关键信息基础设施安全动态周报【2022年第8期】
发布时间:
2022-03-07
来源:
作者:
访问量:
392
目 录
第一章 国外关键信息基础设施安全动态
(一)因Conti勒索软件组织支持俄罗斯导致其源代码泄露
(二)俄罗斯航天局称攻击俄罗斯卫星基础设施是战争行为
(三)俄罗斯警告针对关键基础设施的潜在网络攻击
(四)威胁行为者针对乌克兰难民接收政府人员发起网络钓鱼活动
(五)新型恶意软件FoxBlade攻击乌克兰
(六)芯片制造商英伟达遭受勒索软件攻击
(七)疑似供应商遭受网络攻击导致丰田日本工厂全部停产
(八)普利司通轮胎厂发生信息安全事件导致停工
(九)通用电气的SCADA软件产品存在两个高危漏洞
(十)施耐德Easergy继电器存在三个高危漏洞可导致电网失去保护
(十一)美参议院通过法案关键基础设施在遭受网络攻击时需向联邦政府报告
(十二)保险经纪公司AON发生网络安全事件
第一章 国外关键信息基础设施安全动态
(一)因Conti勒索软件组织支持俄罗斯导致其源代码泄露
在俄乌冲突期间,Conti勒索软件组织公开表示全力支持俄罗斯,导致其内部一名乌克兰研究人员泄露了大量信息,包括内部对话、勒索软件、管理面板等信息,对Conti勒索软件组织造成毁灭性打击。
2月27日,一名乌克兰研究人员使用Twitter账号ContiLeaks泄露了393个JSON文件,其中包含从Conti和Ryuk勒索软件组织的私人XMPP聊天服务器获取的超过60,000条内部消息。这些对话从2021年1月21日到2022年2月27日,提供了有关网络犯罪组织的大量信息,例如比特币地址、该组织如何作为企业组织、逃避执法、如何进行攻击等等。
28日,该账号不断泄露更具破坏性的Conti数据,其中包括自Conti勒索软件首次启动时间2020年6月以来包含107,000条内部消息的额外148个JSON文件。
随后ContiLeaks账号开始在整个晚上发布更多数据,包括该团伙管理面板的源代码、BazarBackdoor API、存储服务器的屏幕截图等等。然而让人们兴奋的是,泄漏的一部分包含一个受密码保护的存档,其中包含Conti勒索软件加密程序、解密程序和构建器的源代码。虽然泄密者没有公开分享密码,但另一位研究人员很快破解了它,让每个人都可以访问Conti勒索软件恶意软件文件的源代码。
源代码可能不会对逆向工程师提供额外信息,然而对于可以用C语言编程但不一定是逆向工程的人来说,源代码提供了关于恶意软件如何工作的巨大洞察。
虽然这有利于安全研究,但该代码的公开可用性确实也有其缺点。正如HiddenTear和Babuk勒索软件源代码发布时那样,威胁行为者迅速利用这些代码启动了自己的操作。由于代码与Conti勒索软件操作一样严格和干净,因此预计其他威胁行为者会尝试使用泄露的源代码发起自己的犯罪行动。
不过,可能更有帮助的是已发布的BazarBackdoor API和TrickBot命令和控制服务器源代码,因为如果不访问威胁行为者的基础设施,就无法访问该信息。
对于Conti来说,此次数据泄露是否对其运营产生很大影响还不得而知,但对其声誉造成了重大打击,可能导致其附属公司转向其他的勒索软件运营商。Conti就像企业一样运行,对于企业来说,数据泄露一直在发生。
参考来源:BleepingComputer http://u6.gg/kqmvu
(二)俄罗斯航天局称攻击俄罗斯卫星基础设施是战争行为
俄罗斯罗斯科莫斯国家航天公司负责人Dmitry Rogozin表示,对俄罗斯卫星基础设施的任何网络攻击将视为战争行为,执法机构将采取一切必要行动,将成为宣战的理由。
在最近的事件中,有多家媒体声称俄罗斯卫星控制中心已遭受了黑客入侵,但Dmitry否认了所有媒体的说法和报道。
