安全研究
全部分类

关键信息基础设施安全动态周报【2022年第10期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2022-03-18 16:31
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第10期】天地和兴播报。

关键信息基础设施安全动态周报【2022年第10期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第10期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2022-03-18 16:31
  • 访问量:
详情

目   录

第一章 国内关键信息基础设施安全动态

(一)我国互联网遭受境外网络攻击,攻击地址主要来自美国

第二章国外关键信息基础设施安全动态

(一)美国NIST发布制造业ICS网络安全指南

(二)俄罗斯石油公司Rosneft德国子公司遭受网络攻击泄露20TB数据

(三)以色列政府网站遭受大规模网络攻击

(四)日本汽车零部件制造商DENSO遭受Pandora勒索软件攻击

(五)OpenSSL修复高危DoS漏洞

(六)审计报告称美国NASA大多数系统面临内部威胁风险

(七)美国关键基础设施遭受黑客攻击或支付赎金时必须报告

(八)新型数据擦除恶意软件CaddyWiper攻击乌克兰网络

(九)欧姆龙PLC编程软件中存在五个高危漏洞可导致远程代码执行

(十)俄罗斯创建自己的TLS证书颁发机构以应对制裁

(十一)英国渡轮Wightlink遭受复杂网络攻击泄露客户信息

(十二)德国BSI机构建议不要使用卡巴斯基杀毒软件

(十三)育碧遭受网络安全事件

 

 

第一章 国内关键信息基础设施安全动态

(一)我国互联网遭受境外网络攻击,攻击地址主要来自美国

国家互联网应急中心(CNCERT)监测发现,2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。

经分析,这些攻击地址主要来自美国,仅来自纽约州的攻击地址就有10余个,攻击流量峰值达36Gbps,87%的攻击目标是俄罗斯,也有少量攻击地址来自德国、荷兰等国家。

据悉,国家互联网应急中心已及时对以上攻击行为最大限度予以处置。

本文版权归原作者所有,参考来源:新华社http://u6.gg/kjmzb

 

 

第二章 国外关键信息基础设施安全动态

(一)美国NIST发布制造业ICS网络安全指南

美国国家标准与技术研究院(NIST)3月16日发布了针对制造业工业控制系统网络安全指南的最终版本,旨在帮助制造商改善其工业控制系统(ICS)环境的网络安全。

该网络安全实践指南名为《在工业控制系统环境中保护信息和系统完整性:制造业的网络安全》,是NIST的国家网络安全卓越中心(NCCoE)、MITRE以及Microsoft、Dispel、Forescout、Dragos、OSIsoft、TDi Technologies、GreenTec、Tenable和VMware等多家私营部门公司合作的结果。

该指南表示,虽然连接运营技术(OT)和信息技术(IT)系统可能有利于制造商的生产力和效率,但这也使它们更容易受到网络威胁。

该新版指南免费向组织提供,旨在解决一些相关挑战,包括降低ICS完整性风险、加强OT系统、以及保护他们处理的数据。

该指南有369页,描述了常见的攻击场景,并提供了制造商可以实施的实用解决方案示例,以保护ICS免受破坏性恶意软件、内部威胁、未经授权的软件、未经授权的远程访问、异常网络流量、历史数据丢失和未经授权的系统修改。

该指南中的示例侧重于应用程序白名单、行为异常检测、文件完整性检查、远程访问、用户身份验证和授权,以及检测对硬件、软件或固件的修改。

该指南中的攻击场景之一涉及保护制造环境中的工作站免受通过USB闪存驱动器传播的恶意软件感染。使用Carbon Black(VMware)和Windows软件限制策略(SRP)中的应用程序允许列表功能可以防止这些类型的感染。

如果攻击向量是企业网络而不是USB驱动器,该指南建议使用Carbon Black和Windows SRP提供的白名单功能,以及Dragos、Tenable、Forescout和Microsoft提供的用于行为异常检测的解决方案。

该指南涵盖的其他理论攻击场景包括保护主机免受通过远程访问连接传递的恶意软件、保护主机免受未经授权的应用程序安装、防止未经授权的设备被添加到网络、检测设备之间的未经授权的通信、检测对PLC逻辑的未经授权的修改、防止历史数据修改、检测传感器数据操纵、以及检测未经授权的固件更改。

该指南向制造商提供了有关如何安装和配置每个供应商的产品以解决所描述的攻击场景的分步说明。还有一章供项目经理和中层管理决策者使用,以帮助他们决定要使用哪些技术来解决其设施中的OT安全问题。

