安全研究
全部分类

关键信息基础设施安全动态周报【2021年第44期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-11-12 15:45
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第44期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第44期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第44期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-11-12 15:45
  • 访问量:
详情

目   录

第一章 国外关键信息基础设施安全动态

(一)澳大利亚水供应商SunWater服务器遭黑客入侵控制长达九个月

(二)改装无人机攻击美国变电站

(三)美国国防承包商EWA披露数据泄露事件

(四)希腊多家航运公司遭受网络攻击

(五)船舶运营商Brittany Ferries泄露用户数据

(六)NUCLEUS13漏洞影响医疗保健及OT系统

(七)新型恶意软件BotenaGo利用33个漏洞攻击数百万IoT设备

(八)BusyBox存在14个安全漏洞影响嵌入式Linux设备

(九)CISA敦促尽快修复BrakTooth漏洞

(十)美国众议院批准基础设施法案,将投资19亿元用于网络安全

(十一)美国国务院分别悬赏1000万美元获取DarkSideREvil勒索软件信息

(十二)FBI警告伊朗威胁行为者购买美国组织泄露数据

(十三)德国医疗软件供应商Medatixx遭受勒索软件攻击

(十四)交易应用程序Robinhood泄漏700万用户数据

(十五)欧洲大型电子零售商MediaMarkt遭受Hive勒索软件攻击

(十六)VoIP电话供应商Telnyx遭受DDoS攻击

 

 

 

第一章 国外关键信息基础设施安全动态

(一)澳大利亚水供应商SunWater服务器遭黑客入侵控制长达九个月

澳大利亚昆士兰最大的区域水供应商Sunwater表示,其成为了黑客的攻击目标,黑客在其服务器上隐藏了九个月没有被发现。黑客在网络服务器上留下了可疑文件,将访问者流量重定向到在线视频平台。

SunWater是澳大利亚政府所有的水供应商,负责运营19个主要水坝、80个泵站和1,600英里长的管道。

昆士兰州审计署向该州水务部门提交了一份报告,披露了这一网络入侵事件,但是没有说明针对的是哪个部门,随后Sunwater承认其是审计署报告中披露的违规行为影响机构。

Sunwater发言人表示,没有任何财务或客户数据受到损害,一旦检测到未经授权访问在线内容管理系统,已立即采取措施提高安全性。“Sunwater非常重视网络安全,并承认昆士兰审计署报告中的调查结果

该审计报告指出,该事件发生在20208月至20215月之间,涉及未经授权访问该实体存储客户信息的Web服务器。威胁行为者攻击的是较旧、更易受攻击的系统版本。这些网络服务器包含可疑文件,增加了在线视频平台的访问量。系统中的弱点导致该事件在九个月内未被发现。

该审计报告审查了六个水务机构,包括SeqwaterSunwater、城市公用事业公司、UnitywaterGladstone地区水务局和Mount Isa水务局,并警告信息系统存在漏洞。该报告还强调了内部控制的缺陷,包括与资金转移支付信息有关的缺陷。

这份长达36页的报告呼吁立即采取行动,修复信息系统中持续存在的安全漏洞。该报告指出,在网络入侵的情况下,应采取措施解决问题,包括更新软件、使用更强的密码、以及监控传入和传出的网络流量。

该报告称,尽管审计办公室去年建议实体加强其信息系统的安全性,但并非所有人都采取了行动来解决这个问题。截至630日,六个实体中的三个仍然存在控制弱点

该报告还强调了一些内部控制的问题,发现该行业存在24处缺陷。这些问题与电子资金转移支付信息的访问、供应商和员工信息的安全性有关。在一个案例中,涉及对不动产、厂场和设备有效性审查的缺陷。

该报告指出,其中一个机构被发现在跨财务、发票和工资系统的用户访问管理方面存在三个问题。各实体应该只为员工分配执行工作的最低权限。

该报告称,由于新冠疫情,网络攻击成为一种风险,因为导致实体工作环境不断发生变化。报告称,已收到有关实体对问题的答复,以纠正提出的问题。

参考来源:ABCNews http://33h.co/9jufa

 

 

(二)改装无人机攻击美国变电站

据报道,去年20207月,威胁行为者企图利用一架无人机攻击美国宾夕法尼亚州一个变电站。

攻击者使用了一架DJI Mavic 2型四轴飞行器无人机,其下方通过尼龙线连接了一根粗铜线。根据ABC NewsCNN获得的联邦执法公告,这架小型无人机在宾夕法尼亚州的一个变电站附近坠毁,并被用来破坏电网。联邦官员发布公告是为了提高人们对无人机对关键基础设施威胁的认识。

ABC 7新闻报道,美国联邦调查局、国土安全部和国家反恐中心于1028日发布了一份备忘称,20207月事件是已知的首个可能在美国用于专门针对能源基础设施的改装无人机系统的案例。该声明基于对可追溯到2017年的无人机事件的审查。

