生影响,但短线铁路通过将托运人与较大的铁路网连接起来,在北美供应链中发挥了至关重要的作用。

根据勒索软件团伙发布帖子的时间,攻击发生在12月24日之前。泄密事件本身表明,拥有OmniTRAX的Broe Group拒绝支付黑客的赎金要求。OmniTRAX是OmniTRAX投资组合的一部分,总部设在同一地点。

泄露的70GB样本文件包括OmniTRAX内部文件,包括雇员个人工作计算机的明显内容。目前尚不清楚其中是否包括与OmniTRAX的铁路运营或其客户有关的数据。

这是已知的第一起针对美国货运铁路运营商的所谓双重勒索软件攻击案例。包括Forward Air在内的多家卡车和物流公司一直是一系列勒索软件组织的目标。他们采用的策略是窃取数据,然后对数据进行加密,然后要求支付赎金,以换取解锁系统,并承诺永远不会公开这些数据。

一位熟悉铁路行业的网络安全专家表示,这次可能的攻击对OmniTRAX的铁路运营几乎没有造成干扰。但这位专家表示,公开披露员工数据令人不安。

近年来,随着铁路行业数字化程度的不断提高,但缺乏适当的网络安全,人们对铁路网络攻击的担忧与日俱增。人们的担忧主要集中在供应链可能出现大规模中断,或黑客破坏机车车辆系统,可能导致列车停运或安全系统瘫痪。

勒索软件攻击通常是一种更直截了当的工具,目的是让黑客组织赚钱。但正如最近的Forward Air攻击所证明的那样,数据锁定可能会影响运输操作。

铁路制造商Greenbrier的首席执行官比尔·弗曼(Bill Furman)对金融分析师表示,该公司正在加大其网络安全工作,以应对高威胁水平。Furman表示,“这对我们运营的所有公司而言都是越来越大的风险,如果渗透进我们的公司中,我们会有一些漏洞,我们都已经关注了这些头条。因此,我们的董事会对此表示关注。我们很担心,我们正在投资保护自己。”
 

参考来源:FreightWaves http://dwz.date/dUQj

 

(四)飞机制造商达索猎鹰遭受勒索软件Ragnar Locker攻击

飞机制造商达索猎鹰(Dassault Falcon Jet,DFJ)12月30日披露其遭受了一起数据泄露事件,泄露了现员工及前员工的个人信息,及员工配偶和家属的信息。

法国达索航空公司(Dassault Aviation)美国子公司已向客户发送了数据泄露通知。该公司拥有2453名员工,2019年收入超过73亿欧元。

DFJ发布的通知显示,“在2020年12月6日,DFJ发现了一其数据安全事件,影响了我们的一些系统和我们的一些子公司。在发现此安全事件后,我们立即将所有受影响的系统脱机,并聘请第三方网络安全专家协助我们进行调查,同时我们努力以保护您信息安全的方式安全恢复我们的系统。”

泄露的数据包括现任及前任员工的信息,包括姓名、个人和公司电子邮件地址、个人邮寄地址、员工身份证号、驾驶证号、护照信息、财务账号、社会保险号、出生日期、工作地点、薪酬和福利登记信息以及就业日期。数据泄露通知称,有关事件中暴露的现任或前任雇员的配偶和受抚养人的信息可能包括姓名、地址、出生日期、社会保险号和福利登记信息。

据媒体报道,数据泄露是Ragnar Locker勒索软件共计的结果,该勒索软件也影响了达索猎鹰喷几家子公司的系统。

研究人员在Ragnar组织的泄密网站上发现了一些特定的部分,其中包含所谓被盗文件档案的链接。

 

 

该公司正在FBI的支持下调查此事件,并宣布将采取措施加强其安全计划,以防止将来发生类似事件。

该数据泄露通知显示,“在此事件中,我们重新构建了系统,以便在调查继续进行的同时维持我们的运作。在恢复和重建系统的同时,我们也在加强现有的安全保护措施,以保护这些系统及其上存储的数据。”