Dragos表示,“没有时间或资金来验证其用例的工业网络安全技术类别的组织将发现输出至关重要。与此同时,政府机构不偏不倚地领导了这项工作,这意味着这些文件不会有任何极端的供应商倾向。目标不是挑选产品的赢家和输家,而是帮助组织简单地了解可用技术的类型,以及如何部署/集成它们以提高投资回报率。”

NIST目前还在为制造商制定另一份网络安全指南,重点关注网络攻击的响应和恢复,该指南目前处于草稿公众意见征询期。

参考来源:SecurityWeek http://u6.gg/kjh5w

 

(二)俄罗斯石油公司Rosneft德国子公司遭受网络攻击泄露20TB数据

据德国网站WELT报道,对Rosneft德国子公司的攻击将产生“相关影响”。此次攻击的消息也得到了德国联邦信息安全办公室(BSI)的证实,该公司在周六晚上报告了一起IT安全事件。BSI已表示支持调查安全漏洞,而WELT报告称,当局已向石油行业的其他利益相关者发出安全警告。

黑客组织Anonymous声称入侵了俄罗斯石油公司Rosneft的德国子公司的系统,并窃取了20TB的数据。

WELT表示,“据报道,正在进行的业务不会受到俄罗斯石油公司的影响,但系统受到了重大影响。各种流程都被打乱,包括签订合同的可能性。怀疑黑客组织Anonymous是这次攻击的幕后黑手。”

Rosneft的国际网站此前在2月底曾遭到Anonymous的大规模DDoS攻击。此次攻击可能对德国产生重大影响,据报道,Rosneft负责向德国进口约四分之一的原油。

此次攻击的消息也在Anonleaks上进行了报道,Anonymous声称已于2022年3月11日入侵了该公司。Anonleaks谴责该公司的运营,以及前总理格哈德施罗德与普京的关系。

Anonleaks报道称,“前总理格哈德施罗德是俄罗斯石油公司在俄罗斯的董事会主席。Rosneft老板Igor Ivanovich Sechin是俄罗斯政治家和经理。自1990年代以来,他一直是普京的密友。据报道,2003年,作为总统办公厅副主任,他是法律诉讼的共同发起人,并最终解散了曾经最大的石油公司尤科斯。”

俄罗斯石油公司在海外的子公司没有受到对这家能源巨头的制裁的影响,因此Anonymous决定攻击它。Anonymous声称,“对俄罗斯石油公司和一个完全不受影响的海外子公司的制裁,逃避制裁从未如此简单,这些资产仍为俄罗斯带来外汇。”

Anonymous声称已经破坏了公司的虚拟机、UPS等。该攻击很可能在2022年3月10日被发现,并且数据泄露被中断。Anonymous表示,“该计划旨在完全提取所有可用数据,通过一个简单的FTP连接相对容易实现,该连接也以5.5GB/s的速度提取。尽管如此,可以预期该系统将在系统中保留很长时间,因为总共可以访问近25TB的数据,除了备份还有包含文档的文件夹,可以访问员工的iPhone和iPad。但不幸的是,下载中途中断。不是因为你被抓住了,也不是因为已经连续不断地在系统中不停地加载数据近两个星期了。但是上周五,非常稳定的FTP连接中断了,因为整个系统在晚上中断了,突然没有互联网了。入口点本身仍然有效。”

参考来源:SecurityAffairs http://u6.gg/k573i

 

(三)以色列政府网站遭受大规模网络攻击

以色列国家网络局表示,该国在3月14日周一遭受了网络攻击,导致一些政府网站短暂关闭,包括内政部、卫生部、司法部、福利部、及总理办公室网站。此次攻击是一次大规模DDoS攻击。

政府资助的董事会在推特上表示,“在过去的几个小时里,一家通信提供商发现了拒绝服务(DDoS)攻击,因此在短时间内阻止了对包括政府网站在内的许多网站的访问。截至目前,所有网站都已恢复活动。”

虽然以色列境内再次可以访问,但网络监控组织NetBlocks周一晚间表示,以色列的政府网络“在国际上无法访问”。法新社记者试图访问几个以色列部委和国家网络局的主页,但在格林威治标准时间2000年之后就失败了。

以色列日报《国土报》称,该国国防机构的一位消息人士认为,这是对该国发起的有史以来规模最大的网络攻击。以色列交通部在政府网站遭到广泛网络攻击后,对交通部紧急服务部门的情况进行了评估。目前尚不清楚是谁进行了黑客攻击。