除此之外,国际文传电讯社援引Dmitry Rogozin的或说,“任何国家的卫星下线实际上都是一种挑衅,一种战争的起因。我们的俄罗斯机构希望总部位于英国的科技公司OneWeb保证其卫星不会被用来对抗俄罗斯。”
但是,如果发生这种情况,那么总部位于英国的科技公司OneWeb将面临一个严重后果,即在不补偿OneWeb的情况下,俄罗斯将直接取消原定于3月4日俄罗斯从哈萨克斯坦租用的拜科努尔航天发射36颗OneWeb卫星的计划。
除此之外,Rogozin对24(VGTRK)电视台表示,“我想警告所有试图这样做的人,这本质上是一种犯罪,应该受到严厉的惩罚。因为禁用任何国家的卫星集团通常是一种挑衅,也就是宣战的理由。而我们将寻找组织此事的人。我们将向联邦安全局、调查委员会和总检察长办公室发送所有必要的材料,以启动相关的刑事案件。”
但是,后来英国商业和能源部长Kwasi Kwarteng做出回应,并确认他们目前正在与其他股东联系,讨论进一步的措施,因为英国政府没有出售其股份。简而言之,OneWeb没有任何谈判。
参考来源:GBHackers http://u6.gg/kqkvv
(三)俄罗斯警告针对关键基础设施的潜在网络攻击
俄罗斯国家计算机事件协调中心(NCIRCC)2月24日发布警告称,针对俄罗斯信息资源的计算机攻击强度可能会增加,包括关键信息基础设施。该警告没有具体说明此类攻击可能来自何处。
攻击可能旨在破坏重要信息资源和服务的功能,造成声誉损害,包括出于政治目的。此外在未来,有可能从俄罗斯信息空间进行有害影响,在国际社会眼中形成俄罗斯联邦的负面形象。
NCCC建议俄罗斯组织的专家采取以下措施来消除威胁:
1、在监视针对组织责任区域内设施的恶意活动时提高警惕。
2、组织一个优先处理关键信息基础设施运行中检测到的异常信息的流程。由于未正确安装而导致的关键信息基础设施的任何故障都应被视为网络攻击的结果。
3、如果发现有针对性的计算机攻击迹象,请立即通知NCCC,以便及时制定对策。
参考来源:NCIRCC http://u6.gg/kqm78
(四)威胁行为者针对乌克兰难民接收政府人员发起网络钓鱼活动
Proofpoint研究人员发现了一场能是由国家支持的黑客组织发起的名为Asylum Ambuscade的鱼叉式网络钓鱼活动,该活动利用被盗的乌克兰武装部队成员的电子邮件账户,攻击目标是参与管理逃离乌克兰的难民后勤工作的欧洲政府人员。
电子邮件包含一个恶意宏附件,试图下载一个名为SunSeed的基于Lua的恶意软件。活动中使用的感染链与2021年7月观察到的历史性活动具有显着相似之处,因此这两次活动很可能是同一个威胁行为者。Proofpoint发布这份报告是为了平衡准确性和在高速冲突期间披露可操作情报的责任。
Proofpoint研究人员已经确定了来自一个电子邮件地址ukr[.]net的网络钓鱼活动,该电子邮件地址似乎属于一名受感染的乌克兰武装部队成员。之前,乌克兰CERT和乌克兰国家特别通信和信息保护局发出警报,称白俄罗斯黑客组织UNC1151针对乌克兰武装部队成员的私人电子邮件账户发起了广泛的网络钓鱼活动。Proofpoint将UNC1151跟踪为TA445。
Proofpoint观察到的电子邮件可能代表这些攻击的下一阶段。该电子邮件包含一个恶意宏附件,该附件利用了与2022年2月23日举行的北约安理会紧急会议有关的社会工程主题。该电子邮件还包含一个恶意附件,该附件试图下载名为SunSeed的恶意Lua恶意软件,目标是负责管理欧洲交通和人口流动的欧洲政府人员。虽然Proofpoint尚未明确将此次活动归因于威胁行为者TA445,但研究人员承认,时间线、泄露发件人地址的使用与乌克兰政府报告一致,这场运动的受害者论与公布的TA445策略一致,包括针对欧洲难民运动的目标和收集。
