关键信息基础设施安全动态周报「2020年第23期」
目 录
第一章 国内关键信息基础设施安全动态
第二章 国外关键信息基础设施安全动态
(一)欧洲电力公司Enel遭受勒索软件Snake攻击
(二)本田汽车网络遭受勒索软件Snake攻击,部份产线停工
(三)严重漏洞可允许攻击者控制交通信号灯
(四)美国顶级航空服务提供商VT SAA遭受勒索软件Maze攻击泄露1.5 TB数据
(五)美国国土安全部承诺在工业控制系统安全方面进行更多投资
(六)NASA遭受的网络事件激增了366%
(七)美军正开发新型网络武器系统 成本为原先五倍
(八)美国能源供应商遭受恶意软件攻击
(九)黑客针对航运企业网络攻击上涨4倍
(十)英国组建新网络军团负责内部安全运营中心
(十一)印度国防承包商BEML数据在暗网出售
(十二)美国国防高级研究计划局DARPA漏洞赏金计划寻求加强SSITH硬件保护
(十三)2019年开源项目中发现近1000个漏洞
(十四)CallStranger UPnP漏洞影响数十亿台设备
(十五)印度黑客组织Dark Basin监控数万个知名人士邮件帐号
(十六)澳大利亚乳制品及饮料制造商Lion遭受网络攻击停止生产
国外关键信息基础设施安全动态
(一)欧洲电力公司Enel遭受勒索软件Snake攻击
6月7日晚,欧洲能源公司Enel Group遭受了勒索软件Snake攻击,其内部IT网络中断,所有连接已于6月8日凌晨安全恢复。同时6月7日本田也遭受了勒索软件Snake的攻击。
该公司发言人表示,在防病毒系统检测到勒索软件之后,周日晚上,其内部IT网络中断。为了预防起见,公司暂时隔离了公司网络,以进行旨在消除任何残留风险的所有干预措施。这些连接已在周一清晨安全恢复。与其配电资产和发电厂的远程控制系统有关的关键问题尚未发生,客户数据也未公开给第三方。由于内部IT网络的暂时阻塞,客户服务活动可能会在有限的时间内发生临时中断。
当SNAKE部署在目标攻击中时,它将对内部域和IP地址执行检查,以确认它是否在正确的网络中运行。如果这些检查失败,Snake将不会执行任何加密。
Enel没有对攻击中使用的勒索软件的名称发表评论,但安全研究人员Milkream在6月7日发现了提交给VirusTotal的SNAKE/EKANS样本,表明它检查了enelint.global域。该域名目前归Enel所有,并在上线时重定向到公司的国际页面。同一个域连接到美国和意大利的Enel地址,后者指向公司开展业务的国家的本地化网站。
Milkream的分析表明在恶意软件示例中显示了字符串“enelint.global”以及内部IP地址的检查。没有关于攻击者如何设法获得网络访问权限的详细信息,但常见的进入点是暴露的远程桌面连接(RDP),通常用于远程支持/维护。
CronUp的安全研究员German Fernández发现这两家公司的RDP连接暴露在公共互联网上。更重要的是,暴露的连接是针对“ enelint.global”和“ mds.honda.com”上的计算机的,这是由EKANS勒索软件样本检查并上传到VirusTotal的相同域。
根据Enel及本田公司的声明,来自Snake勒索软件的攻击未成功。但是,尚不清楚攻击者何时进入网络以及是否有时间窃取任何数据。
天地和兴工业网络安全研究院编译,参考来源:BleepingComputer http://dwz.date/ba8c
(二)本田汽车网络遭受勒索软件Snake攻击,部份产线停工
日本汽车大厂本田Honda部份产线6月8日停工,可能和遭到勒索软件攻击有关。
本田周一发布公告,指出6月7日公司发现「电脑网络毁损造成无法连线」,因而影响业务运作,本田也取消了部份工厂作业。本田没有说明关闭了哪个厂区及断线原因为何,只说目前正在调查中。
不过安全专家认为,可能和勒索软件有关,但根据防病毒服务Virus Total 6月8日显示,本田一台服务器遭到名为Ekans的勒索软件感染。
英国媒体Teiss 报导,这家日本汽车大厂位于美国、欧洲及日本分公司的伺服器,遭黑客以勒索软体攻击,使电脑和其他装置无法作业,至少造成美国厂区运作停摆,只好要求员工回家。
Ekans为勒索软件Snake的变种。Snake 5月初也攻击了欧洲最大医疗设备经销商和医疗管理业者费森尤斯集团,全球各地分公司电脑遭到加密。Snake今年初开始崛起,专门攻击大型企业,藉由加密他们的IT系统和资料,来勒索受害者以比特币支付赎金。
本田是近来众多惨遭勒索软件毒手的知名企业之一。其他受害者还包括台湾多家制造业包括盟立、力成半导体、美国航太服务供应商VT San Antonio等等。事实上,本田2017年也因发现 WannaCry,而紧急关闭位于琦玉县的工厂近两天,影响千余辆车的生产。
本田没有透露有关威胁的更多细节。但是,网络安全专家在攻击发生后不久,于6月8日开始分析上传到VirusTotal的恶意软件样本。