2020年11月,美国联邦调查局(FBI)发出了紧急警报(MU-000140-MW),以警告私营行业合作伙伴,自2020年4月起确认攻击后,Ragnar Locker勒索软件活动有所增加。
 

参考来源:SecurityAffairs http://dwz.date/dU5Z

 

(五)哥伦比亚能源及冶金企业遭受木马攻击

ESET研究人员1月12日透露,其发现一项名为Spalax活动的黑客攻击活动,攻击者针对哥伦比亚能源及冶金企业使用了三种远程访问木马来窃取敏感机密数据。

ESET在博客中表示,哥伦比亚政府及私有企业是威胁行为者的攻击目标,攻击者对能源及冶金行业特别感兴趣。ESET在2020年下半年开始跟踪该黑客行动,当时至少有24个IP地址与一起攻击有关,可能是受攻击的设备充当攻击者的命令和控制(C2)服务器的代理。

为了开始针对目标实体的感染链,威胁参与者使用传统方法:网络钓鱼电子邮件。这些欺诈性信息的主题包括要求参加法庭听证会、冻结银行帐户警告、采取强制COVID-19测试的通知。在一些样本中,包括总检察长办公室(Fiscalia General de la Nacion)和国家税务和海关总署(DIAN)在内的机构被假冒。

每封电子邮件都附带一个.PDF文件,该文件链接到.RAR文档。如果受害者下载了该软件包(位于OneDrive,MediaFire和其他托管服务上),则其中的可执行文件将触发恶意软件。

威胁行为者使用各种投放程序和打包程序来部署特洛伊木马有效载荷,所有目的都是通过将RAT注入合法进程来执行RAT。

这三种有效载荷都可以通过商业途径获得,并且不是由网络攻击者自行开发的。第一个是Remcos,一种在地下论坛上只需58美元就能买到的恶意软件。第二个是njRAT,这是最近在使用Pastebin作为C2结构替代的活动中发现的特洛伊木马,第三个是AsyncRAT,一种开源远程管理工具。

ESET指出:“投放程序和有效负载之间没有一对一的关系,因为我们已经看到不同类型的投放程序运行相同的有效负载,并且还有一种类型的投放程序连接到不同的有效负载。但是,我们可以说,NSIS dropper主要投放Remcos,而Agent Tesla和AutoIt包装员通常会投放njRAT。”

RAT能够提供对威胁行为者的远程访问控制,并且还包含用于键盘记录、屏幕捕获、剪贴板内容收集、数据泄露以及其他恶意软件的下载和执行以及其他功能的模块。

根据ESET的说法,没有具体的归因线索,但是与APTC36(也称为Blind Eagle)存在一些重叠。该APT与2019年针对哥伦比亚实体的攻击有关,目的是窃取敏感信息。攻击者对动态DNS服务的使用意味着该活动的基础结构也在不断变化,定期注册新域名以供哥伦比亚公司使用。

ESET还指出了与趋势科技在2019年进行的研究的联系。网络钓鱼的策略相似,但是趋势科技的报告涉及间谍活动,并可能涉及金融帐户,但ESET并未检测到网络间谍活动以外的任何有效载荷使用。但是,ESET承认,当前活动的某些目标,包括彩票代理机构,似乎仅出于间谍活动是不合逻辑的。

ESET还补充说,由于该活动的基础设施庞大且瞬息万变,预计在可预见的未来,这些攻击将在该地区继续发生。
 

参考来源:ZDNet http://dwz.date/dUw7

 

(六)F5 BIG-IP产品中存在DoS漏洞

Positive Technologies安全研究人员Nikita Abramov发现了F5 BIG-IP产品中的一个DoS漏洞,攻击者可利用该漏洞发起拒绝服务攻击。该漏洞编号为CVE-2020-27716,会影响一些版本的F5 BIG-IP访问策略管理器(APM)。

F5 BIG-IP访问策略管理器是一种安全、灵活、高性能的访问管理代理解决方案,可为用户、设备、应用程序和应用程序编程接口(API)提供统一的全局访问控制。该漏洞位于流量管理微内核(TMM)组件中,该组件处理BIG-IP设备上的所有负载平衡的流量。