Proofpoint估计,鉴于正在进行的俄乌战争,TA445等代理行为者的行动将继续以欧洲政府为目标,以收集有关乌克兰难民流动和对俄罗斯政府重要的问题的情报。TA445似乎在白俄罗斯以外开展业务,它有参与大量虚假信息行动的历史,这些行动旨在操纵欧洲对北约国家内难民流动的情绪。这些受控制的叙述可能旨在调动欧洲国家内部的反难民情绪,加剧北约成员国之间的紧张关系,减少西方对参与武装冲突的乌克兰实体的支持。这种方法是在俄罗斯军方采用的在混合战争模式中使用的已知因素,白俄罗斯也采用这种模式。
参考来源:Proofpoint http://u6.gg/kqx6j
(五)新型恶意软件FoxBlade攻击乌克兰
微软威胁情报中心发现,在俄乌战争开始前几个小时,乌克兰实体成为了新型恶意软件FoxBlade的攻击目标,该木马可在不知情的情况下利用电脑进行DDoS攻击。
微软立即向乌克兰政府通报了正在进行的攻击,并向其提供了有关如何检测和消除恶意代码的技术建议。微软表示其研究人员已在发现该恶意软件后的三小时内签署了检测签名。
微软总裁兼副主席Brad Smith表示,“在2月24日发射导弹或坦克移动前几个小时,微软威胁情报中心(MSTIC)检测到针对乌克兰数字基础设施的新一轮攻击性和破坏性网络攻击。这些最近和持续的网络攻击已经成为目标,我们没有看到在2017年的NotPetya攻击中使用了遍布乌克兰经济和境外的不分青红皂白的恶意软件技术。”
FoxBlade是目前发现的第三个涉及针对乌克兰实体的攻击的恶意软件。此前两个破坏性恶意软件WhisperGate和HermeticWiper被用于针对乌克兰组织的数据擦除攻击。
参考来源:SecurityAffairs http://u6.gg/kqkc5
(六)芯片制造商英伟达遭受勒索软件攻击
芯片制造商英伟达(Nvidia)证实,其遭受了网络攻击事件,攻击者可访问专有信息数据和员工登录数据,导致开发人员工具和电子邮件系统瘫痪,部分系统停机两天。知情人士声称此次事件与俄乌冲突无关。
2月25日该攻击事件曝光,Lapsus$勒索软件组织声称对此次事件负责,并开始分享有关该事件及其造成的损害的详细信息。在初步声明中,英伟达表示,正在调查一起影响某些系统并导致中断的事件。
上周末,Lapsus$提供了有关入侵的更多细节,声称他们拥有1TB的Nvidia专有数据,并共享属于公司员工的密码哈希。Lapsus$还泄露了一个大型文档存档,接近20GB,声称这是他们从Nvidia窃取的1TB缓存。
在3月1日发表的声明中Nvidia证实,其在2月23日检测到一起影响IT资源的网络安全事件。英伟达表示,没有勒索软件攻击的证据,但攻击者窃取了员工凭证和专有信息,从而支持了Lapsus$的说法。该公司表示,其团队目前正在筛选信息以对其进行分析,并指出该事件预计不会破坏其业务或为客户服务的能力。
完整声明显示,“2022年2月23日,NVIDIA获悉一起影响IT资源的网络安全事件。发现事件后不久,我们进一步强化了网络,聘请了网络安全事件响应专家,并通知了执法部门。我们没有证据表明有勒索软件被部署在NVIDIA环境中,或者这与俄罗斯乌克兰冲突有关。但是我们知道,威胁行为者从我们的系统中获取了员工凭证和一些NVIDIA专有信息,并开始在网上泄露。我们的团队正在努力分析这些信息。我们预计该事件不会对我们的业务或我们为客户提供服务的能力造成任何干扰。安全是一个持续的过程,我们非常重视,我们每天都在投资于代码和产品的保护和质量。”
参考来源:BleepingComputer http://u6.gg/kqmxx
(七)疑似供应商遭受网络攻击导致丰田日本工厂全部停产
丰田(Toyota)2月28日表示,由于其日本零部件供应商小岛工业疑似遭受网络攻击,其决定于3月1日暂停日本14家工厂的28条生产线的运营,影响约13,000辆汽车的生产。丰田于3月2日开始恢复所有运营。