国防机构和国家网络局已宣布进入紧急状态,以研究损害程度,同时检查以色列的战略网站和政府基础设施,例如以色列的电力和水务公司,看看它们是否也受到了攻击。

国防机构声称,攻击使用.GOV.IL域名的网站,该域名用于所有政府网站,但与国防相关的网站除外。另一个使用该域的网站是政府数据库。尽管如此,一些网站仍然可以通过智能手机访问。

袭击发生后,通讯部Yoaz Hendel与通讯部的官员召开了一次会议。电信公司一直在努力让被摧毁的网站重新上线,服务正在逐步恢复。

国家网络局表示,“在过去的几个小时里,发现了针对通信提供商的拒绝服务攻击。因此多个网站的访问在短时间内被屏蔽,其中包括政府网站。截至现在,所有网站都可以运行。”

以前对以色列网站的黑客攻击归因于与伊朗有关的攻击者。伊朗和以色列陷入了一场暗战,包括网络攻击以及物理站点攻击。

周日,伊朗革命卫队宣布,他们向伊拉克北部城市阿尔比勒属于以色列的一个“战略中心”发射了导弹,尽管控制该地区的库尔德当局否认以色列在那里有基地。

导弹袭击发生近一周后,两名伊朗军官在叙利亚的火箭袭击中丧生,伊朗将其归咎于以色列。以色列很少对叙利亚的个别袭击发表评论,但承认对与伊朗有关的目标发动了数百次袭击。

参考来源:NDTV http://u6.gg/k518s

 

(四)日本汽车零部件制造商DENSO遭受Pandora勒索软件攻击

日本汽车零部件制造商DENSO证实,其位于德国公司的网络在3月10日遭受了第三方非法访问,导致其中断了设备的网络连接,生产运营没有受到影响。新型勒索软件组织Pandora声称对该事件负责,并声称窃取了1.4TB的数据。

DENSO是世界上最大的汽车零部件制造商之一,为丰田、梅赛德斯-奔驰、福特、本田、沃尔沃、菲亚特和通用汽车等品牌提供广泛的电气、电子、动力总成控制和各种其他专业零件。该公司在日本以外运营,在全球拥有200多家子公司和168,391名员工,2021年的收入为446亿美元。

DENSO在3月14日发布的声明中证实,其在德国的公司网络于2022年3月10日遭到入侵。该公司声称已检测到非法访问,并立即做出反应,切断了入侵者与其他网络设备的联系,将影响仅限于德国部门。所有生产工厂和设施继续正常运行,因此预计此次安全事件不会导致供应链中断。

DENSO在声明中表示,“DENSO已确认,其在德国的集团公司网络于2022年3月10日被第三方非法访问。在检测到未经授权的访问后,DENSO及时切断了未经授权访问的设备的网络连接,并确认没有影响其他DENSO设施。细节正在调查中,生产活动没有中断。该公司所有工厂都照常运营。DENSO已经向当地调查部门报告了这一事件。该公司正在与他们和专门的网络安全机构合作以应对这种情况。DENSO对由此事件引起的任何担忧或不便表示最诚挚的歉意。DENSO集团将再次加强安全措施,努力防止再次发生。”

DENSO供应链的中断将在全球多个工厂的汽车生产中产生多米诺骨牌效应,打击已经因芯片短缺和乌克兰工厂关闭而已经陷入困境的汽车行业。

虽然DENSO表示网络攻击并未对其运营造成影响,但新的Pandora勒索软件组织已开始泄露据称在网络入侵期间被盗的1.4TB文件。泄露的数据样本包括采购订单、技术原理图、保密协议等。这些泄露文件的真实性暂时无法验证。

DENSO已将违规行为通知当地调查机构,因此如果传播的文件是真实的,则复制、共享或发布这些文件将构成对公司知识产权的侵犯。

虽然Pandora是一个拥有自己加密器的勒索软件组织,但尚不清楚他们是否在攻击之前成功加密了DENSO网络上的文件。一位安全研究人员声称几个月前在暗网市场上看到了一个网络访问列表,并警告DENSO关注被盗的凭据。尽管购买初始访问产品是一种可能的情况,但该公司目前尚未披露它们是如何被破坏的。

对DENSO的网络攻击是2022年针对汽车制造商或著名汽车零部件生产商的第三次网络攻击。今年2月,全球最大的汽车制造商丰田由于其主要供应商之一的灾难性IT故障,而不得不停止其14家日本工厂的生产。上周,普利司通证实了2月下旬的勒索软件攻击,其南美和北美的一些业务因此而停工,LockBit组织对此负责。