该无人机进行了改装,根据设计和回收位置,变压器及配电线路造成了短路损坏。该架无人机似乎磨损严重,表明它之前曾飞行过,并为这次单次飞行进行了改装。好消息是,无人机坠毁在某变电站附近的屋顶上,因此没有损坏电力供应或设备。

TheDrive网站在读者的支持下透露了坠机位置。根据JIB提供的局部地图,读者已经能够确定变电站的位置,以及无人机被回收的位置。变电站和相邻的建筑物与宾夕法尼亚州好时公司的旧巧克力工厂隔路相望。这也离好时公园游乐园比较近。

该公告没有将攻击归因于特定的威胁行为者。随着无人机变得便宜且易于指挥,攻击者可利用无人机构成严重威胁,攻击者可以利用无人机来瞄准关键基础设施。该公告表示,我们预计,随着这些系统在美国的使用不断扩大,针对能源部门和其他关键基础设施的非法无人机活动会增加。

参考来源:SecurityAffairs http://33h.co/95ydi

 

 

(三)美国国防承包商EWA披露数据泄露事件

美国国防承包商Electronic Warfare Associates(EWA)114日披露其发生了数据泄露事件,威胁行为者入侵了其电子邮件系统,并窃取了包含个人信息的文件。该公司声称,此次泄露的影响有限,但证实威胁行为者设法窃取了包含敏感信息的文件。

EWA发现,一名威胁行为者于202182日接管了其一个电子邮件帐户。当黑客尝试电汇欺诈时,该公司注意到了渗透,这似乎是攻击者的主要目标。

EWA在数据事件通知中表示,根据我们的调查,我们确定一名威胁行为者于在202182日渗透了EWA的电子邮件。当威胁行为者试图进行电汇欺诈时,我们就意识到了这种情况。我们没有理由相信渗透的目的是获取个人信息。然而,威胁行为者的活动确实导致某些个人信息文件泄露。

根据随后的调查,受害者的姓名、社会安全号码(SSN)、和驾驶执照也被盗。因此,电汇欺诈可能会分散注意力,这对于有兴趣攻击此类高度敏感公司的威胁行为者来说是完全合理的。目前尚不清楚被盗信息是否仅影响公司员工,以及在事件期间是否有技术文件也被盗。

为了应对此安全事件,该公司现在通过Equifax提供为期两年的身份盗用保护服务订阅。此外该数据泄露通知敦促受害者密切监控其信用报告和财务账户报表。

EWA是通信、访问控制、仿真、培训、管理、测试和监控系统(雷达)高科技国防硬件和软件解决方案的专家。其中许多产品是为高度敏感的客户制造的,包括美国国防部(陆军、海军、空军、DARPAOSD)、司法部和国土安全部。

该公司电子邮件系统的数据泄露也可能泄露了EWA内部开发和设计这些产品时的军事技术机密。EWA还通过Corelis(电子测试和分析)Blackhawk(调试工具)等附属品牌开发商业产品。

参考来源:BleepingComputer http://33h.co/95hiw

 

 

(四)希腊多家航运公司遭受网络攻击

据希腊媒体Mononews报道,多家希腊航运公司遭受了勒索软件攻击,该攻击通过一家广受欢迎的成熟IT咨询公司的系统传播。

IT服务提供商Danaos管理咨询公司证实,其服务受到了黑客攻击影响。Danaos表示其运输业务没有受到影响,只有不到10%的外部客户文件被勒索软件攻击加密。

一家独立的网络安全公司已签约调查该事件,并确定勒索软件如何进入Danaos面向客户的系统。与此同时,该公司正在帮助受影响的客户尝试恢复系统。

Danaos1986年以来一直为海事行业提供IT解决方案,使其成为业内历史最悠久的公司之一。该公司为船舶管理构建软件工具,包括用于租船、工资单、船员、人工智能分析、ISM、文件管理和采购的应用程序。首席执行官Dimitris Theodosiou表示,网络攻击事件不会破坏我们36年来创造的形象。

一位网络安全专家表示,此次攻击向船东和船舶管理人展示了IT供应链风险的现实。大多数海事IT专业人员都意识到第三方远程维护船上操作技术(OT)带来了风险。然而,很少有人担心他们的岸边企业系统可能容易受到通过供应商软件发起的攻击。

该网络安全专家表示,整个海事部门应对供应链攻击的准备程度非常低,虽然我们调查发现一些公司进行了网络演习,为事件准备和恢复能力做准备,但没有一家公司让其供应商参与这些演习。

2017年,供应商软件更新将毁灭性的NotPetya恶意软件病毒带入了世界上最大的海运承运公司马士基的IT服务器,该攻击导致100%破坏了连接到网络的基于Microsoft的任何东西,包括49,000台笔记本电脑和3,500台服务器,因此造成马士基业务中断,损失了约3.5亿美元的经济损失。

参考来源:TheMaritimeExecutive http://33h.co/95huq

 