F5发布的漏洞公告显示,“当BIG-IP APM虚拟服务器处理未公开的流量时,流量管理微内核(TMM)停止响应并重新启动,该漏洞编号为CVE-2020-27716。TMM重新启动时,通信处理中断。如果受影响的BIG-IP系统被配置为设备组的一部分,系统将触发故障转移到对等设备。”

攻击者只需向承载BIG-IP配置实用程序的服务器发送巧尽心思构建的HTTP请求即可触发该漏洞,这足以在一段时间内阻止对控制器的访问(直到它自动重新启动)。

Positive Technologies的安全研究人员Nikita Abramov解释表示,“此类漏洞在代码中很常见,发生这些错误的原因可能多种多样,例如开发人员无意识地忽略了这些原因,或者是由于没有进行足够的额外检查。我在二进制分析过程中发现了此漏洞。此类漏洞可以通过使用非标准请求和分析逻辑和逻辑不一致来检测。”

该漏洞影响版本14.x和15.x,供应商已经发布了解决该漏洞的安全更新。

今年6月,F5 Networks的研究人员解决了另一个漏洞,编号为CVE-2020-5902,该漏洞位于BIG-IP产品的流量管理用户界面(TMUI)的未公开页面中。攻击者可利用该漏洞获得对TMUI组件的访问权限,以执行任意系统命令、禁用服务、执行任意Java代码以及创建或删除文件,并可能接管BIG-IP设备。

CVE-2020-5902漏洞的CVSS得分为10,这意味着该漏洞很容易被利用。通过向托管用于BIG-IP配置的通信量管理用户界面(TMUI)实用程序的服务器发送HTTP请求,可以攻击该漏洞。

在该漏洞被公开披露之后,立即发布了几个漏洞PoC,其中一些非常易于使用。在F5 Networks BIG-IP产品漏洞被披露几天后,威胁行为者开始在野外利用该漏洞进行攻击。威胁分子利用CVE-2020-5902漏洞获取口令、创建Web Shell、并使用各种恶意软件感染系统。
 

参考来源:SecurityAffairs http://dwz.date/dUVG

 

(七)SolarWinds供应链攻击中发现第三种恶意软件Sunspot

参与调查SolarWinds供应链攻击的网络安全公司CrowdStrike 1月12日发布报告称,其发现了直接参与黑客攻击的恶意软件Sunspot,是继Sunburst和Teardrop后发现的第三款恶意软件。

不过,虽然Sunspot是SolarWinds供应链攻击活动中最新发现的恶意软件,但Crowdstrike表示,该恶意软件实际上是第一个使用的恶意软件。

在报告中Crowdstrike称,Sunspot于2019年9月部署,当时黑客首次入侵了SolarWinds的内部网络。Sunspot恶意软件安装在SolarWinds构建服务器上,这是开发人员用来将较小的组件组装到较大的软件应用程序中的一种软件。

CrowdStrike表示,Sunspot有一个独特的目的,即监视构建服务器的构建命令,该命令将Orion组装在一起。Orion是SolarWinds的顶级产品之一,是一个IT资源监视平台,在全球有33,000多个客户使用。

一旦检测到构建命令恶意软件就会悄悄地用加载Sunburst恶意软件的文件替换Orion应用程序内的源代码文件,从而导致Orion应用程序版本也安装了Sunburst恶意软件。这些木马化的Orion客户最终成为了SolarWinds的官方更新服务器,并安装在该公司许多客户的网络上。

一旦发生这种情况,Sunburst恶意软件将在公司和政府机构的内部网络内部激活,收集受害者的数据,然后将信息发送回给SolarWinds黑客。然后,威胁行为者将决定受害者是否足够重要,是否可以妥协,并在这些系统上部署功能更强大的Teardrop后门木马,同时指示Sunburst将自己从其认为无关紧要或风险过高的网络中删除。

SolarWinds在其博客上发布的另一项公告中还公布了黑客攻击的时间表。这家位于德克萨斯州的软件提供商表示,在2020年3月至2020年6月之间向用户部署Sunburst恶意软件之前,黑客还在2019年9月至11月间进行了一次测试。