Pandora勒索软件是2022年3月开始的新活动,针对企业网络,并窃取数据,以进行双重勒索攻击。一旦获得网络访问权限,威胁行为者将通过网络横向传播,同时窃取未加密的文件用于敲诈勒索。

加密设备时,勒索软件会将.pandora扩展名附加到加密文件名。当勒索软件对文件进行加密时,Pandora将在每个名为Restore_My_Files.txt的文件夹中创建勒索记录。这些赎金记录解释了设备发生的事情,并包括受害者可以联系以进行赎金谈判的电子邮件地址。

勒索记录还包括一个链接,指向勒索软件团伙用来进行双重勒索活动的数据泄露网站。由于此勒索软件操作非常新,因此尚不清楚他们如何访问公司网络,以及需要多少赎金。

安全研究员pancak3认为,Pandora是Rook勒索软件的翻版,因为代码相似性和操作使用的打包程序。Intezer在VirusTotal上检测到Pandora勒索软件样本为Rook,表明代码相似。

此外安全研究员Arkbird发现,Pandora使用与NightSky相同的可执行打包程序,后者是LockFile/AtomSilo勒索软件操作的前身。

Rook还被认为是基于Babuk勒索软件的源代码,该代码在去年9月在黑客论坛上被泄露。奇怪的是,Rook还在2021年12月发布了据称属于DENSO的数据,因此尚不清楚该公司是否曾两次受到同一勒索软件的攻击。

在安全界,勒索软件通常将重命名称为rebrand,希望这能帮助他们逃避执法和政府的潜在制裁。然而,除非威胁行为者完全改变其恶意软件代码、工具和策略,否则总会有办法检测团伙何时更名,从而更容易链接到以前的勒索软件操作。

如果Pandora是Rook的更名,则很可能会看到在此名称下运行一段时间,然后再次更名为另一个名称,就像其他的勒索软件家族那样。

参考来源:BleepingComputer http://u6.gg/kj9k1

 

(五)OpenSSL修复高危DoS漏洞

OpenSSL在3月15日发布了安全更新,修复了与证书解析相关的高危DoS漏洞CVE-2022-0778,利用该漏洞将激活无限循环功能,并导致拒绝服务条件。

拒绝服务攻击不是最严重的安全问题,但是可以导致重大业务中断、长期财务影响、及品牌声誉下降。OpenSSL是许多大型在线平台使用的无处不在的安全通信库,因此任何影响库的漏洞都会对大量用户产生重大影响。

该OpenSLL高危漏洞是存在于BN_mod_sqrt()函数上的一个错误,如果提供一个恶意制作的证书进行解析,它将进入无限循环。证书必须包含压缩形式的椭圆曲线公钥或椭圆曲线参数,其基点以压缩形式编码,以触发漏洞。

OpenSSL在安全声明中表示,“由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书的过程都可能受到拒绝服务攻击。在解析精心制作的私钥时,也可以达到无限循环,因为它们可以包含明确的椭圆曲线参数。”

该问题影响许多部署场景,例如:使用服务器证书的TLS客户端、使用客户端证书的TLS服务器、托管服务提供商从客户获取证书或私钥、证书颁发机构解析来自订户的认证请求、以及解析ASN.1椭圆曲线参数的任何其他内容。

该漏洞编号为CVE-2022-0778,影响OpenSSL版本1.0.2至1.0.2zc、1.1.1至1.1.1n和3.0至3.0.1。谷歌安全研究员Tavis Ormandy发现了该证书解析漏洞,并于2022年2月24日向OpenSSL团队报告了这一发现。

3月15日发布的修复版本是1.1.1n和3.0.2,而只有1.0.2的高级用户将通过1.0.2zd获得修复。由于1.0.2版本在解析证书的过程中不解析公钥,因此无限循环的触发比其他版本稍微复杂一些,但还是可行的。OpenSSL 1.0.2已达到EOL且不积极支持,因此建议非高级用户尽快升级到新的发布分支。

尽管OpenSSL并未表示该漏洞已被威胁行为者使用,但意大利国家网络安全机构CSIRT已将其标记为在野外积极利用。OpenSSL团队表示其目前没有发现该漏洞的积极利用。即使信息好坏参半,利用的低复杂性和已发布的信息也将允许威胁行为者在未来快速测试和利用漏洞。

OpenSSL发言人声明表示,“该漏洞并不难利用,但影响仅限于DoS。最常见的情况是,TLS客户端访问提供有问题证书的恶意服务器时,会出现利用该漏洞的问题。如果TLS服务器使用客户端身份验证(这是一种不太常见的配置),并且恶意客户端尝试连接到它,则可能会受到影响。很难猜测这将在多大程度上转化为积极利用。”