 

(五)船舶运营商Brittany Ferries泄露用户数据

船舶运营商Brittany Ferries通知其客户,在进行例行网站维护时,其发现了一个无法预料的技术故障,使得其账户保持完全开放状态,可能会将非常敏感的信息暴露给任何知道电子邮件地址链接的人。

Brittany Ferries运营从英国到西班牙、法国和爱尔兰港口的船舶。该公司119日向投资者披露,我们的数据遭受了破坏,可能会影响客户在Brittany Ferries的账户。

Brittany Ferries数据保护官Anne Laure Fabre表示,尽管我们对网络保持警惕,并进行了严格的安全检查,但我很遗憾地确认,您帐户的保护设置在今年1021日至112日期间被无意更改。在112日,我们发现了用于我的帐户登录详细信息的身份验证过程中的错误,这意味着可以在没有正确密码的情况下访问任何我的帐户。我们在例行网站更新中将这个错误追溯到1021日。一旦发现故障,我们的工程师和安全团队立即开始工作,在发现问题的当天诊断和解决问题。

Brittany Ferries的一位发言人表示,更新过程中省略了测试程序,很快就应用了补丁,在同一天解决了这个问题。现在已经更新了程序,以确保每次网站更新时都进行适当的密码测试。

如果有人知道与客户的我的帐户门户相关联的电子邮件地址,就可以访问该人的姓名、邮政地址、电话号码、过去六个月的预订参考、护照号码、出生日期和国籍。

Fabre表示,“专家向我保证,恶意干预的风险非常低,没有证据表明您的数据已被泄露。我需要让您知道这已经发生,并相应地道歉。以防万一,更新密码是个好主意。

一名受到该事件影响的客户表示,他对自己的护照数据可能被未经授权的人访问并可能用来伪造身份感到失望。

该公司发言人表示,目前还没有客户投诉其数据被访问。大约25000个客户的详细信息可能被访问。尽管我必须重申,发布通知的原因是谨慎和良好做法。我们认为恶意攻击的可能性几乎为零。我们发现了问题,没有迹象表明发生了任何类型的恶意外部活动,我们很快解决了这个问题,也通知了当局。我们已经在通讯中建议所有客户相应地更改其密码。

ICO的一位发言人表示,Brittany Ferries尚未向其报告该违规行为,组织必须在意识到个人数据泄露后72小时内通知ICO,除非它不会对人们的权利和自由构成风险。如果一个组织决定不需要报告违规行为,他们应该保留自己的记录,并能够在必要时解释为什么没有报告。所有使用个人数据的组织都应该安全可靠地这样做。如果有人对其数据的处理方式有疑虑,他们可以向我们报告这些疑虑。

参考来源:TheRegister http://33h.co/9jr2g

 

 

(六)NUCLEUS13漏洞影响医疗保健及OT系统

ForescoutMedigate研究人员119日发布研究报告表示,其发现了13个影响Nucleus TCP/IP堆栈的新漏洞,统称为NUCLEUS:13,可导致远程代码执行、拒绝服务和信息泄漏。Nucleus已在安全关键设备中使用了近30年,例如麻醉机、患者监护仪和其他医疗保健设备。

NUCLEUS:13漏洞影响了数十亿OTIoT设备中使用的闭源Nucleus TCP/IP堆栈,特别是在医疗设备、汽车和工业系统中。这些漏洞包括拒绝服务和远程代码执行。成功的攻击可能会导致设备离线并被劫持其逻辑。被劫持的设备可以将恶意软件传播到它们在网络上进行通信的任何地方。

该研究是Forescout的一项名为Project Memoria的更大计划的最后一部分,该计划汇集了行业同行、大学和研究机构,以分析多个TCP/IP堆栈的安全性。Project Memoria持续了18个月,并在14TCP/IP堆栈中发现了78个漏洞,分别为AMNESIA:33NUMBER:JACKNAME:WRECKINFRA:HALT。另一项与Project Memoria目标一致的研究是来自安全研究小组JSOFRipple20,发现了Treck专有TCP/IP堆栈中的19个漏洞。

这十三个漏洞中有十二个是中危或高危漏洞,其中最严重的是CVE-2021-31886CVSS9.8分,是一个影响FTP服务器组件的严重漏洞,可能允许攻击者控制易受攻击的设备。Forescout表示,该问题是由于FTP服务器对“USER”命令长度的不正确验证造成的。这会导致基于堆栈的缓冲区溢出,从而导致DoS和远程代码执行(RCE)条件。另外两个高危漏洞CVE-2021-31887CVE-2021-31888具有潜在的RCE影响,并且都会影响FTP服务器组件。

西门子已发布公告,披露了这些漏洞对其Nucleus实时操作系统(RTOS)的影响,该系统为医疗、工业、汽车和航空航天领域使用的设备提供支持。Nucleus实时操作系统RTOS部署在医疗保健和关键系统中的超过30亿台设备中。根据公司的可见性,超过5,000台设备正在运行Nucleus RTOS的易受攻击版本,其中大部分在医疗保健领域。