SolarWinds首席执行官Sudhakar Ramakrishna今天表示:“随后于2019年10月发布的Orion平台版本似乎包含了一些修改,旨在测试攻击者在构建中插入代码的能力。”

 

 

最重要的是,卡巴斯基还在另一份报告中发表了自己的调查结果。卡巴斯基没有参与对SolarWinds攻击的正式调查,但仍在分析该恶意软件。卡巴斯基表示,它调查了Sunburst恶意软件的源代码,发现Sunburst和Kazuar之间存在代码重叠,Kazuar是与俄罗斯最先进的国家赞助的网络间谍组织Turla Group有关的恶意软件。

卡巴斯基的措词非常谨慎,指出它只发现“代码重叠”,但不一定认为它相信Turla组织策划了SolarWinds攻击。卡巴斯基声称,此代码重叠可能是由于SolarWinds黑客使用相同的编码思想,从相同的编码器购买恶意软件,编码者在不同的威胁行为者之间移动而造成的,或者仅仅是虚假的标志操作,旨在引导安全公司走上错误的道路。

但是,尽管卡巴斯基一直在尽力避开指责,但上周,美国政府官员正式将SolarWinds黑客归咎于俄罗斯,称这些黑客“很可能来自俄罗斯”。

美国政府的声明并未将黑客行为归咎于某个特定组织。一些新闻媒体将这次攻击固定在一个名为APT29(或Cozy Bear)的组织上,但所有参与该黑客攻击的安全公司和安全研究人员都表示谨慎,而且在调查初期就非常胆怯地正式将黑客攻击归咎于某个特定组织。

目前,SolarWinds黑客追踪的名称各不相同,如UNC2452(FireEye、Microsoft),DarkHalo(Volexity)、StellarParticle(CrowdStrike),但是一旦公司了解更多,这种名称将有望改变。

目前,还有一个谜团,那就是SolarWinds黑客如何首先设法破坏公司的网络并安装Sunspot恶意软件。它是未打补丁的VPN,电子邮件鱼叉式网络钓鱼攻击,还是在服务器上暴露了可猜口令的服务器?
 

参考来源:ZDNet http://dwz.date/dUyJ
 

 

(八)美国国家安全局发布《网络安全年度回顾报告》

美国国家安全局(NSA)1月8日发布了《2020年网络安全年度回顾报告》,该报告总结了NSA网络安全局首个全年完整运营情况。

网络安全局于2019年7月正式宣布成立,重点保护国家安全网络和国防工业基础。在网络安全主任Anne Neuberger女士领导下,该局还致力于通过伙伴关系改进网络安全工作。

报告称,网络安全局在整个2020年都忠于其目标,通过将威胁情报和密码学知识与漏洞分析和防御行动相结合,努力预防和消除网络威胁。

吸取2016年总统选举和2018年中期选举的经验教训,国安局全面参与政府保护2020年选举不受外国干涉和影响的整个工作。网络安全是国家安全局整个选举防御工作的一个基本组成部分。

去年,美国国家安全局帮助美国国防部(DoD)消除了弱口令技术,并批准了抗量子口令算法,以确保国防部的口令技术足够现代,能够抵御量子计算攻击。

在COVID-19大流行的背景下,美国国家安全局帮助国防部向远程工作过渡,为大约10万名用户提供了远程安全工作的解决方案。此外,该机构还参与了旨在加速开发COVID-19疫苗的“快速行动”(OWS)。

自该局成立以来,美国国家安全局提供了30种独特、及时和可操作的网络安全产品,以向国家安全系统(NSS)、国防部和国防工业基地(DIB)网络所有者发出网络威胁警报。

该机构在2020年共享的一些情报包括Windows 10漏洞和Drovorub恶意软件的详细信息、与俄罗斯有关联的SandWorm团队以Exim邮件服务器为目标的IOC、漏洞威胁参与者滥用在网络服务器上安装网络外壳恶意软件的细节、以及中国威胁参与者通常攻击的25个漏洞的清单。