由于大多数用户从第三方获得OpenSSL,因此没有集中的权限来计算升级统计信息,因此无法估计有多少易受攻击的部署。

参考来源:BleepingComputer http://u6.gg/kjb08

 

(六)审计报告称美国NASA大多数系统面临内部威胁风险

美国国家航空航天局(NASA)检察长办公室3月14日发布审计报告表示,NASA的大多数IT系统都面临着来自内部的高风险。虽然NASA已有效实施了涵盖机密系统的内部威胁计划,但该机构的大多数系统都是非机密的,因此可能会暴露。

内部威胁可能包括源自网络钓鱼攻击或错误转发的电子邮件的意外泄漏、滥用网络或数据库访问、以及数据盗窃,员工故意复制数据与第三方共享数据。

作为全面运作的内部威胁计划的一部分,NASA监控机密网络中的异常用户活动,进行强制性威胁培训,并建立了一个网站,帮助员工和承包商识别潜在威胁,并加强了采购控制。

该审计报告表示,“然而绝大多数IT系统,包括许多包含高价值资产和关键基础设施的系统,都是非机密的,因此不在其当前的内部威胁计划中。因此,该机构的非机密系统和数据可能面临高于必要的风险。”

审计得出的结论是,NASA的内部威胁计划符合联邦要求,并且将非机密系统添加到该计划可以提供额外的成熟度。NASA的内部威胁计划成立于2014年,并在2018年被验证为全面运行。

根据该报告,NASA内部机密威胁计划的当前成熟度应该被认为足以保护系统免受不知情的内部人员的攻击,特别是因为该机构要求每年进行内部威胁意识培训。

然而审计人员还指出,NASA的大多数系统都是非机密的,这突出表明这些系统的内部威胁风险更高,因为许多系统包含敏感和有价值的信息,包括科学数据、个人信息和采购数据。

该审计报告表示,“在NASA,有价值的数据,包括与关键基础设施和其他高价值资产相关的信息,都存在于非机密系统中。因此,非机密系统上的内部威胁事件可能会对机构的运作造成严重威胁。”

尽管NASA确实限制了对高价值资产和关键基础设施的访问,但并不监控对与知识产权和高价值资产相关的非机密数据的访问。虽然非机密系统被分配给具有有限权限的用户,但在过去三年中,NASA收到了超过12,000个提升权限的请求,这些请求可以下载特定任务的软件。

该报告表示,“如果没有对该软件的目的和来源进行适当的监控,NASA系统很容易受到恶意伪影的影响,这些伪影可能会破坏系统或收集信息并将信息传递给外部来源。此外,通过提升用户权限访问IT系统,会对系统配置引入意外的、有害的更改,从而大大增加网络安全事件的风险。”

虽然NASA官员认为,该机构的网络安全态势将极大地受益于将内部威胁计划扩展到非机密系统,但应首先解决人员配备和技术限制。即便如此,该计划仍应扩大。

审计人员建议NASA建立一个跨学科团队,对非机密系统进行内部威胁风险评估,并确定是否应将内部威胁计划扩大到涵盖这些系统,并确保该机构确保改进跨学科沟通。

参考来源:SecurityWeek http://u6.gg/kjyyr

 

(七)美国关键基础设施遭受黑客攻击或支付赎金时必须报告

根据美国国会批准的新规定,对美国国家利益至关重要的公司现在必须在遭到黑客攻击或支付勒索软件时进行报告。

这些规定是拜登政府和国会在一系列备受瞩目的数字间谍活动和破坏性勒索软件攻击之后加强国家网络防御的更广泛努力的一部分。该报告将使联邦政府更清楚地了解针对私营公司的黑客活动,这些公司通常不会向FBI或其他机构寻求帮助。

参议院国土安全和政府事务委员会负责人、并起草该法案的密歇根州民主党参议员Gary Peters表示,“很明显,我们必须采取大胆的行动来改善我们的在线网络防御系统。”

报告要求立法已获得了众议院和参议院的批准,预计将很快由拜登总统签署成为法律。它要求任何被视为国家关键基础设施一部分的实体,包括金融、交通和能源部门,在三天内向政府报告任何“重大网络事件”,并在24小时内向政府报告任何勒索软件付款。