为了展示NUCLEUS:13的严重性,Forescout描述了两种黑客攻击场景。其中一个目标是医院的楼宇自动化系统,使一个控制器崩溃,当有人进入病房时,该控制器会自动打开风扇和电灯。在第二个场景中,目标是铁路基础设施的存在传感器部分,它检测火车何时到达车站,并控制停止时间。通过使用NUCLEUS:13套件中的任何DoS漏洞使控制器崩溃,攻击者可能会导致火车跑过车站,并可能与另一列火车或轨道上的物体发生碰撞。

针对NUCLEUS:13的全面保护需要修补运行易受攻击的Nucleus版本的设备。西门子已发布其官方补丁,使用此软件的设备供应商应向客户提供自己的更新。鉴于修补嵌入式设备因其任务关键性质而非常困难,建议采用以下缓解策略:

1、发现和清点运行Nucleus的设备。Forescout发布了一个开源脚本,该脚本使用主动指纹识别来检测运行Nucleus的设备。该脚本会不断更新新签名,以跟上研究最新进展;

2、实施分段控制和适当的网络卫生,以降低易受攻击设备的风险。如果无法修补,则限制外部通信路径,并隔离或包含区域中的易受攻击的设备作为缓解控制;

3、监控受影响设备供应商发布的渐进式补丁,并为易受攻击的资产库存制定补救计划,平衡业务风险和业务连续性要求;

4、监视试图利用已知漏洞或可能的零日漏洞的恶意数据包的所有网络流量。异常流量应该被阻止,或者至少向网络运营商发出警报。

参考来源:BleepingComputer http://33h.co/9505z

 

 

(七)新型恶意软件BotenaGo利用33个漏洞攻击数百万IoT设备

AT&T研究人员发现了一款用开源编程语言Golang编写的新型恶意软件BotenaGo,利用了33个漏洞,攻击数百万路由器和物联网设备。该恶意软件会创建一个后门,并等待接收来自远程操作员通过端口19412或来自运行在同一台机器上的其他相关模块的攻击目标。目前尚不清楚恶意软件背后的威胁行为者和受感染设备的数量。

BotenaGo是用Go编写的,近年来Go越来越受欢迎,因为恶意软件开发者喜欢用该语言制作更难检测和逆向工程的有效载荷。BotenaGoVirusTotal上的62个反病毒引擎中只有6个将样本标记为恶意样本,有些将其识别为Mirai,检测率较低。

BotenaGo利用了33个漏洞,针对路由器、调制解调器和NAS设备,主要包括:

1CVE-2015-2051CVE-2020-9377CVE-2016-11021D-Link路由器;

2CVE-2016-1555CVE-2017-6077CVE-2016-6277CVE-2017-6334Netgear设备;

3CVE-2019-19824:基于Realtek SDK的路由器;

4CVE-2017-18368CVE-2020-9054Zyxel路由器和NAS设备;

5CVE-2020-10987:腾达产品;

6CVE-2014-2321:中兴通讯调制解调器;

7CVE-2020-8958:广州1GE ONU

AT&T研究人员分析了该新型僵尸网络,发现其攻击目标是具有利用上述漏洞的功能的数百万设备。研究人员分析的一个例子是Boa的搜索字符串,它是一个已停产的开源Web服务器,用于嵌入式应用程序,并且在Shodan上仍然返回近200万个面向互联网的设备。另一个例子是针对CVE-2020-10173,这是Comtrend VR-3033网关设备中的一个命令注入漏洞,其中250,000个仍然可以利用。

安装后,恶意软件将侦听两个端口3141219412,等待向其发送IP地址。一旦收到,bot将利用该IP地址上的每个漏洞来获取访问权限。一旦BotenaGo获得访问权限,它将执行远程shell命令将设备招募到僵尸网络中。

根据目标设备不同,恶意软件使用不同的链接来获取匹配的负载。但是在分析时,托管服务器上没有有效负载,因此无法检索任何负载以进行分析。

此外,研究人员没有发现BotenaGo和威胁行为者控制的服务器之间存在活跃的C2通信,因此对其运作方式给出了三种可能的解释:

1BotenaGo只是多阶段模块化恶意软件攻击的一个模块,不是负责处理通信的模块;

2BotenaGoMirai运营商在某些机器上使用的新工具,该场景由常见的有效载荷丢弃链接支持;

3、该恶意软件尚未准备好运行,其早期开发阶段的样本意外泄露。

总而言之,BotenaGo在野外的出现是不寻常的,因为其不完整的运行状态,但其潜在的能力让其作者的意图毋庸置疑。幸运的是,新的僵尸网络已经被早期发现,并且已经有了入侵的迹象。尽管如此,只要有大量易受攻击的在线设备可供利用,攻击者就有动力继续开发BotenaGo