美国国家安全局表示,尽管网络安全建议(CSA)主要针对NSS、国防部和DIB的所有者,但美国和海外的私营部门也可以利用这些情报来加强安全态势。

此外,NSA还发布了有关正确配置IPsec VPN(IP安全虚拟专用网络)、如何自定义统一可扩展固件接口(UEFI)安全引导以及如何在远程工作期间保护网络和员工安全的指南。

去年,美国国家安全局的网络安全合作中心致力于推进公私合作,并将持久安全框架(ESF)的努力重新聚焦于5G部署的安全。该机构还启动了网络安全标准中心(CCSS),旨在与标准机构接触。

国家安全局还继续通过批准的政府内部程序发现网络安全漏洞,并向私营企业发布。在过去的三年里,美国国家安全局披露的漏洞呈上升趋势,因为该机构致力于实现美国政府、军队、企业和公民所依赖的商业技术的安全性。
 

参考来源:SecurityWeek http://dwz.date/dUTA

 

(九)美国太空部队加入美国国家情报体系

美国国家情报总监约翰·拉特克利夫1月8日宣布,美国太空部队正式加入美国情报体系,成为国家情报体系的第18个成员,是加入情报体系的第九个国防部部门。

美国太空部队(USSF)是负责在太空领域执行任务和作战的军事部门,是自1947年美国空军成立以来在过去70年中首次建立的新军种,也是自2006年以来加入情报体系(IC)的第一个新情报部门。

太空作战负责人约翰·雷蒙德(John W. Raymond)表示:“今天,我们采取行动提升了太空情报任务、贸易和协作,以确保太空部队及情报界的成功,并最终确保我们国家安全。这是一个重要的里程碑,明确表明,美国致力于建立一个安全和无障碍的太空领域。”

拉特克利夫补充表示,“这一加入重申了我们对确保外层空间成为美国利益的安全和自由领域的承诺。”

美国太空部队是加入IC的第十八个成员,将与其他17个IC成员合力开展情报活动,最终目的是支持外交政策和捍卫美国的国家安全。美国情报体系的其他八个国防部成员是国防情报局(DIA)、国家安全局(NSA)、国家地理空间情报局(NGA)、国家侦察局(NRO)以及陆军、海军、海军陆战队和空军的情报人员。IC的其他成员是FBI、CIA、NSA、以及能源部、国土安全部、国务院和财政部的部门。

拉特克利夫表示,“通过共享与太空有关的信息和情报,情报局和国防部加强了我们情报活动的整合和协调,以在执行我们的任务中取得最佳效果和价值。这一举动不仅强调了太空作为国家安全的优先情报和军事行动领域的重要性,而且确保了互操作性、未来能力的发展和运行以及真正的全球战略警报意识。”

国会众议员亚当·希夫(Adam Schiff)于2020年7月30日提出的《2021财年情报授权法》中暗示了将USSF添加到IC中的意图。该法案要求国家情报局与太空作战负责人和空军部长协调,提交一份计划,在美国空军内部建立一个情报中心。

一名美国情报官员告诉路透社,USSF 在2019年发表公开声明,描述了“俄罗斯在太空的活动,测试美国在太空中的反应,并威胁美国的航天器”,美国也意识到“中国在建立反太空能力方面所做的努力”。

美国国防部负责情报和安全事务的副部长埃兹拉·科恩(Ezra Cohen)表示:“今天的变化使我们的最新服务与国防情报事业部的其他成员保持一致,将有助于确保我们在所有战役领域的努力得到协调和同步。”
 

参考来源:BleepingComputer http://dwz.date/dUtg

 

(十)联合国环境规划署超10万员工数据泄露

Sakura Samurai安全研究人员在联合国环境规划署(UNEP)的一个子域名上发现了公开的GitHub证书,从而使他们能够访问大量数据,包括超过10万名员工的记录。

在研究联合国漏洞披露计划范围内资产的安全漏洞时,Sakura Samurai的研究人员发现了一个暴露.git内容的ilo.org子域名。这使他们能够接管SQL数据库,并在国际劳工组织的调查管理平台上进行帐户接管。然而,尽管这些是关键的漏洞,这两种资源都被发现被放弃了,因此包含很少的使用数据。

