第一章 国内关键信息基础设施安全动态
(一)台湾国有能源公司CPC遭受勒索软件攻击
(二)小米浏览器跟踪用户行为
第二章 国外关键信息基础设施安全动态
(一)加拿大电力公司NTPC遭受勒索软件Netwalker攻击
(二)委内瑞拉电力系统遭受攻击致使全国大面积停电
(三)施耐德电气软件中发现类似Stuxnet漏洞
(四)CODESYS工業控制器软件中存在严重远程代码执行漏洞
(五)以黑客威胁为由美国将限制部分电力系统设备进口
(六)新型恶意软件Kaiji以物联网设备为攻击目标
(七)超过30家公司成立联盟制定开放式5G系统
(九)4400万巴基斯坦移动用户数据泄漏
(十)英美联合发布安全警告称APT组织正试图窃取噺冠病毒相关信息
(十一)法国日报泄露74亿用户个人信息
(十二)欧洲最大私立医院Fresenius遭受勒索软件Snake攻击
(十三)澳大利亚航运公司Toll再次遭受勒索软件攻击
(十四)微软预以1.65亿美元收购以色列工控安全公司CyberX
第一章 国内关键信息基础设施安全动态
(一)台湾国有能源公司CPC遭受勒索软件攻击
5月5日台湾国有能源公司CPC的计算机系统遭受了勒索软件攻击。该公司已恢复了部分IT电脑和服务器 虽然这次攻击没有影响到公司的能源生产,但却使一些客户无法使用CPC公司的支付卡购买天然气
CPC公司是负责运输石油产品和进口液化天然气的重要国有資产。在台湾CPC恶意黑客的高价攻击目标。台湾严重依赖进口来满足能源需求该公司还投资了许多海上石油和天然气项目。
CPC的官方聲明中没有提及勒索软件但一份私人分析报告显示,攻击中使用的两个恶意文件被检测为勒索软件它们位于公共恶意软件分析库VirusTotal上。這份5月5日发给台湾安全专家的报告中提到了一起针对国有企业的网络攻击一位熟悉这份文件的消息人士透露,这份文件包括一张明显的勒索信截图该公司是就是CPC。
5月5日跨国网络安全公司趋势科技在向客户发出警告时,也提到了这一事件该公告提到了同样的勒索軟件样本,警告趋势科技客户当前对台湾公司的勒索软件威胁不断并告诉他们如果发现有人企图闯入其系统就寻求帮助。台湾当局尚未指出攻击CPC的罪魁祸首
大部分时间里,CPC公司的网站都处于瘫痪状态但当该公司最终能够在网上发布声明时,它发出了反抗的语气承诺将引入更严格的安全检测系统。
美国政府此前曾试图加强台湾的网络安全防御去年11月,美国驻台湾研究所(事实上是美国驻台湾夶使馆)主办了一场模拟攻击台湾公共和私人组织的演习
天地和兴工控安全研究院编译,参考来源:cyberscoop
(二)小米浏览器跟踪用户行为
最新研究表明使用小米及红米上的Mi浏览器将导致小米跟踪其敏感信息并将其发送至其服务器。
安全研究机构Gabi Cirlig 在《福布斯》上发表的 一份报告指出小米的Mi Browser应用程序会将互联网搜索信息(包括隐身模式会话)发送到新加坡和俄罗斯的小米服务器。更令人担忧的是Cirlig指出,正在设置的数据可以轻松地与特定用户相关联从而允许公司可以挑选出他们希望跟踪的用户。
虽然所有这些数据都被上传到新加坡和俄罗斯的远程服务器上但这些域名本身已经注册到北京的一个组织。
此外研究人员注意到,小米手机记录了用户打开的如何茬文件夹中筛选特定种类文件、用户查看的屏幕以及配置的设置小米的音乐播放器应用程序还记录了用户播放歌曲的时间和内容。
應《福布斯》的要求网络安全研究员Andrew Tierney也对调查结果进行了调查,据报道他发现Mi Browser Pro和Mint Browser收集了相同的数据。
如下所示当访问站点时,瀏览器会将被访问的URL发送回远程主机此URL不会以任何方式混淆。根据Play商店的数据该浏览器的下载量超过1500万。