参考来源:BleepingComputer http://33h.co/9jue5

 

 

(八)BusyBox存在14个安全漏洞影响嵌入式Linux设备

ClarotyJFrog研究人员119日发表研究结果表示,其在嵌入式Linux应用程序BusyBox中发现了14个漏洞,可导致拒绝服务(DoS)、数据泄露、及远程代码执行(RCE)。BusyBox在很多OTIoT设备中使用,包括PLCHMI、及RTU

BusyBox是一款软件套件,包含许多有用的Unix实用程序(Applet),这些实用程序打包为单个可执行文件。内存和存储资源有限的嵌入式设备可能会利用BusyBox工具,被誉为是嵌入式Linux瑞士军刀

BusyBox中包含一个完整的Shell、一个DHCP客户端/服务器、和一些小型实用程序,例如cplsgrep等。许多OTIoT设备都使用BusyBox,包括可编程逻辑控制器(PLC)、人机界面(HMI)和远程终端单元(RTU),其中许多在Linux上运行。

作为致力于提高开源软件安全性的一部分,ClarotyTeam82JFrog研究人员合作开展了一个检查BusyBox的漏洞研究项目。研究人员使用静态和动态技术发现了影响最新版本BusyBox14个漏洞。BusyBox819日发布的1.34.0版本中私下披露并修复了所有漏洞。

在大多数情况下,这些漏洞会导致是拒绝服务(DoS),在极少数情况下,也可能导致信息泄漏和远程代码执行(RCE)。

由于受影响的程序不是daemons,因此只有向易受攻击的小程序提供不受信任的数据时,通常通过命令行参数,漏洞才能被利用。研究人员发现其中40%包含一个BusyBox可执行文件,该文件与其中一个受影响的小程序相关联,这使得这些问题在基于Linux的嵌入式固件中极为普遍。然而研究人员认为,这些问题目前不会构成严重的安全威胁。

其中最危险的漏洞CVE-2021-42374LZMA越界读取漏洞,可能导致DoS和信息泄漏,该漏洞只能在精心制作的LZMA压缩输入被解压缩时用于攻击设备。

该漏洞是由于函数decompress_unlzma.c中的大小检查不足引起的。LZMA是一种使用字典压缩的压缩算法,并使用范围编码器对其输出进行编码,需要满足两个特定的编码条件才能利用该漏洞,buffer_pos = 0rep0 = offset + dict_size

利用此漏洞通常需要准备一个特制的LZMA编码流,以便在解码时,两个条件都将被满足,并且pos将等于负数-offset。最终,解压后的流将包含泄漏的内存,这些内存将被写入输出流。

为了达到越界条件,需要写入一些字节,然后使用匹配将缓冲区填充到header.dict_size,并将rep0更改为所需的值。因此,pos将等于-offset并且可以从offset泄漏字节作为对缓冲区指针的引用。

尽管该漏洞是在LZMA解压算法中发现的,但是许多小程序支持LZMA压缩,并且默认情况下会尝试解压编码的LZMA流,例如无处不在的ZIP格式支持将LZMA压缩作为Type14压缩。因此从攻击者的角度来看,ZIP是一个更好的攻击媒介。

研究人员建议尽快将BusyBox升级到最新版本1.34.0,该版本已修复所有14个漏洞。

参考来源:Claroty http://33h.co/95zc4

 

 

(九)CISA敦促尽快修复BrakTooth漏洞

安全研究人员111日发布了BrakTooth漏洞的PoC工具,用于测试蓝牙设备中是否存在SoC漏洞。BrakTooth漏洞最初在20218月披露,是商业蓝牙堆栈中16个漏洞的统称。

多家供应商的SoC设备中存在该漏洞,包括英特尔、高通、德州仪器和Cypress。该漏洞影响智能手机、计算机、音频设备、玩具、物联网设备和工业设备等数十亿设备中使用的1,400多个芯片组上的商业蓝牙堆栈。具有易受攻击的SoC设备包括戴尔台式机和笔记本电脑、MacBookiPhone、多款Microsoft Surface笔记本电脑型号、索尼和Oppo智能手机、Volo信息娱乐系统。攻击者可以利用BrakTooth漏洞造成一系列影响,包括拒绝服务及任意代码执行。

CISA114日鼓励制造商、供应商和开发商审查BrakTooth漏洞对蓝牙链路管理器造成严重破坏,并更新易受攻击的蓝牙系统级芯片(SoC)应用程序或应用适当的解决方法。

BrakTooth漏洞导致的后果包括:破坏设备固件的拒绝服务(DoS)、阻止蓝牙通信的死锁条件冻结、可能导致完全接管的任意代码执行,具体取决于目标设备中使用的易受攻击的SoC

可能想要发起BrakTooth攻击的威胁行为者只需要一个价格不到15美元的现成ESP32板、自定义链接管理器协议(LMP)固件、一台运行概念验证(PoC)的计算机工具。