勒索软件攻击近年来十分猖獗,犯罪分子通过加密攻击目标并劫持其数据,直到支付赎金。去年世界上最大的肉类包装公司JBS和美国最大的燃料管道Colonial遭受攻击,导致东海岸的加油站出现数日短缺,突显了敲诈勒索黑客组织如何扰乱经济,并危及生命和生计。

来自其他国家的黑客不断成功地侵入和监视美国目标,包括关键基础设施目标。最引人注目的是在2020年底被发现的SolarWinds网络间谍活动。专家和政府官员担心,俄乌冲突增加了国家或威胁者对美国目标进行网络攻击的威胁,许多勒索软件运营商在俄罗斯生活和工作。

俄亥俄州共和党参议员Rob Portman表示,“由于美国在俄乌冲突期间选择支持乌克兰,我担心俄罗斯对美国关键基础设施的网络和勒索软件攻击的威胁将会增加。”

该立法指定国土安全部的网络安全和基础设施安全局作为接收黑客和勒索软件付款通知的牵头机构。这引起了联邦调查局的担忧,联邦调查局曾公开呼吁对该法案进行调整,在白宫全面批准的立法上出现了不同寻常的公开分歧。

联邦调查局局长Christopher Wray在堪萨斯大学的网络活动中表示,“我想提醒所有人,我们需要的不是一大堆不同的报告,而是所有需要它的人实时访问同一份报告。所以这就是我们所说的,不是多个报告链,而是对信息的多重访问、多重同步行动。”

FBI还表示担心,针对向CISA报告违规行为的公司的责任保护,不会扩展到向FBI报告违规行为。FBI认为,这一问题可能会使执法工作变得不必要地复杂化,以应对黑客攻击和帮助受害者。

参与起草该法案的立法者对联邦调查局进行了反击,称该局对收到黑客通知和责任问题的担忧在最终版本中得到了充分解决。新规则还授权CISA传唤未报告黑客攻击或勒索软件付款的公司,而不遵守传票的公司可能会被提交给司法部进行调查。

参考来源:abcNews http://u6.gg/k5jpk

 

(八)新型数据擦除恶意软件CaddyWiper攻击乌克兰网络

ESET研究人员发现了一种新型名为CaddyWiper的数据擦除器,用于攻击乌克兰组织,是俄乌冲突以来针对乌克兰的第四款破坏性恶意软件。CaddyWiper与此前的恶意软件没有明显的代码相似性,会擦除用户数据和分区信息,但不会破坏存储在域控制器上的信息,从而允许攻击者保持对受感染网络的访问。

ESET在3月15日发布研究文章称,其新发现了一款用于攻击乌克兰组织的破坏性数据擦除器,名为CaddyWiper,在3月14日上午首次检测到。该恶意软件会破坏连接驱动器中的用户数据和分区信息,在少数组织的数十个系统上被发现,被ESET产品检测为Win32/KillDisk.NCX。

CaddyWiper与HermeticWiper或IsaacWiper没有明显的代码相似性,这两个数据擦除器自2月23日起袭击了乌克兰组织。然而与HermeticWiper非常相似,有证据表明CaddyWiper背后的威胁行为者在释放Wiper之前渗透了目标的网络。

这是ESET研究人员第三次在乌克兰发现数据擦除恶意软件。今年以来,安全研究人员共发现了四款针对乌克兰组织的数据擦除恶意软件,包括WhisperGate、HermeticWiper和IsaacWiper。

在俄乌冲突前夕,ESET的遥测技术在一些乌克兰知名组织的网络上发现了HermeticWiper。这些活动还利用了HermeticWizard,一种用于在本地网络内传播HermeticWiper的自定义蠕虫病毒,以及充当诱饵勒索软件的HermeticRansom。第二天,针对乌克兰政府网络的第二次破坏性攻击开始了,这次部署了IsaacWiper。今年1月,另一个名为WhisperGate的数据擦除器席卷了乌克兰多个组织的网络。

在过去八年里,乌克兰发生了一连串攻击事件,此次只是其中的最新一次。ESET研究人员表示,自2014年以来,乌克兰一直处于一系列极具破坏性的网络攻击中,其中包括2017年6月的NotPetya攻击,攻击了许多乌克兰企业的网络,然后蔓延到该国境外。

参考来源:ESET http://u6.gg/k5vmc

 

(九)欧姆龙PLC编程软件中存在五个高危漏洞可导致远程代码执行

日本电子巨头欧姆龙的CX-Programmer软件最近修补了五个可用于远程代码执行的高危漏洞。

日本JPCERT/CC在3月4日发布的安全公告显示,该产品存在五个越界写入、越界读取、及释放后使用高危漏洞,所有漏洞的CVSS评分均为7.8。

CX-Programmer是欧姆龙CX-One自动化软件套件的一部分,用于编程和调试Omron的PLC。根据美国CISA称,该产品在全球范围内使用,包括关键制造业。