小岛工业(KOJIMA)28日表示,由于在其计算机服务器系统中检测到错误,因此可能是网络攻击。该公司表示,其系统无法与丰田正常通信或监控生产,尽管生产设备在物理上没有任何问题。
小岛发言人Tomohiro Takayama表示,该公司正在调查并努力解决这个问题。“这种情况以前从未发生过。我们还不确定这是否是网络攻击,但我们怀疑可能是网络攻击。”
小岛为丰田提供许多零部件,包括空调、方向盘部件和其他汽车内外饰件。目前尚不清楚何时可以解决问题并恢复生产。
生产普锐斯混合动力车和凯美瑞轿车的丰田汽车公司为给客户带来不便表示歉意,并承诺尽快解决问题。丰田集团卡车制造商日野汽车表示,其在日本的两家生产工厂同样受到故障的影响。生产小型汽车的丰田子公司大发汽车公司也受到了影响,并已停止生产,对此大发没有立即发表评论。
由于新冠疫情影响,丰田和其他汽车制造商已经在努力解决计算机芯片和其他部件的短缺问题。一些客户已经等待了几个月才能收到订单。
丰田在28日的公告中表示,“由于小岛冲压工业株式会社(KOJIMA INDUSTRIES CORPORATION)发生系统故障,我们决定于3月1日暂停日本14家工厂的28条生产线的运营。对于由此可能造成的任何不便,我们向相关供应商和客户致歉。我们也将继续与供应商合作,加强供应链,尽一切努力尽快将车辆交付给我们的客户。”
丰田3月1日的公告表示,“我们决定从3月2日开始恢复所有运营。对于突然停工带来的任何不便,我们再次向客户、供应商和其他相关方表示歉意。我们将与供应商合作,尽一切努力尽快向客户交付车辆。”
参考来源:abcNEWS http://u6.gg/kqaib
(八)普利司通轮胎厂发生信息安全事件导致停工
轮胎生产商普利司通(Bridgestone)北美工厂的几名员工声称,由于可能遭受了网络攻击,导致工厂停工。该公司证实发生了潜在的信息安全事件,并正在展开调查,已将北美和拉丁美洲的一些设备与网络断开链接。该公司告知员工不要来上班,何时可以复工还不得而知。
普利司通发布的声明表示,“Bridgestone Americas目前正在调查一起潜在的信息安全事件。自2月27日凌晨得知潜在事件以来,我们已展开全面调查,以迅速收集事实,同时努力确保我们的IT系统的安全性。出于谨慎考虑,我们将拉丁美洲和北美的许多制造和翻新设施与我们的网络断开连接,以遏制和防止任何潜在影响,包括艾肯乘用车和轻型卡车轮胎厂的影响。第一班的工作被关闭,所以这些员工被送回家。在我们从这次调查中了解更多信息之前,我们无法确定任何潜在事件的范围或性质,但我们将继续努力解决可能影响我们的运营、我们的数据、我们的团队成员和我们的客户的任何潜在问题。”
将员工送回家的措施是出于非常谨慎的考虑,同时公司正在努力弄清楚到底发生了什么,是什么原因造成的,以及谁受到了影响。
奥古斯塔大学计算机与网络科学学院助理教授Jeffrey Morris表示,目前尚不清楚究竟是什么原因导致了这起事件,通常很难确定潜在的网络安全漏洞的来源。
Morris表示,“通常在此类事件中,直到捕获数据并尝试弄清楚实际发生了什么之后,才会真正知道发生了什么。像这样的网络安全事件并不少见,但人们可以采取措施来确保它不会发生在自己身上。建议注意任何可疑的电子邮件,是否存在拼写错误,是否来自不知道但曾经收到过的电子邮件。请保持防病毒软件更新,保持程序更新。”
参考来源:WRDW http://u6.gg/kpiac
(九)通用电气的SCADA软件产品存在两个高危漏洞
工业网络安全公司OTORIO研究人员发现,GE Digital的Proficy CIMPLICITY HMI/SCADA软件存在两个高危漏洞,很多工厂都使用该软件来监控和控制操作。现已发布补丁和缓解措施。