然而,进一步的调查将研究人员引向了联合国环境规划署的一个子域名,该子域名泄露了GitHub的证书,从而使他们能够访问和下载“许多受私人口令保护的GitHub项目”。

Sakura Samurai表示,这些项目包含多个数据库,以及联合国环境规划署生产环境的申请凭证。总共确定了7个凭据,提供了对更多数据库的未经授权访问。

在其中一份文件中,确认了两份文件,其中包含超过102,000名雇员的旅行记录。这些记录包括姓名、员工ID号、员工团体、旅行理由、旅行开始和结束日期、批准状态、停留时间和目的地。

研究人员还发现了两份包含7000多份人力资源国籍人口统计记录的文件:包括员工姓名和组别、身份证号码、员工国籍和性别、员工工资等级、组织工作单位识别号和单位文本标签。在另一个文档中发现了超过1000个通用的员工记录:包括索引号、员工姓名和电子邮件、以及员工工作子区域。

另一份文件披露了超过4000份项目和资金来源记录,包括受影响地区、赠款和共同筹资数额、资金来源、项目识别号、执行机构、国家、项目期限和批准状态。载有评价报告的一份文件载有关于283个项目的资料,包括评估和报告的总体描述、评估进行的时期、以及报告的链接。
 

参考来源:SecurityWeek http://dwz.date/dURa

 

(十一)欧洲刑警组织捣毁最大暗网市场DarkMarket

欧洲刑警组织(Europol)1月12日宣布展开大范围调查,逮捕了被指控的DarkMarket运营商,并没收了该市场的基础设施,包括20多台服务器。

1月12日,欧洲刑警组织宣布取缔黑市(DarkMarket),根据执法机构的说法,黑市是“世界上最大的暗网非法市场”。DarkMarket是网络犯罪分子买卖毒品、假钞、盗窃或伪造信用卡数据、匿名SIM卡和恶意软件的市场。根据欧洲刑警组织(Europol)的数据,黑市关闭时拥有近50万名用户和逾2400名卖家。

除了关闭黑市的基础设施外,位于德国奥尔登堡的中央刑事调查局在德国和丹麦边境附近逮捕了一名澳大利亚公民。欧洲刑警组织表示,这名公民是所谓的黑市运营商,但没有透露更多细节。

IntSights的网络威胁情报顾问Paul Prudhomme表示,未来“不清楚这个黑市的关闭会在多大程度上影响网络犯罪活动,除了对当前用户的短期干扰。”他指出,新的暗网市场最终会出现,取代那些已经关闭的暗网市场,用户只是转移到这些新网站和现有的竞争对手那里。尽管如此,逮捕该网站的一名运营者并没收其基础设施可能会为执法部门提供有用的调查线索,以便对其个人用户采取行动,这可能会产生更持久的影响。该网站使用乌克兰和摩尔多瓦的基础设施并不令人意外,因为许多罪犯更愿意在这两个国家托管他们认为相对安全而不受执法影响的基础设施。

然而,欧洲刑警组织表示,执法部门查获的服务器中存储的数据将为调查人员提供新的线索,以进一步调查版主、卖家和买家。欧洲刑警组织是欧盟的执法机构,此前曾协助各种网络犯罪调查和瓦解各种黑客组织。

参与国际行动的有德国(牵头)、澳大利亚、丹麦、摩尔多瓦、乌克兰、英国(国家犯罪局)和美国(缉毒局、联邦调查局和国税局)。Threatpost已经联系联邦调查局,要求对这次行动发表进一步评论。

执法部门继续打击网络犯罪分子交换非法商品所使用的地下论坛和平台。2019年,世界各地的执法机构关闭了一个凭据市场(XDedic Marketplace),并继续对Webstallser[.]org DDoS-for-See网站的前用户采取行动。

受疫情影响,地下市场总体上呈直线上升趋势,Flashpoint研究人员最近表示,暗网市场对恶意和非法商品、服务和数据的需求“达到了新高”。研究人员称,在网络犯罪分子中流行的商品包括支付款卡、访问微软的远程桌面协议(RDP)和租用DDoS服务。