CX-Programmer漏洞影响版本9.76.1及更早版本。这些漏洞是由安全研究员Michael Heinzl发现的,已于2021年5月和2021年6月通过JPCERT/CC报告给供应商。

研究人员表示,这些漏洞是由于缺乏适当的数据验证造成的,成功利用可能导致信息泄露或任意代码执行。然而,利用需要用户交互,例如诱骗目标用户打开特制的CXP文件。Heinzl已针对每个安全漏洞发布了建议。每个漏洞都有一个CVE编号。

根据JPCERT/CC的说法,这些漏洞已在CX-Programmer 9.77中进行了修补,该版本已于1月份发布。JPCERT/CC指出,CX-One套件具有自动更新功能,大多数用户不需要采取任何行动即可应用补丁。但是,建议用户确保自动更新正常工作,并在遇到该功能问题时联系供应商。

CISA尚未针对这些漏洞发布公告,但该机构通常会通知美国的组织有关Omron产品中的安全漏洞。

Heinzl之前发现了富士电机的Tellus工厂监控和操作产品、台达电子的DIAEnergie工业能源管理系统、以及捷克工业自动化公司mySCADA的myPRO HMI/SCADA产品中的漏洞。

参考来源:SecurityWeek http://u6.gg/k57yq

 

(十)俄罗斯创建自己的TLS证书颁发机构以应对制裁

由于西方政府及公司对俄罗斯实施制裁,俄罗斯网站无法更新现有的TLS证书,导致Web浏览器阻止对证书过期的网站的所有访问。为了解决这种情况,俄罗斯创建了自己的可信的TLS证书颁发机构(CA)。

由于此问题而显示整页警告的Web浏览器包括:谷歌Chrome浏览器、苹果Safari浏览器、微软Edge浏览器、以及Mozilla火狐浏览器。Web浏览器使用的TLS证书通过将加密密钥安全地链接到组织的详细信息来保护客户端和目标网站之间的通信。

因此,预计俄罗斯数字发展部将提供一个国内替代方案,来处理TLS证书的撤销和更新。如果网站所有者请求提供服务,证书将在五个工作日内交付,证书适用于在俄罗斯运营的所有法人实体。

新的证书颁发机构(CA)首先需要经过各种公司的审查,这可能需要相当长的时间才能获得主要Web浏览器的信任。而目前,只有Yandex和Atom产品承认俄罗斯的新CA是值得信赖的。现在出现的问题是,Google Chrome、Microsoft Edge、Mozilla Firefox和Apple Safari等Web浏览器是否会通过接受新的俄罗斯证书颁发机构颁发的证书,来允许与认证服务器的安全连接。

许多站点已经收到并正在使用俄罗斯国家颁发的证书,包括俄罗斯联邦储蓄银行、俄罗斯外贸银行、及俄罗斯中央银行。此外,俄罗斯媒体还发布了一份198个域名的清单,声称已通知他们使用国内的TLS证书,但尚未强制执行。

但是令人担忧的是,俄罗斯可能会利用其根证书来拦截HTTPS流量,并执行多次网络攻击。由于证书颁发机构缺乏信任,主要浏览器供应商不太可能将俄罗斯的根证书添加到其根证书存储中。

参考来源:GBHackers http://u6.gg/k5jvk

 

(十一)英国渡轮Wightlink遭受复杂网络攻击泄露客户信息

英国渡轮运营商Wightlink近日遭受了“高度复杂”的网络攻击,可能泄露了“少数客户和员工”的个人数据。该事件发生在2月份,影响了一些后台IT系统,但没有影响其渡轮服务、预订系统或网站。执法部门和英国信息专员办公室(ICO)以及潜在的违规受害者已收到通知。

Wightlink在英格兰东南部的汉普郡和南部海岸附近的怀特岛之间运营着三条航线,每天有100多趟航班,每年运送460万名乘客。

在一份声明中Wightlink表示,“不幸的是,尽管Wightlink采取了适当的安全措施,但一些后台IT系统在上个月受到网络攻击的影响。然而,这一犯罪行为并未影响Wightlink的渡轮和FastCats,它们在袭击期间和袭击后继续正常运营,预订系统和网站也未受到影响。”