Malwarebytes威胁情报总监Jerome Segura表示:“通过查看代码,我们发现了与EKANS / SNAKE勒索软件有关的几个标记以及包含'honda'字样的多个文本字符串。”
研究人员在他们的实验室中运行了该样本,发现该样本不会加密文件,除非对本田内部域的DNS查询会做出响应。同样的逻辑也出现在同时针对Edesur S.A.的另一起攻击中,Edesur S.A.是Enel阿根廷公司的一家公司,该公司在布宜诺斯艾利斯市的能源部门运营。
Segura称:“这使我们相信,Snake gang很可能是两次袭击的幕后黑手。”
Dragos专家 在分析中解释说,Snake勒索软件于2019年12月出现,在加密文件和显示赎金通知方面,作为勒索软件样本,它的表现“相对直截了当”。然而,Snake包含了强制停止多个进程的额外功能,包括一些与工业控制系统(ICS)操作相关的进程。分析人士写道,静态“杀戮清单”中列出的具体过程显示,“之前针对工业领域的勒索软件缺乏某种程度的意向性”。为ICES定制的组件引起了人们的关注,但总体而言,简单的恶意软件并没有造成重大威胁。
Segura表示,有几个特点让Snake与众不同,勒索软件是用Go编程语言编写的,与其他形式的恶意软件相比,这“有点不寻常”。它是模糊的,包含特定的构建标识符。在某些(但不是所有)Snake示例中,存在命令和控制服务器。除此之外,Snake与其他类型的勒索软件类似,因为它在加密之前删除卷影副本并杀死几个进程。
Malwarebytes的研究人员在一篇博客文章中说,本周瞄准的两家公司都公开了一些带有远程桌面协议(RDP)访问的机器。RDP攻击是有针对性的勒索软件操作的常见切入点,但研究人员无法得出结论,这就是攻击者如何闯入本田或Edesur S.A.。
ReliaQuest的企业架构师Marcus Carey表示,针对本田的攻击与其他Snake勒索软件攻击类似,但有一个因素特别突出:针对本田的运营商专门针对其客户服务和金融服务部门。在其他公开宣布的Snake事件中,受害者都在运行ICSS。
Carey说:“这些组织的动机是经济利益,他们的目标是任何他们认为有支付赎金动机的组织。这次攻击似乎部分以客户服务和金融服务为目标,强化了攻击者寻求金钱利益的事实。”
CynergisTek首席执行官Caleb Barlow指出,他们可能也一直在寻求破坏。Snake的业务模式与传统勒索软件不同。其作者认识到,对制造业和工业环境的破坏性攻击会导致停机,停机是有代价的。通过在这些环境中瞄准ICS/SCADA系统,他们创建了一个简单的等式:停机成本与赎金成本之间的关系。
Barlow认为,本田的攻击者了解受害者的经济状况,以至于他们知道可能要支付多少赎金,于是他们发动了一场攻击,以实现利润最大化。没有迹象表明本田支付了赎金。尽管如此,其恢复将取决于准备情况。
Barlow谈到本田袭击时表示:“这不再是网络事件,而是业务连续性事件。这些事件可能会影响流程、通信、支持甚至安全系统。即使受害人决定随机支付费用,最初的恢复也涉及手动过程和带外通信。有了正确的备份系统和Runbook,恢复可以很快完成。如果没有计划,你基本上是在‘即兴发挥’,那么恢复时间可以用几天或几周来衡量。”
Segura说,主要的勒索软件操作仍然很强大,攻击者正在利用公开暴露的RDP基础设施作为他们的主要切入点之一。
他补充说:“业务规模越大,枚举和保护大量资产的趋势就越复杂。防御者可以通过增加攻击者获得成功的成本和难度来平衡他们的利益。了解基础设施和敌人可以很好地说明如何确定工作的优先级并知道应采取的保护措施。”
Barlow建议提前计划,以便公司可以启动响应计划并快速做出决策。这可以通过沉浸式练习、操作手册、高管级危机培训和预先建立的沟通计划来完成。
天地和兴工业网络安全研究院编译,参考来源:darkreading http://dwz.date/baHm
(三)严重漏洞可允许攻击者控制交通信号灯
ProtectEM的研究人员发现,SWARCO生产的交通信号灯控制器中存在一个严重漏洞,攻击者可以利用该漏洞扰乱交通信号灯。SWARCO的CPU LS4000交通灯控制器具有开放的端口,用于调试,攻击者可以利用该端口。
SWARCO是全球最大的信号头制造商,也是反射玻璃珠的国际第二大制造商。
该漏洞编号为CVE-2020-12493,是一个“访问控制不当”漏洞,可能使黑客无需通过网络进行访问控制就可以授予对设备的根访问权限。
美国网络安全和基础设施安全局(CISA)发布的安全建议显示,用于调试的开放端口授予对设备的root访问权限,而无需通过网络进行访问控制。该漏洞可由低技能的攻击者利用,其CVSS评分为10,并且影响从CPU LS4000的G4 SWARCO开始的所有操作系统版本。
CERT-VDE发布的公告显示,用于调试的开放端口授予对设备的root访问权限,而无需通过网络进行访问控制。恶意用户可以利用此漏洞访问设备并干扰连接设备的操作。