虽然一些供应商已经发布了安全补丁来解决BrakTooth漏洞,但传播到所有未打补丁的设备,还需要几个月的时间。然而有的供应商仍在调查问题,仍在开发补丁,或者尚未公布他们的补丁状态。


 

参考来源:BleepingComputer http://33h.co/9j4cy

 

 

(十)美国众议院批准基础设施法案,将投资19亿元用于网络安全

美国众议院115日批准了1.2万亿美元的基础设施法案,该法案将投资近20亿美元用于整个联邦政府的网络安全工作。

经过国会民主党一天的艰苦谈判,最终投票结果是228票对206票。13名共和党人及大多数民主党人一起支持该措施,六名民主党人投了反对票。该法案现在将正式提交给拜登总统的办公桌,以签署成为法律。

参议院于8月通过了这项法案,但由于民主党试图就另外一项单独的1.9万亿美元经济支出计划谈判达成协议,该计划也同样包含网络安全条款,因此在众议院陷入停滞。在批准基础设施立法后,立法者通过了一项程序规则,在本月晚些时候以221票对13票的党派投票设定了社会支出计划的基本辩论框架。

拜登称赞该法案的通过。关于基础设施,我们终于做了一件姗姗来迟的事情,这在华盛顿早就被谈论过了,但实际上从来没有落地。

该《基础设施法案》将拨款19亿美元用于网络安全基金,其中10亿美元用于创建新的赠款计划,以改善州、地方、部落和领地政府的网络安全。

这笔资金将由联邦紧急事务管理局管理,该局负责管理国土安全部现有的拨款计划,为期四年,从2022财年开始。网络安全和基础设施安全局将担任重要角色。

该法案纳入了《网络响应和恢复法案》,该法案授权在五年内拨款1亿美元,用于支持联邦政府的网络事件响应。此外,它还允许国土安全部长与国家网络总监合作,一起宣布重大网络事件。CISA将协调对事件的响应,并利用应急基金帮助私营公司和政府从网络攻击中恢复。

立法者还将预留2100万美元用于国家网络总监Chris Inglis办公室,该组织依靠白宫应急预算来运作。拜登表示,他有信心国会将通过独立的网络安全议案。

参考来源:TheRecord http://33h.co/9j4ui

 

 

(十一)美国国务院分别悬赏1000万美元获取DarkSideREvil勒索软件信息

美国国务院114日及118日分别宣布,分别悬赏1000万美元的奖励,以获取导致在DarkSideREvil勒索软件变种跨国有组织犯罪集团中担任关键领导职位的任何个人的身份或位置信息。此外,该部门还分别提供高达500万美元的奖励,以获取导致在任何国家/地区逮捕和/或定罪的任何密谋参与或试图参与DarkSideREvil变体勒索软件事件的个人信息。

DarkSide勒索软件组织对20215月的Colonial Pipeline油气管道公司勒索软件事件负责,该事件导致该公司决定主动和暂时关闭5,500英里长的管道,该管道运送美国东海岸使用的45%的燃料。

Sodinokibi勒索软件组织(又名REvil)JBS Foods勒索软件事件负责,JBS Foods是一家主要向澳大利亚和美国提供农产品的供应商,该事件导致食品加工和交付出现重大中断。Sodinokibi还攻击了Kaseya,是一家为数千家小型企业和托管服务提供商提供网络、应用程序和基础设施服务的IT管理公司。该事件不仅影响了Kaseya的运营,还影响了其全球客户的运营。

通过提供这一奖励,美国表明其致力于保护全世界勒索软件受害者免受网络犯罪分子攻击的承诺。美国期待那些窝藏勒索软件罪犯的国家愿意为受勒索软件影响的受害者企业和组织伸张正义。

该奖励由国务院跨国有组织犯罪奖励计划(TOCRP)提供。该部门与联邦执法合作伙伴密切协调管理TOCRP,作为整个政府努力的一部分,在全球范围内破坏和消除跨国有组织犯罪,包括网络犯罪。自1986年以来,根据TOCRP和毒品奖励计划(NRP),超过75名跨国犯罪分子和主要毒品走私犯被绳之以法。迄今为止,该部门已支付了超过1.35亿美元的奖励。

参考来源:美国国务院 http://33h.co/950e3

 

 

(十二)FBI警告伊朗威胁行为者购买美国组织泄露数据

美国FBI近日发布警告称,伊朗威胁行为者企图在明网及暗网购买有关美国和全球组织的被盗信息,如电子邮件和网络信息,来破坏相关组织的系统。

美国联邦调查局表示,此前数据被窃取并泄露的美国组织可能会成为该伊朗威胁行为者未来的攻击目标。建议面临风险的组织采取缓解措施,通过保护远程桌面协议(RDP)服务器、Web应用程序防火墙和Kentico CMS安装来阻止黑客攻击。