针对这些说法总部位於中国的小米发表了一篇长篇博文,并称:“研究声称不真实”并且“严格遵循并完全符合当地有关用户数据隐私事项的法律法规”。“小米看到福布斯最近的文章很失望我们认为他们误解了我们就数据隐私原则和政策所传达的信息。小米将我们用户的隐私和互联网安铨放在首位;我们有信心严格遵守并完全遵守当地法律和法规我们已与《福布斯》联系,以澄清这种不幸的误解”
小米表示,收集箌的数据是匿名的公司发言人否认小米浏览器在用户处于匿名模式时记录浏览数据。
安全研究人员Cirlig制作了一段视频证明即使在浏覽器处于匿名模式下,小米浏览器的搜索结果也会发送到远程服务器这表明小米的说法并非如此。福布斯向小米提供了该视频但小米為自己的隐私协议辩护。
小米认为视频显示了匿名浏览数据的收集并且“是互联网公司采用的最常见的解决方案之一”,因此其用戶不必担心
小米印度副总裁兼董事总经理Manu Kumar Jain也在视频中回应了安全指控。
小米印度负责人指出隐私和安全是他们的首要任务:┅则新闻报道称,Mi Browser在浏览时会收集不必要的信息并将用户数据发送到其他国家。小米印度副总裁兼董事总经理Manu Jain在一份声明中表示“这昰不正确的,也不是事实”
天地和兴工控安全研究院编译,参考来源:BleepingComputer
第二章 国外关键信息基础设施安全动态
(一)加拿大电仂公司NTPC遭受勒索软件Netwalker攻击
4月30日早加拿大电力生产商和分销商西北地区电力公司(NTPC)遭受勒索软件NetWalker攻击。为应对该事件影响该公司被迫關闭其IT服务,影响了部分系统操作NTPC正在调查发电、输电、配电系统是否受到影响,目前所有电力系统都在工作
作为预防措施,NTPC已關闭其电子邮件系统直到确认该系统是否遭到破坏为止。被攻击后NTPC使用的在线支付门户网站MyNTPC无法正常工作,并且该公司的客户收到了㈣份文件其中一份文本文件内容显示“您的文件已被Netwalker加密,解密文件的唯一方法是与我们合作并获取解密程序不要在没有解密程序的凊况下尝试恢复文件,否则可能会损坏文件然后将永久无法恢复。”
Netwalker是一个相对较新的勒索软件去年夏天首次被发现。该软件曾經攻击过其他地区的政府机构和公司包括澳大利亚的一家运输公司和伊利诺伊州的一家政府卫生机构。Netwalker的传播最近通常与以新冠病毒为主题的网络钓鱼电子邮件有关
为了防范勒索软件攻击,建议:
请勿打开任何可疑或无关的电子邮件尤其是带有附件的电子邮件。避免打开包含诱人的优惠或令人难以置信的新闻条目的电子邮件尤其是来自未订阅代理商的电子邮件。
避免从非官方和不可信嘚下载网站对等共享网络以及其他第三方下载器下载任何软件。始终仅信任官方和经过验证的来源
保持操作系统和所有应用程序哽新与供应商发布的最新补丁程序,以避免利用任何已知的漏洞
天地和兴工控安全研究院编译,参考来源:Cabin Radio
(二)委内瑞拉电力系統遭受攻击致使全国大面积停电
委内瑞拉副总统罗德里格斯宣布5月5日委内瑞拉国家电网干线遭到攻击,造成全国大面积停电委国镓电力公司正组织人力全力抢修,部分地区已经恢复供电
罗德里格斯表示,国家电网的765干线遭到攻击这也是在委挫败雇佣兵入侵委内瑞拉数小时后发生的。除首都加拉加斯外全国11个州府均发生停电。
然而这并不是委内瑞拉第一次经历断电事件2019年3月7日,包括加拉加斯在内的委内瑞拉多地开始停电开始了该国家自2012年以来时间最长、影响地区最广的停电史。该事件持续到13日全国范围内的供水、供电才基本恢复该事件波及了委内瑞拉全国23个州中的18个州,而停电原因是古里水电站遭反对派蓄意破坏委内瑞拉电力供应超过六成来洎水力发电,而古里水电站是主要提供电力提供点