ProtectEM研究人员于2019年7月向该供应商报告了该漏洞,并于4月发布了一个补丁。美国网络安全和基础结构安全局(CISA)和德国的VDE CERT最近发布了有关此漏洞的公告。
好消息是,该系列系统不会在网上暴露,攻击者需要对目标网络进行物理访问才能利用此漏洞。可以物理访问城市中易受攻击的控制器的攻击者,可能会同时停用交通信号灯,从而造成上限。研究人员展示了攻击者如何控制交通信号灯并操纵它们导致交通事故或交通拥堵。
天地和兴工业网络安全研究院编译,参考来源:securityaffairs http://dwz.date/baFn
(四)美国顶级航空服务提供商VT SAA遭受勒索软件Maze攻击泄露1.5 TB数据
总部位于美国的航空服务供应商VT San Antonio Aerospace(VT SAA)在6月5日坦承,该公司受到Maze勒索软体黑客集团的攻击。另一方面,Maze则在官网上宣布,已经取得1.5TB的VT SAA资料。意味着着黑客可能以这些资料来要胁受害者支付赎金。
VT SAA是一家航空服务供应商,主要提供飞机的维护与修改,以及组合零件的生产,迄今已重新递送超过5,000架飞机。此外,VT SAA的来头不小,它的母公司为ST Engineering North America(原名VT Systems),是新加坡科技工程有限公司(ST Engineering)在美国的总部,而ST Engineering则有逾94%的股权属于新加坡国有的淡马锡控股。
为了证明成功入侵了VT SAA,Maze集团公布了超过100份的文件,包括财报、网络保险契约及提案等。该集团还向Bleeping Computer 透露,他们所取得的文件还有IT安全系统信息,以及ST Engineering对拉丁美洲特定政治组织的经济援助。
VT SAA并未公布黑客的入侵途径,但Bleeping Computer透过Maze集团外泄的攻击备忘录指出,黑客是先取得了一个管理员帐号,透过远端桌面连线存取VT SAA伺服器,再危害所预设的网域管理员帐号,攻击了两个网域的内部网络伺服器及档案伺服器。
至于VT SAA则表示,在发现意外的当下,该公司即立即采取行动,包括切断特定系统与网络的连结,聘请一流的第三方鉴证专家以协助调查,也通知了执法机关。
目前VT SAA已遏止了黑客的攻击行动,且相信该攻击只局限在有限的ST Engineering North America商业运作,现在的业务依然照常运营。
此外,VT SAA亦采取进一步的防护行动,包括部署先进的工具来补救并恢复系统,同时强化了整体的网络安全架构。VT SAA并未公布黑客所要求赎金规模,也未提及是否会因担心黑客公布机密信息而支付赎金。
Maze集团向来以索取高额赎金闻名,去年该集团曾入侵美国线缆制造商Southwire,并向Southwire索求价值约600万美元的比特币(850个)作为解密赎金,Southwire最终未支付赎金的结果是黑客公布了该公司的机密信息。
天地和兴工业网络安全研究院编译,参考来源:ithome http://dwz.date/baHY
(五)美国国土安全部承诺在工业控制系统安全方面进行更多投资
美国国土安全部网络安全部门6月9日公布了一项战略,旨在帮助保护支持能源、运输和其他关键部门的工业控制系统免遭黑客攻击。其目标是使用数据分析、强化培训和更好的技术,来帮助保护美国重要的基础架构运营商免受对他们的网络表现出浓厚兴趣的外国黑客组织的攻击。
DHS 网络安全和基础架构安全局局长 Chris Krebs 在ICS联合工作组的虚拟会议上表示,“我们将向ICS领域提出更多要求,但同时我们也将提供更多服务。” 他补充表示,“我们将开发深度数据功能,以分析和提供社区可用来破坏ICS杀手链的信息。”Krebs同时提到了工业系统网络攻击的不同阶段。
近几年来,由于多个黑客组织对其系统进行了调查,美国关键基础设施运营商继续在防御方面进行投资。在2018年末,臭名昭著的Trisis 恶意软件背后的 组织迫使一家沙特石化厂关闭, 将 其目标扩大到包括美国电力公司。
工业组织已经研究了这些黑客技术以增强防御能力。Krebs表示,就CISA而言,它可以做更多的工作,将数据从该机构响应的黑客事件转变为安全建议。这可能意味着需要进行更多分析,例如2月发布的一项CISA发布的一份针对天然气压缩设施的勒索软件攻击报告。
CISA长期以来一直呼吁与ICS安全专业人员合作,但是在联邦政府于2018年12月和2019年1月关闭之后,该机构将工作重点放在了这上面。6月9日,Krebs承诺与行业高管进行更频繁和深入的讨论,以了解他们的意图从联邦政府那里寻找。
天地和兴工业网络安全研究院编译,参考来源:cyberscoop http://dwz.date/aZZX
(六)NASA遭受的网络事件激增了366%