其中CVE-2022-23921漏洞可被用于特权升级和远程代码执行,但是成功利用该漏洞需要访问运行Proficy CIMPLICITY的设备,并且目标服务器不得运行项目,并且必须获得多个项目的许可。GE已经发布了一个更新来修复这个漏洞。
OTORIO研究副总裁Matan Dobrushin表示,“CVE-2022-23921可能允许对CIMPLICITY服务器进行有限访问的攻击者通过在CIMPLICITY运行时项目中删除恶意文件来提升权限。”
第二个漏洞CVE-2022-21798与以明文形式传输凭据有关,可以通过中间人MitM攻击捕获凭据的攻击者可以使用它们对HMI进行身份验证,并获取有关警报和系统其他部分的信息。GE表示,攻击者在某些情况下,也可能能够改变系统中的值。
OTORIO在博客文章中表示,“鉴于CIMPLICITY在OT环境中的核心作用,这两个漏洞给这台运营服务器带来了巨大的破坏性影响。我们可以假设,如果攻击者在网络中站稳脚跟,CIMPLICITY将成为他们的首选。”
GE表示,用户可以通过启用加密通信来防止利用CVE-2022-21798。事实上,OTORIO指出,如果服务器具有安全配置,则可以缓解这两个漏洞,然而情况往往并非如此。
这不是OTORIO第一次研究GE CIMPLICITY的安全性。该公司去年发布了一个开源强化工具,旨在帮助组织保护他们的GE CIMPLICITY系统。GE还建议客户使用OTORIO工具。重要的是,工业组织不要忽视这些类型的漏洞。CIMPLICITY产品已成为与国家支持的威胁行为者相关的复杂攻击的一部分。
参考来源:SecurityWeek http://u6.gg/kqbig
(十)施耐德Easergy继电器存在三个高危漏洞可导致电网失去保护
嵌入式安全解决方案提供商Red Balloon Security研究人员在施耐德电气的Easergy中压保护继电器中发现了三个高危漏洞,威胁行为者利用这些漏洞可禁用对电网的保护。目前已发布修复安全漏洞的补丁,受影响的设备包括Easergy P5和P3设备。施耐德电气及CISA均对此发布了公告。
根据Schneider和CISA的建议,P3中继受到缓冲区溢出CVE-2022-22725影响,如果通过网络向目标设备发送精心编制的数据包,可能会导致任意代码执行或拒绝服务(DoS)情况。攻击者可利用该漏洞导致继电器重新启动,或者完全控制设备。
Easergy P5中继也受到缓冲区溢出CVE-2022-22723影响,可使攻击者利用通过网络发送的精心编制的数据包造成程序崩溃,并实现代码执行。这些设备还具有可能带来安全风险的硬编码凭据漏洞CVE-2022-22722。
施耐德表示,“如果攻击者获取设备的SSH加密密钥,并主动控制连接到产品的本地运营网络,可能会观察和操纵与产品配置相关的流量。利用该漏洞可能导致电网失去保护。”
Red Balloon Security首席执行官Ang Cui表示,受影响的继电器通常不会暴露在互联网上,即使发现了暴露在互联网上的系统,它们也可能用于演示目的,而不是实际应用。
Cui表示,“然而多个案例表明,企业系统、远程访问系统和工业控制室可以通过网络钓鱼、发现的远程访问凭据和其他攻击从互联网上访问。从控制室到这些继电器是一个简单、直接的步骤。此外,由于变电站分布广泛且数量众多,因此维护所有变电站的物理安全可能具有挑战性。这意味着攻击者仍然可以采取更传统的方法,并突破物理安全边界,直接访问继电器。”
根据Cui的说法,如果攻击者的目标是破坏大型工厂或电网,他可以花几千美元购买这样一个Easergy继电器,并对其进行分析,以找出漏洞。一旦确定了可以利用的漏洞,黑客就可以尝试通过已建立的方法(例如鱼叉式网络钓鱼)或通过从专门的访问代理处获取访问权限,来访问电网或工厂网络。