根据欧洲刑警组织的数据,仅在黑市上,该平台就进行了32万笔非法交易,转移了4650多枚比特币,总价值超过1.7亿美元。
Prudhomme称,“像这个现已停业的网站这样的暗网市场是网络犯罪的关键推手。他们为犯罪分子提供了购买和销售恶意软件、恶意基础设施以及泄露数据、账户和设备的场所。这种交换对网络犯罪行动至关重要,因为很少有犯罪分子只依赖自己的资源,而且很多犯罪分子实际上并不使用他们窃取的数据。”

 

参考来源:ThreatPost http://dwz.date/dUZe

 

(十二)新西兰中央银行遭受网络攻击

新西兰中央银行1月10日表示,其正在紧急应对一个数据系统遭受恶意入侵事件。该数据系统是一家存储“敏感信息”的第三方文件共享服务。

该银行使用Accellion公司的FTA(文件传输应用程序)文件共享服务与外部利益相关者共享信息。该服务存储了商业和个人敏感信息,但无法提供可能已访问的数据类型的具体细节。

新西兰储备银行行长Adrian Orr表示,入侵已得到控制,系统已离线,但需要时间来确定哪些信息被访问了。

Orr表示:“我们正在与国内外网络安全专家和其他相关机构密切合作,作为我们调查和应对这起恶意攻击的一部分。可能被访问的信息的性质和范围仍在确定中,但可能包括一些商业和个人敏感信息。了解此次入侵的全部影响需要时间,我们正在与信息可能被访问的系统用户合作。”

在其最新报告中,政府机构计算机应急响应小组CERT表示,新西兰的网络攻击同比增加了33%。去年8月,新西兰证券交易所成为持续分布式拒绝服务DDoS攻击的目标,迫使交易连续四天暂停。
 

参考来源:SecurityWeek http://dwz.date/dU3X

 

(十三)加拿大共享汽车服务商Communauto遭受网络攻击

加拿大蒙特利尔汽车共享服务公司Communauto成为了网络攻击的目标。该公司的多台服务器的访问已被锁定,数据已被加密。

该公司成立于1994年,黑客没有获得用户口令和信用卡号码,但是却设法窃取了姓名、街道地址和电子邮件地址。

在1月8日发给用户户的一封信中,Communauto的总裁兼首席执行官Benoît Robert解释称,该公司已经设法获得了“合理的保证,即本可以被访问的数据已经被销毁”。他表示,这次攻击“使我们的许多活动陷入瘫痪,并解释了应付账款和发票管理方面的一些延误”。

针对此事件的调查仍在继续,以更准确地确定哪些数据被盗。
 

参考来源:CanadaLive http://dwz.date/dRZQ

 

(十四)美国技术供应商Ubiquiti因未授权访问泄露用户数据

美国技术供应商Ubiquiti Networks近日披露,其遭受了数据泄露事件,正在向其客户发送通知电子邮件,要求他们更改口令,并为其账户启用2FA。

该公司发现了对第三方云服务提供商管理的部分系统的未经授权的访问。该公司不知道有人可以访问任何包含用户数据的数据库。

Ubiquiti在发送给客户的数据泄露通知中表示,“最近发现,有人未经授权访问我们由第三方云提供商托管的某些信息技术系统。没有迹象表明存在针对任何用户帐户的未经授权的活动。我们目前并未察觉到有证据显示有人访问过任何托管用户数据的数据库,但不能确定用户数据是否未被暴露。这些数据可能包括您的姓名、电子邮件地址和帐户的单向加密口令。这些数据还可能包括您的地址和电话号码。”

攻击者可以访问服务器,其中包含与门户网站ui.com的用户帐户相关的信息,泄露的记录包括姓名、电子邮件地址以及加密的口令哈希。

对于一些用户来说,家庭地址和电话号码也可能被曝光。该公司没有提供有关数据泄露的更多细节,包括有多少用户受到了影响。
 

参考来源:SecurityAffairs http://dwz.date/dUXF

 

(如未标注,均为天地和兴工业网络安全研究院编译)
 

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号