根据虚拟网络提供商AtlasVPN 6月9日发布的研究发现,美国宇航局2019年发生的网络事件增加了366%,因为该组织的网络安全预算被削减了310万美元。NASA在2018年遭受了315次网络事件。在2019年,这一数字激增至1,469次。
Atlas研究人员表示,“作为美国最重要的联邦机构之一,这是一个令人震惊的发现。美国国家航空航天局的网络事件可能会影响国家安全、知识产权、以及由于数据泄露而可能导致数据丢失的个人。”
调查结果基于管理和预算办公室(OMB)在2018年和2019年收集的数据。OMB每年审查政府机构,并负责制定和监督联邦机构中网络安全政策、指南和标准的实施。
研究人员将数字安全事件定义为“任何企图或实际的未经授权的信息访问、使用、披露或破坏”,以及包括“干扰组织内部的操作以及违反NASA的计算政策和法规”的数字事件。
记录为“不当使用”的事件占大规模增加的90.5%。术语“不当使用”是指授权用户违反组织的可接受使用政策的任何事件。研究人员的一项积极发现是,尽管NASA规模庞大,但2019年仅报告了15起公司拥有的设备丢失或被盗的事件,较2018年的23起有所下降。 研究人员写表示,“必须指出的是,NASA确实雇用了17,000多名员工,因此即使网络犯罪分子没有直接针对NASA,其中的一些人也肯定会丢失或被盗。”
美国宇航局是几个主要的联邦机构,其2019年的网络安全预算从17070万美元削减至16760万美元,低于2018年的水平。
就在几天前,NASA的宇航员首次从商用航天器SpaceX Crew Dragon进入国际空间站,创造了历史。 5月30日,星期六,SpaceX Falcon 9火箭从肯尼迪航天中心将宇航员Doug Hurley和Bob Behnken送入轨道。
天地和兴工业网络安全研究院编译,参考来源:info security magazine http://dwz.date/bay2
(七)美军正开发新型网络武器系统 成本为原先五倍
据政府监管机构称,美国空军正在开发一种新的网络武器系统,其价格将比原先估计的价格高出五倍以上。联合平台(UP)计划于2018年8月启动,是美国国防部联合网络作战架构的一部分。其任务是开发联合软件平台,以整合特定于服务的功能以及数据处理、共享和存储。
根据政府问责办公室(GAO)6月3日发布的报告,对完成的计划将要花费的成本的初步估算大大低于标准。GAO的国防采购年度评估发现,该项目的原始价格尚未得到独立评估。
GAO报告表示,“该项目的成本估算是其在启动时的初始估算的五倍以上,而未经独立评估。UP在计划启动之初就没有批准其业务案例的几个关键要素,例如已批准的需求、通过独立分析提供的成本估算、正式的进度风险评估。”
在2018年,空军在其2019财年研发预算中要求为统一平台项目提供2980万美元。2020财政年度还需要1000万美元,2021财政年度需要600万美元。迄今为止,联合平台计划已获得1.519亿美元的资金。GAO报告指出,完成该计划还需要4.479亿美元。
GAO报告表示,新的成本估算包括完成中间层采购后的成本。计划官员将这种成本增长归因于美国网络司令部的新要求。
在2018年10月,该计划与Northrop Grumman签订了合同,担任系统协调员。然后在2019年3月,该计划将合同授予了五家不同的公司进行软件开发。根据该计划,开发人员的任务是提出称为“特性”的新软件特色。每三个月,所有新完成的功能都会向美国网络司令部演示,后者将决定接受哪些功能进行部署。 在计划的前四个三个月内,已经交付并接受了32个功能。
天地和兴工业网络安全研究院编译,参考来源:info security magazine http://dwz.date/ba4M
(八)美国能源供应商遭受恶意软件攻击
美国能源提供商成为鱼叉式网络钓鱼活动的攻击目标,该活动提供了一种新的远程访问木马(RAT),该木马能够为攻击者提供对受感染系统的完全控制。
攻击发生在2019年7月至11月之间,其背后的威胁行为体(被发现这些活动的证据研究人员追踪为TA410)使用可移植可执行(PE)附件和恶意宏加载的Microsoft Word文档来传递恶意负载。
名为FlowCloud的恶意软件是一种成熟的RAT,可让TA410操作人员完全控制受感染的设备,并能够将信息收集和泄露给攻击者控制的服务器。
FlowCloud活动在2019年7月至9月之间使用PE附件推送了RAT有效负载,并在2019年11月切换到带有恶意宏的Microsoft Word文档。2019年11月鱼叉式网络钓鱼运动发送的钓鱼电子邮件冒充了美国土木工程师协会(ASCE),他们欺骗了合法的ASCE[.]org域。为了传送RAT有效负载,TA410操作员的恶意宏从Dropbox URL下载了有效负载,并将FlowCloud恶意软件PE以.pem文件的形式保存为“Pense1.txt”变量。