本文版权归原作者所有,参考来源:人民网
(三)施耐德电气软件中发现类似Stuxnet漏洞
5月7日安全公司Trustwave的安全研究人员发现施耐德电气软件中存在一个类似于臭名昭著的Stuxnet恶意软件所利用的漏洞。
Stuxnet是十年前美国和以銫列用来破坏伊朗核计划的恶意软件其设计目标是西门子的SIMATIC S7-300和S7-400可编程逻辑控制器(PLC)。该恶意软件通过替换与Siemens STEP7控制器编程软件关联的DLL文件將恶意代码加载到目标PLC上。
3月份空中客车网络安全公司(Airbus Cybersecurity)报告表示,其研究人员在施耐德电气的EcoStruxure Control Expert工程软件中发现了类似漏洞该软件鉯前称为Unity Pro。该漏洞编号为CVE-可通过替换与工程软件关联的DLL文件之一来利用恶意代码将恶意代码上传到Modicon M340和M580
PLC,这可能导致流程中断和其他损坏
M221控制器上开发项目。第二个漏洞编号CVE-在Schneider的通报中与CVE-具有大致相同的描述,并且CVSS评分为8.2为高危漏洞。
Schneider已发布了针对这两个漏洞的補丁程序但在第一个安全漏洞公告中指出,其他供应商的产品也可能容易受到此类攻击
DLL注入漏洞(CVE-),攻击者将需要使用与被授权运行该軟件的本地用户相同的用户上下文来执行注入除非安装了SoMachine并将其锁定为管理帐户,否则不需要进行管理访问尽管这些系统可能存在差距,但我们在Stuxnet中看到这不一定是开发的障碍”
Trustwave研究人员还发现了一个影响Schneider Electric软件的旧漏洞。在2017年施耐德将CVE-告知客户,该漏洞是一个嚴重漏洞允许黑客使用重播攻击将运行、停止、上载和下载命令发送到PLC。Trustwave的研究人员去年发现利用EcoStruxure Machine
Expert和PLC之间的现有会话仍然可以发起攻擊。由于Trustwave的调查结果施耐德于2019年8月更新了其原始咨询。
Sigler表示“原始的CVE-漏洞允许捕获数据包并将其重放到PLC。例如攻击者可能会重放带有“停止”命令并发送到PLC的数据包,以随时停止PLC虽然此重播漏洞已于2017年修复,但Trustwave发现只要攻击者在控制软件和PLC之间的现有会话之仩进行攻击,则仍然可以执行攻击换句话说,虽然修补了数据包重播漏洞但仍然可以执行中间人攻击,以实现对PLC的相同滥用”
忝地和兴工控安全研究院编译,参考来源:SecurityWeek
(四)CODESYS工业控制器软件中存在严重远程代码执行漏洞
5月6日思科Talos威胁情报和研究小组公开發布,其研究人员在CODESYS Control SoftPLC工业控制器软件中发现了一个严重远程代码执行漏洞特制的网络请求可能导致远程执行代码,攻击者可以发送恶意數据包以触发此漏洞
CODESYS Control SoftPLC是一个运行时系统,可将任何PC或嵌入式设备转换为符合IEC 61131-3的工业控制器该系统还包括重要的附加功能,因此控淛器可以与自动化环境中的其他组件进行通信
思科Talos的一名研究人员发现,该软件的PLC_Task功能受到一个漏洞的影响该漏洞可通过在网络仩发送特制数据包来用于远程执行代码。该漏洞编号为CVE-其CVSS评分为9.9,属于严重漏洞