Wightlink表示,事件一经发现,就聘请了第三方网络安全专家对情况进行调查和评估。除了向ICO报告此事外,该运营商还正在与东南地区有组织犯罪部门联络。

Wightlink表示,“我们不处理或存储预订的支付卡详细信息。然而调查发现,少数客户和员工的其他个人信息可能在事件中被泄露。”

Wightlink首席执行官Keith Greenfield表示,“这是对基本服务的高度复杂的犯罪攻击。我要感谢Wightlink的所有同事,他们迅速做出反应,确保将对客户的影响降到最低,并且跨Solent旅行和预订不受影响。”

参考来源:TheDailySwig http://u6.gg/k519h

 

(十二)德国BSI机构建议不要使用卡巴斯基杀毒软件

德国联邦信息安全办公室(BSI)3月15日发布警告称,建议消费者不要使用卡巴斯基的杀毒软件,因为该公司可能与俄乌冲突期间的黑客攻击有关,并建议尽快替换成其他供应商的网络防御解决方案。

在警报中,BSI没有指控卡巴斯基有任何具体违反客户信任的行为,但提到了在俄乌冲突期间,俄罗斯对欧盟、北约和德国的敌意。

BSI声明表示,“俄罗斯IT制造商可以自己进行攻击性操作,被迫违背自己的意愿攻击目标系统,或者在不知情的情况下被监视为网络操作的受害者,或者被滥用作为攻击其客户的工具。”

卡巴斯基一直表示,它与俄罗斯政府分开运作,公司创始人尤金卡巴斯基在3月初一条推特文章中对俄乌冲突保持中立态度。然而,德国的警告呼应了导致美国政府在2017年从联邦机构禁止卡巴斯基产品的担忧。

BSI表示,当IT产品可能受到外国政府的威胁时,“具有特殊安全利益的公司和当局以及关键基础设施的运营商尤其面临风险”。

卡巴斯基周二发表声明回应称,“继续实施具体措施,向客户展示我们对诚信和可信赖的持久承诺是我们最关心的问题。我们认为,这一决定不是基于对卡巴斯基产品的技术评估,我们一直在BSI和整个欧洲倡导这一点,而是基于政治理由做出的。我们将继续向我们的合作伙伴和客户保证我们产品的质量和完整性,我们将与BSI合作,以澄清其决定,以及解决其和其他监管机构担忧的方法。”

卡巴斯基在2020年表示,已将其所有数据处理从俄罗斯转移到瑞士。从那时起,“德国卡巴斯基产品用户自愿共享的恶意和可疑文件在苏黎世的两个数据中心进行处理,这些数据中心提供符合行业标准的世界级设施,以确保最高级别的安全性。”

该公司还在加拿大、欧洲和其他地方开设了“透明度中心”,供客户审查其代码。卡巴斯基在网络威胁研究方面的声誉仍然很高,聘请了来自俄罗斯以外国家的分析师。其中一名研究人员Ivan Kwiatkowski于3月9日在其个人网站上发布了对该公司及其工作的辩护。

参考来源:CyberScoop http://u6.gg/k5cxc

 

(十三)育碧遭受网络安全事件

软件公司育碧3月11日披露,其上周遭受了一起“网络安全事件”,暂时中断了一些游戏、系统和服务,游戏和服务都正常运行,并在全公司范围内进行了密码重置。育碧没有披露此次事件的攻击者,但疑似是LAPSUS$勒索软件组织。

育碧在网络安全事件通告中表示,“上周,育碧经历了一起网络安全事件,导致我们的一些游戏、系统和服务暂时中断。我们的IT团队正在与领先的外部专家合作调查该问题。作为预防措施,我们启动了全公司范围的密码重置。此外,我们可以确认,我们所有的游戏和服务都正常运行,并且目前没有证据表明任何玩家的个人信息被访问或被暴露。”

育碧发言人Jessica Roache没有披露更多细节。最近也发生了一系列备受关注的黑客攻击事件。英伟达在3月1日证实其遭受而来黑客攻击,并表示黑客正在泄露员工凭证和专有信息。三星3月7日表示,黑客窃取了公司内部数据和Galaxy设备的源代码。LAPSUS$黑客组织已对这两次违规行为负责。

但这可能还不是全部。3月11日,在LAPSUS$运营的Telegram频道中,LAPSUS$在相关报道链接中回复了笑脸表情符号,似乎也对育碧事件负责。LAPSUS$在回复Telegram用户评论时,确认其没有育碧的客户信息。育碧没有对此作出回应。

 

参考来源:TheVerge http://u6.gg/k5787

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号