攻击者可能试图通过将http://ffca.caibi379 [。] com / rwjh / qtinfo.txt URL作为备用下载服务器来伪装成另一个黑客组,即TA429(APT10),这是 一个众所周知的URL。报告了作为APT10恶意软件分发服务器的危害列表指标。
Proofpoint称:“尽管从目前的分析中不能得出结论,但这些重叠仍然可能代表TA410威胁行为者的虚假标志活动。有可能的是,这些重叠是故意的虚假旗帜,目的是掩盖这些肇事者的身份,而他们的目标是美国一个关键的、地缘政治敏感的能源供应商部门。”
Proofpoint表示,另一种带有名为LookBack的RAT模块的恶意软件之间存在明显的重叠,该模块也用于针对美国公用事业提供商的类似鱼叉式钓鱼活动中 。
根据攻击者“使用共享附件宏、恶意软件安装技术和重叠的交付基础架构”,Proofpoint研究人员得出结论,2019年7月至11月之间提供LookBack和FlowCloud恶意软件的网络钓鱼活动均可归因于TA410威胁参与者。
例如,TA410开始使用发件人域asce [。]电子邮件来传递恶意附件,这些附件下载了FlowCloud有效负载,该域于2019年6月首次发现,作为LookBack活动的一部分,该域名被用于转移和侦察。
此外,FlowCloud网络钓鱼电子邮件的结构与LookBack电子邮件中使用的电子邮件结构非常相似,LookBack电子邮件在2019年7月期间模仿了美国国家工程勘察官考试委员会(NCEES)和全球能源认证(GEC)组织。 在4月5日至8月29日期间,TA410的LookBack活动还瞄准了美国公用事业提供商,通过将考试不合格警告转换为考试邀请,中途更新了策略、技术和程序(TTP)。
天地和兴工业网络安全研究院编译,参考来源:BleepingComputer http://dwz.date/baK9
(九)黑客针对航运企业网络攻击上涨4倍
自2020年2月以来,随着受新冠病毒大流行的影响,海事行业转向更多地使用技术和在家办公,黑客攻击的企图数量大幅度增加了400%。
以色列网络安全公司Naval Dome认为新冠病毒大流行使海洋和海上能源部门比以前更容易受到网络攻击。Naval Dome将恶意软件、勒索软件和网络钓鱼电子邮件的激增归因于Covid-19危机,并补充表示,出行限制、社会疏远措施和经济衰退正开始侵蚀公司的自我保护能力。
Naval Dome首席执行官Itai Sela表示,“Covid-19的社会限制和边界关闭迫使原始设备制造商(OEM)、技术人员、供应商将独立系统连接到互联网,以便为它们提供服务。”OEM技术人员无法飞赴船舶和钻井平台来升级和维修关键的OT系统,从而导致操作员绕过已建立的安全协议,使他们容易受到攻击。
“由于预算削减,而且在缺少服务工程师的情况下,我们看到轮船和海上钻井平台的工作人员应OEM的要求,将他们的OT系统连接到岸边网络,以便在短时间内进行诊断并上传软件更新和补丁。这意味着他们的IT和OT系统不再分离,各个端点、关键系统和组件可能会受到影响。其中一些是传统系统,没有安全更新补丁,甚至更容易受到网络攻击。在没有得到很好保护的家庭网络和个人PC上远程工作的OEM人员的增加了问题的严重性。”
Sela表示,在2020年的前三个月中,针对家庭工作者的攻击增加了十倍,并且PC安全软件提供商McAfee报告称,在一月到四月之间,所有企业的基于云的网络连接都增加了630%。
如前所述,经济下滑和原油价格下跌也正在产生影响,石油公司和承包商面临着有限的预算来实施有效的网络安全措施。
Sela表示:“公司变得无所适从,这使黑客受益。仅保护网络不受攻击是不够的。每个单独的系统都必须受到保护。如果网络被渗透,则所有连接的系统都将被感染。”
Naval Dome解释表示,其软件解决方案遵循由美国国家标准技术研究院(NIST)在Purdue模式下设定的严格网络安全协议。该模型适用于工业控制系统和体系结构,并显示了典型互连系统中所有主要组件的互连性和相互依赖性,将ICS体系结构分为三个区域和六个级别。这样,负责保护组织最有价值资产的信息安全专业人员和过程控制工程师可以可视化如何防范安全漏洞,无论涉及机密性,完整性和/或可用性。
Sela表示,“我们的理念是必须使用风险等级保护所有系统。如果是这样,那么整个平台都将受到内部和外部攻击媒介的保护。如果仅网络受到保护,则进入网络的任何内容(例如来自授权人员的无意攻击)都将感染所有连接的系统。这种理念更具成本效益。”
业务发展副总裁Ido Ben-Moshe表示,在海洋和近海石油和天然气领域,这一问题尤为严重。他强调表示,“如果黑客渗透到网络中,并且暴露了关键设备,则可能会造成重大的安全、宕机、财务和潜在的声誉损失。”远程工作和引入远程控制的自治技术可能会更快地进行。步入冠状病毒后世界。“如果不采取适当的保护措施,这将使公司面临新的网络安全挑战。”