20215月以来,该威胁行为者在攻击中使用的策略、技术和程序(TTP)中,使用自动漏洞利用工具来破坏WordPress站点以部署web shell、破坏RDP服务器、并使用它们来维护访问受害者的网络。据FBI称,该威胁行为者还试图借助通用默认密码来破坏监管控制和数据采集(SCADA)系统。

虽然FBI在警告中确定了伊朗威胁行为者的名字,但使用网站渗透测试工具和漏洞扫描程序(AcunetixSQLmap)来查找不安全的服务器将其与伊朗国家支持的黑客组织协调的先前活动联系起来。

例如,另一个未具名的伊朗黑客组织在20209月至10月期间使用类似工具从州选举网站窃取选民登记数据。该选民信息后来被用来冒充极右翼Proud Boys组织,并向民主党选民发送威胁电子邮件,警告他们必须投票给特朗普,否则将面临后果。

参考来源:BleepingComputer http://33h.co/9j96v

 

 

(十三)德国医疗软件供应商Medatixx遭受勒索软件攻击

德国医疗软件供应商Medatixx遭受了勒索软件攻击,严重影响了其整个运营,该公司敦促其客户尽快更改应用程序密码。Medatixx公司的产品在21000多家医疗机构中使用。

Medatixx表示该事件没有影响其客户,仅限于内部IT系统,不影响其任何PVS(实践管理系统)。然而,由于不知道在攻击过程中窃取了哪些数据,威胁行为者可能已经获取了Medatixx的客户密码。

因此,Medatixx建议客户执行以下步骤,以确保其实践管理软件保持安全:

1、在练习软件上更改用户密码;

2、更改所有工作站和服务器上的Windows登录密码;

3、更改TI连接器密码。

Medatixx表示,上述措施是预防措施,但应尽快实施。以下软件产品应响应此紧急措施:easymedmedatixxx.comfortx.conceptx.isynetx.vianova

Mediatixx的勒索软件攻击发生在上周,该公司目前仍在恢复中,目前只恢复了电子邮件和中央电话系统。此外,区域销售合作伙伴和所有客户支持热线都已启动并运行,因此客户可以联系公司代表,解决他们可能遇到的任何问题。目前还没有估计该公司何时会恢复正常运营状态。

最后,尚未确定攻击者是否设法窃取了任何客户、医生或患者数据。不过,该公司表示,他们已将此事告知德国数据保护机构,并将在调查结束后发布最新消息。

Mediatixx在公告中表示,目前尚不清楚是否有数据被盗,以及被盗的程度。因此,不能排除我们存储的数据被盗的可能性。

据德国新闻媒体Heise Online称,德国大约25%的医疗中心使用了Mediatixx解决方案,这可能是有史以来对该国医疗系统发起的最大网络攻击。此外,Heise Online推测攻击者可能会从远程维护系统中窃取用户凭据。

该事件发生在最糟糕的时刻,因为德国正在处理大量新冠疫情病例。新冠疫情已经给德国的医院带来了压力,他们最不想看到的就是无法访问基本的支持软件工具或执行系统重置。

参考来源:BleepingComputer http://33h.co/9jm70

 

 

(十四)交易应用程序Robinhood泄漏700万用户数据

知名股票交易应用程序Robinhood118日披露其发生了数据泄露事件。一名客户支持员工遭受了社会工程攻击,导致黑客获得了客户支持系统的访问权限,窃取了约700万用户的个人信息。

Robinhood正在遭受其历史上最大的黑客攻击,该攻击事件泄露了了大约期三分之一用户的私人详细信息。113日深夜,未经授权的第三方获得了Robinhood部分客户有限数量的个人信息的访问权限。根据调查,攻击已被遏制,没有泄露社会安全号码、银行帐号或借记卡号码,并且没有客户因此事件造成经济损失。

未经授权的第三方通过电话对一名客户支持员工进行了社会工程,并获得了某些客户支持系统的访问权限。未经授权的第三方获得了大约500万用户的电子邮件地址列表,以及大约200万用户的姓名。此外,大约有310人的姓名、出生日期和邮政编码等个人信息被泄露,其中大约10人泄露了更多的账户详细信息。Robinhood正在向受影响的人员披露该事件。

Robinhood遏制了入侵后,攻击者要求勒索付款,Robinhood及时通知了执法部门,并在外部安全公司Mandiant的帮助下继续调查此事件。

Robinhood首席安全官Caleb Sima表示,作为一家安全第一的公司,我们对客户负有透明和诚信的责任。经过认真的审查,现在让整个Robinhood社区关注这一事件是正确的做法。

网络安全公司Rapid7 Inc首席数据科学家Bob Rudis表示,金融服务公司是巨大的目标,因为总会有新客户到来,更新身份,更新凭据。每个人都在谈论勒索软件,但凭据和身份仍然是在暗网和犯罪论坛上出售的东西。这是非常有价值的数据。