Cui表示,“一旦能够访问和破坏现场的实际设备,攻击者就可以禁用电源或以一种导致其他设备损坏的方式中断电源,例如通过使备用电源快速循环打开和关闭。或者,他们可以禁用保护功能,从而在暴风雨或其他连接设备发生故障时取消所需的保护,例如变压器过载。在任何一种情况下,攻击者都可能造成相当大的破坏,并大大增加故障后修复系统所需的时间和成本。”
参考来源:SecurityWeek http://u6.gg/kp6pv
(十一)美参议院通过法案关键基础设施在遭受网络攻击时需向联邦政府报告
美国参议院3月1日周二晚间通过了一项法案,要求关键基础设施所有者在遭受重大网络攻击或支付勒索软件款项时向联邦政府报告。
根据该措施,这些关键基础设施所有者和运营商以及联邦机构必须在72小时内向国土安全部网络安全和基础设施局披露重大事件。目前这项措施已提交众议院,以进行下一步考虑。同样的所有者和运营商也必须在24小时内向CISA报告任何勒索软件付款。
其目的是为CISA提供所需的信息,以更广泛地共享威胁数据,以帮助遏制涉及关键目标的重大网络攻击,例如2020年底发生的事件,联邦承包商SolarWinds遭受入侵,最终蔓延到联邦机构和主要技术公司。
该法案还包含旨在加强联邦机构数字防御的其他条款。该方案在2021年底被搁置,因为立法者无法及时解决有关勒索软件要求应适用于谁的争议,将其排除在国会连续61年颁布的年度国防政策法案之外。
参议员们表示,随着议员们看到俄罗斯在乌克兰战争期间和准备阶段发生的网络攻击,事件报告立法获得了动力。
该法案的主要发起人、参议院国土安全部主席、密歇根州民主党参议员Gary Peters表示,“随着我们国家继续支持乌克兰,我们必须为来自俄罗斯政府的报复性网络攻击做好准备。我们具有里程碑意义的两党法案将确保CISA成为主要的政府机构,负责帮助关键基础设施运营商和民用联邦机构应对重大网络漏洞并从中恢复,并减轻黑客对运营的影响。”
该法案的共同发起人、缅因州参议员Angus King表示,参议院通过该法案意义重大。“我认为这是我们制定的最重要的网络立法之一。我认为人们很清楚,这是普京拥有的武器之一,我们最好做好准备,这是防御的一个非常重要的部分。”
参议院支持者表示,他们将继续与众议院一项类似法案的发起人合作,尽管该法案与参议院版本存在差异,例如报告事件的时间框架不同。
King表示,“鉴于人们对网络和对关键基础设施的潜在网络攻击的情况的高度关注,我非常有信心众议院会迅速采取行动。”参议院立法无异议通过。
参考来源:CyberScoop http://u6.gg/kqmrp
(十二)保险经纪公司AON发生网络安全事件
全球保险服务公司AON披露,其在2月25日遭受了网络攻击,影响了有限数量的系统。AON没有透露有关该事件的任何其他细节,但声称不涉及勒索软件攻击。
AON是一家跨国专业服务公司,提供多种解决方案,包括商业保险、再保险、网络安全咨询、风险解决方案、医疗保险和财富管理产品,在120个国家拥有大约50,000名员工,年收入超过100亿美元。
AON是一家再保险公司,可以给保险公司提供保险。在承保再保险单时,收到其他保险公司客户的数据转储是很常见的。这使得AON成为在网络攻击期间经常窃取公司数据的威胁行为者的一个有吸引力的目标。
在提交给美国SEC的8-K表格中,该公司表示,“2022年2月25日,Aon公司发现了一起影响有限数量系统的网络事件。在发现事件后,公司立即展开调查,并聘请了第三方顾问、事件响应专业人员和法律顾问的服务。该事件并未对公司经营产生重大影响。尽管公司处于评估事件的早期阶段,但根据目前已知的信息,公司预计该事件不会对其业务、运营或财务状况产生重大影响。”
参考来源:SEC http://u6.gg/kp65t
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