天地和兴工业网络安全研究院编译,参考来源:offshore energy http://dwz.date/ba3G
(十)英国组建新网络军团负责内部安全运营中心
英国军方成立了一个新的军团,将负责其内部安全运营中心的运作,网络安全是英国国防战略的支柱。英国国防部继续在网络安全方面进行投资,作为其战略的一部分,已启动了一个新团,负责其内部安全运营中心。该部队是第13信号军团的一部分,自6月1日在布兰德福德论坛开始运作。
第13信号军团是第1信号旅(英国)下属的英军团,是第6师(英国)司令部的一部分,负责进行信息机动和非常规作战。新的网络团已成立,以保护前线作战免受日益增长的网络攻击。
国防部长本·华莱士表示,“这是英国武装部队进行信息战现代化的一步。网络攻击与在物理战场上面临的攻击一样致命,因此我们必须做好准备,以保护自己免受所有可能伤害我们的人的伤害,而第十三信号军团则对该防御系统至关重要。”
国防部发布的新闻稿宣布,网络部门将为新的陆军网络信息安全运营中心提供基础。新成立的网络团将重点放在网络防御上,它将与皇家海军和皇家空军合作,为所有军事通信提供安全的网络。
新部门将由来自不同部门的250名具有高网络能力的专家组成,其中包括皇家海军和皇家空军的人员。新的网络团将由数个网络保护小组以及负责为部署在军事行动中的部队提供支持的技术人员组成。
英国第一信号旅司令约翰·科利尔准将表示,“第十三信号军团的重组是令人振奋的一步,因为皇家信号军、陆军和更广泛的国防部门迅速提高了其在信息环境和网络领域的实力和应变能力。风险很高,我们的成功越来越严重地依赖于将我们最聪明的男人和女人集中到为我们的运营提供支持的机会和风险上,无论是在国内还是在国外。”
天地和兴工业网络安全研究院编译,参考来源:securityaffairs http://dwz.date/baCX
(十一)印度国防承包商BEML数据在暗网出售
网络威胁情报公司Cyble近日发现,印度国防承包商巴拉特地球移动有限公司BEML的内部文件在暗网中出售。
Cyble最初怀疑泄露者为巴基斯坦威胁行为者R3dr0x,其泄露了BEML的内部文件,该数据泄露事件发生在5月25日。该组织似乎向印度极端主义政府发出了警告,他们将在不久的将来发起行动。
BEML泄露的数据包含员工帐户的7个电子邮件帐户中的敏感文件,以及一个包含7个员工内部电子邮件地址及其登录密码的文本文件。泄漏的数据包括多个BEML的电子邮件对话、客户的详细记录、多个办公室间的备忘录、货运发票和其他文档。
专家推测,数据泄露可能是黑客主义者或出于政治动机的攻击者的行为,但他们没有技术证据表明该民族行为者参与其中。
然而Cyble研究人员已经直接从R3dr0x获得了进一步澄清,他们不是造成这种泄漏的原因。泄漏是由未知的人员造成的。
天地和兴工业网络安全研究院编译,参考来源:Cyble http://dwz.date/baDW
(十二)美国国防高级研究计划局DARPA漏洞赏金计划寻求加强SSITH硬件保护
美国国防高级研究计划局(DARPA)正在运行一个漏洞赏金计划,目的是在通过硬件和固件进行系统安全集成(SSITH)程序的新的高级实现中查找安全漏洞。
DARPA于2017年推出了SSITH,旨在通过从源头解决潜在的硬件漏洞来帮助保护电子系统免受通用攻击。借助新的漏洞赏金计划,DARPA正在寻求在开发中强化SSITH硬件安全保护。
该程序与国防部的国防数字服务(DDS)和众包安全平台Synack协作运行,被称为“阻止篡改漏洞(FETT)Bug Bounty” 。
与大多数专注于软件评估的漏洞赏金计划不同,FETT正在为Red Teaming开放硬件实例。参与研究人员将获得对运行在Amazon Web Services(AWS)EC2 F1云中的仿真系统的访问权限。
基于FPGA的仿真系统包括一个RISC-V处理器内核,该内核包括SSTIH开发的硬件安全保护。通过SSITH保护,可以防止利用每个模拟系统上的软件堆栈中的已知漏洞。
漏洞将基于MITER通用弱点枚举规范(CWE)和NIST(例如缓冲区错误,信息泄漏,资源管理等)确定的常见安全弱点类别,参与其中的安全研究人员将需要设计利用机制绕过SSITH保护。
作为Fett Bug Bounty的一部分,研究人员将测试电子系统应用程序框架,如医疗记录数据库系统、个人计算机密码验证系统和其他几个程序实施的SSITH防御。
漏洞赏金计划中还包括一个易受攻击的基于网络的选民登记系统,SSITH的实施旨在保护潜在的选民信息,以证明它可以帮助保持关键基础设施的安全。
领导SSITH和Fett的DARPA项目经理Keith Rebello称:“FETT漏洞赏金是DARPA更传统的计划评估工作的独特体现, FETT将向具有硬件储备工程专业知识的全球伦理研究人员社区开放SSITH的硬件安全保护,以发现潜在的漏洞,增强技术并提供清晰的公开途径。”