该事件仍在调查中,Robinhood努力说服用户和警惕的监管机构相信其能做到安全第一,公司高管经常重复使用安全第一这一口号。该违规事件表明,随着Robinhood的迅速扩张,这条道路仍然充满挑战。当公司试图让用户将更多的财务生活委托给该应用程序时,这对该公司来说也是一个打击。Robinhood有一个加密货币钱包的候补名单,并计划在未来提供其他产品,包括退休账户。

Mandiant首席技术官Charles Carmakal表示,Robinhood “进行了彻底的调查,以评估影响。预计攻击者将在未来几个月继续攻击并勒索其他组织。

参考来源:Bloomberg http://33h.co/9jgtx

 

 

(十五)欧洲大型电子零售商MediaMarkt遭受Hive勒索软件攻击

欧洲大型电子产品零售商MediaMarkt117日晚至8日早上遭受了Hive勒索软件攻击,攻击者加密了服务器及工作站,导致荷兰及德国的IT系统关闭,商店运营中断,勒索赎金为2.4亿美元。

MediaMarkt是欧洲最大的消费电子产品零售商,在13个国家/地区拥有1,000多家店铺,MediaMarkt拥有约53,000名员工,总销售额为208亿欧元。

虽然在线销售仍然可以按照预期进行,但收银机无法在受影响的商店接受信用卡或打印收据。由于无法查找以前购买的产品,系统中断也阻止了退货。

当地媒体报道称,MediaMarkt内部通信通知员工避免使用加密系统,并断开收银机与网络的连接。在Twitter上发布的据称是内部通信的屏幕截图显示,此次攻击影响了3,100台服务器。

 

 

Hive勒索软件是此次攻击的幕后黑手,最初要求支付2.4亿美元的不切实际的巨额赎金,以获取加密文件的解密程序。勒索软件组织在开始时通常会索要大笔赎金,以留出谈判空间,通常会收到最初要求的一小部分。然而在对MediaMarkt的攻击中,该数字自动降低到了一个低得多的数额。

虽然尚不清楚未加密的数据是否已在攻击中被盗,但众所周知,如果未支付赎金,Hive勒索软件会窃取文件,并将其发布在其HiveLeaks数据泄漏站点上。

MediaMarkt发布的声明表示,MediaMarktSaturn零售集团及其全国组织成为网络攻击的目标。该公司立即通知有关部门,并正在全速工作,以确定受影响的系统,并尽快修复造成的任何损坏。在商店中,目前可能对某些服务的访问受到限制。MediaMarktSaturn将继续通过所有销售渠道向其客户提供服务,并正在加紧努力以确保所有服务尽快再次不受限制地可用。该公司将提供有关该主题进一步发展的信息。

Hive勒索软件是在20216月启动的一项相对较新的行动,会通过带有恶意软件的网络钓鱼活动破坏组织。一旦获得对网络访问权限,威胁行为者将通过网络横向传播,同时窃取未加密的文件用于敲诈勒索。当他们获得Windows域控制器的管理员访问权限时,会在整个网络中部署勒索软件以加密所有设备。

众所周知,勒索软件组织会寻找并删除任何备份,以防止受害者使用备份来恢复数据。Hive还创建了用于加密LinuxFreeBSD服务器的变体,通常用于托管虚拟机。

与一些不会加密医疗机构、疗养院、政府机构和其他基本服务的勒索软件操作不同,Hive勒索软件似乎并不关心他们的目标是谁。8月,Hive勒索软件攻击了非营利的纪念卫生系统,迫使工作人员使用纸质图表工作,并中断了预定手术。

参考来源:BleepingComputer http://33h.co/9j996

 

 

(十六)VoIP电话供应商Telnyx遭受DDoS攻击

VoIP电话供应商Telnyx119日起遭受了分布式拒绝服务(DDoS)攻击,导致全球范围内服务中断。

Telnyx是一家互联网协议语音(VoIP)公司,通过互联网提供全球电话服务,包括美洲、欧洲、中东和非洲地区、亚太地区和澳大利亚地区。

从美国东部时间119日晚上11点左右开始,Telnyx成为DDoS攻击的目标,导致所有电话服务失败或延迟。

Telnyx的状态页面显示,“Telnyx目前正在遭受DDoS攻击。在我们达成解决方案之前,您可能会遇到呼叫失败、API和门户延迟/超时、和/或消息延迟或失败的问题。

在持续遭受DDoS攻击之后,Telnyx开始将其服务迁移到CloudflareMagic Transit服务,该服务为服务提供商提供DDoS保护。“Magic Transit通过充当IP网络的前门提供其连接性、安全性和性能优势。这意味着它接受发往网络的IP数据包、对其进行处理、然后将输出到原始基础设施。

目前,Telnyx已将其EMEAAPAC地区的服务转移到Cloudflare,并计划在非高峰时段转移美洲的服务。

参考来源:BleepingComputer http://33h.co/9jw7e

 

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号