所有希望参加FETT的安全研究人员、逆向工程师和道德黑客都被邀请参加Capture-the-Flag(CTF)资格赛,目前不属于Synack Red Team(SRT)的人员将有机会获得技术评估“快速通行证”,加入SRT法律验证步骤仍然是必需的。
CTF活动计划于2020年6月15日至6月29日举行。符合技能标准的现有SRT成员将被授予在整个合约生命周期内访问该计划的权限。
天地和兴工业网络安全研究院编译,参考来源:securityweek http://dwz.date/baMY
(十三)2019年开源项目中发现近1000个漏洞
风险管理公司RiskSense在6月8日发布的一份报告显示,2019年流行的开源项目中发现了近1000个漏洞,是上一年的两倍多。
RiskSense已分析了54个开源项目,在2015年至2020年3月之间报告了近2700个漏洞。总体而言,在此时间段内,Jenkins自动化服务器和MySQL报告的漏洞最多,每个漏洞均超过600个。对于这些软件中的每一个,都使用了15个漏洞(即存在公共利用代码)。
一些项目,例如Vagrant,Alfresco和Artifactory,只有几个漏洞,但武器化率很高。例如,在Vagrant和Alfresco中仅发现9个漏洞,但分别有6个和3个被武器化。
该公司还研究了将这些漏洞添加到美国国家漏洞数据库(NVD)中花费了多少时间。平均为54天,但119名CVE需要一年多的时间才能加入NVD。如果是影响PostgreSQL的严重漏洞,则在1817天后才添加,这是RiskSense观察到的最长时间的漏洞。。
在查看2019年的数据时,该公司注意到CVE的数量为968,与2018年的421 CVE相比增加了130%。但是,去年披露的安全漏洞中只有15个被武器化。
到2020年的前三个月,共披露了179个漏洞,其中五个已被武器化。
总体而言,最高百分比的漏洞被描述为信息泄露,其次是跨站点脚本(XSS)和不正确的输入验证问题。后两个类别的武器化缺陷数量最多。
RiskSense在其报告中指出,“一些弱点远没有那么普遍,但在主动攻击活动中仍然很流行。反序列化问题(28 CVE)、代码注入(16 CVE)、错误处理问题(2 CVE)和容器错误(1 CVE)这些都是趋势。事实上,这些问题在开源项目中很少见,这对于开源代码的安全性是一个积极的信号,但同时也提醒人们,当问题出现在OSS 中时,它们可能会受到相当广泛的攻击。”
该报告还重点介绍了十二个漏洞,这些漏洞要么正在活跃的活动中使用,要么由于其可利用性或潜在影响而构成高风险。 这些漏洞会影响开源软件,例如Jenkins、JBoss、Apache Tomcat、Docker、Kubernetes、Elasticsearch、Magento、Git。
天地和兴工业网络安全研究院编译,参考来源:securityweek http://dwz.date/baPt
(十四)CallStranger UPnP漏洞影响数十亿台设备
新发现的影响到数十亿设备的UPnP漏洞CallStranger可用于各种类型的恶意活动,包括分布式拒绝服务(DDoS)攻击和数据泄露。
UPnP协议旨在促进自动发现并与网络上的设备进行交互,因为它缺乏任何形式的身份验证或验证,因此可在受信任的局域网(LAN)中使用。许多常用的互联网连接设备都支持UPnP,但是为UPnP添加安全功能的设备保护服务并未得到广泛采用。
CERT协调中心(CERT / CC)6月8日发布的警告称,4月17日之前生效的协议存在漏洞,当时开放连接基金会(OCF)更新了UPnP协议规范。该漏洞可能允许攻击者将“大量数据发送到可通过互联网访问的任意目的地”。
漏洞被跟踪为CVE-2020-12695,称为CallStranger,可以被未经身份验证的远程攻击者滥用,以进行DDoS攻击、绕过安全系统、泄露数据以及扫描内部端口。
CERT / CC指出:“尽管在互联网上提供UPnP服务通常被认为是一种错误的配置,但根据最近的Shodan扫描,仍有许多设备可以通过互联网使用。”
该漏洞是由土耳其安永公司的YunusÇadırcı发现的,影响华硕、Belkin、Broadcom、Cisco、Dell、D-Link、华为、Netgear、三星、TP-Link、ZTE等公司的WindowsPC、游戏机、电视和路由器。
Çadırcı解释说:“漏洞是由UPnP SUBSCRIBE函数中的回调标头值引起的,攻击者可以控制该漏洞并启用类似SSRF的漏洞,该漏洞影响数百万个面向Internet的互联网和数十亿个LAN设备。”
为了保持保护,建议供应商实施OCF提供的更新规范。用户应留意供应商支持渠道,以便了解实施新的SUBSCRIBE规范的更新。
设备制造商应在默认配置中禁用UPnP SUBSCRIBE功能,并确保需要明确的用户同意才能以任何适当的网络限制启用SUBSCRIBE。同时建议禁用可访问Internet的接口上的UPnP协议。
Unable adıRCı表示,“预计家庭用户不会直接成为目标。如果其面向互联网的设备具有UPnP端点,则其设备可用于DDoS源。询问您的ISP,您的路由器是否具有CallStranger漏洞的面向Internet的UPnP,有数百万个消费设备暴露在Internet中。不要将端口转发到UPnP端点。”这位安全研究人员还指出,僵尸网络可能很快就会开始通过消费最终用户设备来实施这项技术。企业可能已经阻止了暴露在Internet上的UPnP设备,但Intranet到Intranet的端口扫描预计将成为一个问题。
天地和兴工业网络安全研究院编译,参考来源:securityweek http://dwz.date/baFK
(十五)印度黑客组织Dark Basin监控数万个知名人士邮件帐号
根据多伦多大学Citizen Lab调查,Dark Basin透过网络钓鱼邮件大规模窃取目标对象的电子邮件凭证,展开长期监控,并推测Dark Basin幕后黑手,是印度信息技术服务公司BellTroX InfoTech。
加拿大多伦多大学的公民实验室(Citizen Lab)本周揭露了一个规模不小的Dark Basin黑客服务,指出Dark Basin可能正在监控数万个重要人士及组织的邮件帐号,相信Dark Basin是由印度网络安全从业者BellTroX InfoTech所经营,而且这类的服务正在成长中。
一名受到网钓攻击的记者在2017年向该实验室求助,促使Citizen Lab展开调查,他们原本以为这是国家级黑客的攻击行动,后来才发现是新兴的黑客服务。这几年的追踪显示,Dark Basin在邮件中夹带了不同的短网址,以将受害者导至网钓网页,窃取使用者的电子邮件凭证,展开长期的监控活动。
迄今Dark Basin已针对不同的对象寄出了2.8万个短网址,锁定的目标涵盖了全球六大洲的数万名个人与数百个组织,从记者、政府官员、人权斗士、对冲基金、医疗产业到非营利组织等。而且最近这半年,Dark Basin所操纵的短网址服务就多达28个。
由Dark Basin所建立的网页钓网页,有的假冒成Gmail登入页面,有的是Yahoo!Mail,也会伪装成脸书或Linkedin等其它服务的登入页面。
此外,Citizen Lab也发现,Dark Basin有许多员工与印度BellTroX重叠,它们还使用许多同样的文件,而且Dark Basin的活动时间刚好符合印度的工作时间。
BellTroX为印度的网络安全从业者,标榜可提供白帽黑客服务,强调专精于电子邮件渗透、漏洞开采、企业间谍,以及网络情报搜集。且BellTroX的总监Sumit Gupta曾因涉及提供黑客服务,而在2015年被美国起诉。
Citizen Lab认为,Dark Basin黑客服务对所有领域来说都是个严重的问题,不管是政治、政府、非营利组织或商业行为,且看起来这是个正在成长的新行业,呼吁Google或其它平台应该持续追踪并回报这类的黑客服务,并应主动通知成为黑客目标的使用者。
天地和兴工业网络安全研究院编译,参考来源:ithome http://dwz.date/baNJ
(十六)澳大利亚乳制品及饮料制造商Lion遭受网络攻击停止生产
澳大利亚最大的乳制品加工和饮料制造商之一Lion证实,其在6月8日遭受了网络攻击,并已被迫关闭生产。该公司在网站上发布的声明中表示,该公司正在努力评估攻击的影响,已承认会影响客户、供应商和整个供应链。
“作为预防措施,我们立即关闭了所有系统,我们将继续与网络专家合作,确定将影响我们的系统多长时间。到目前为止,还没有证据表明有任何数据泄露事件,但是我们仍在调查这一重大事件的各个方面。”
该公司被迫采用手动系统来接单并在全国范围内运送产品。该公司表示,随着冠状病毒限制开始放松,网络攻击将袭击试图重新进货的酒吧和俱乐部。但是,该公司在一份声明中表示,网络攻击不会影响农民。
“这种攻击影响了酿造过程的关键方面。我们经营着多家大型啤酒厂,这些啤酒厂严重依赖于IT基础架构。这次袭击对Lion来说是最糟糕的时刻,尤其是对我们那些在COVID-19关闭后处于恢复早期阶段的尊贵酒吧和俱乐部客户。这是酒店业有史以来最毁灭性的时刻。”
Lion是澳大利亚最大的五个乳制品加工商之一,每年有550名奶农向该公司供应10亿升牛奶。Lion是澳大利亚最大的啤酒酿造商,拥有多个品牌,包括XXXX Gold、Tooheys、Hahn、Boags和Little Creatures。
今年早些时候,在遭受勒索软件Talman攻击后,羊毛行业被迫推迟了销售,该勒索软件攻击对用于买卖羊毛的数据库进行了加密。2017年,Bega Cheese和霍巴特的吉百利工厂也受到所谓的Petya全球勒索软件攻击的影响。
天地和兴工业网络安全研究院编译,参考来源:ABC News http://dwz.date/ba6r
评论