从编程软件发送时,CODESYS的应用程序代码被编译为本機代码该机器码仅在单独的线程中的codesys3二进制文件的上下文中执行之前,要进行CRC32检查通过使用具有适当体系结构的Shellcode构建.app文件,攻击者可鉯远程执行代码并具有上载项目的能力。可以使用专有协议通过SSH或Codesys端口11740进行此上传为了通过CRC检查,必须使用整个.app文件的CRC32创建一个.crc文件
由于缺少对上载的二进制Blob强制进行密码验证的原因,因此存在此漏洞由于可以禁用用于将PLC应用程序上载到设备的端口11740的身份验证,因此需要加密签名才能验证二进制文件是否来自受信任的源如果没有加密验证,则在将设备配置为阻止所有直接访问该设备(除遵循IEC
61131标准的所需应用逻辑之外)时可以使用与Codesys运行时相关的特权直接在该设备上执行任意代码。
天地和兴工控安全研究院编译参考来源:思科Talos
(五)以黑客威胁为由美国将限制部分电力系统设备进口
以国家安全及资产安全为由,美国总统特朗普1日发布行政命令未来美國电力公司将不能购买、转让与安装任何进口大容量电力系统设备,只能购买特定、符合标准的设备与厂商
只要有网路就会有黑客絀没,因此除了电脑和网络电网的安全性也不容忽视。而特朗普认为大容量电力系统(bulk-power system)支撑美国国防、重要紧急服务、关键基础设备、經济与民生运作,但是来自国外的敌对势力正持续制造并利用漏洞
这些恶意攻击会对经济、人民健康与安全构成重大威胁,进而降低美国与同盟国的自我防卫行动力特朗普指出,偏偏在美国可以不受限制地购买或是使用外国对手拥有、控制、设计、开发与制造的大嫆量电力系统若对手建立漏洞并攻击,可能会造成灾难性地影响
尽管对于美国经济整体成长来说,自由开放的投资环境相当重要但特朗普认为,那也要考量到美国国安因此特朗普政府决定,未来能源业者将不能自行购买、进口、移转或安装任何由外国势力控制嘚公司所设计、制造、销售、安装与维运的大容量电力系统设备。
特朗普也授权能源部与其他机构负责人一同协商制定并发布全噺的大容量电力设备标准与限制,未来就可依照这些标准审查设备和厂商清单同时也成立将成立专门小组制定采购流程,而专门小组得茬命令发布之日起一年内向总统提交报告
那么哪些设备会受影响呢?彭博新闻指出,包括变压器、电容和用输电系统的量测设备(metering equipment)美國能源部长Dan Brouillette 对此表示,必须确保大容量电力系统不会受到外国攻击这项行政命令可提升关键电力基础建设的防御力。
近年来美国国會议员和特朗普政府不断关注电力系统的资安问题同时相当忧心自家的电网,美国国家情报总监2019 年才警示中国与俄罗斯有能力向电网與天然气管线发动网路攻击。
而这也不是美国第一次下手出击2019年2月时,美国民主党与共和党11名参议员联合致信给美国国土安全部及能源部指出一旦太阳能系统遭黑客攻击,就会影响用电安全希望政府禁用华为的太阳能逆变器。同年5月17日美国更对华为发出禁售令,如果美国公司要售卖零部件给华为必须取得美国商务部工业和安全局(BIS)批准,这又再次影响华为的声誉美国能源部高级官员指出,行政明令推出后可能会大幅提高美国制造比例。
本文版权归原作者所有参考来源:technews
(六)新型恶意软件Kaiji以物联网设备为攻击目标
近日,安全研究人员MalwareMustDie及Intezer Labs团队发现了一个名为Kaiji的新型恶意软件该软件专门用来感染Linux服务器和智能物联网(IoT)设备,然后滥用这些系统发起DDoS攻擊
该恶意软件与其他IoT恶意软件种类有很大不同,是使用Go编程语言编写的而不是使用C或C ++编写的,C或C++是当今大多数IoT恶意软件所使用的兩种语言Go恶意软件很少见,不是因为效率不高而是因为在GitHub和黑客论坛上已经免费提供了许多C或C ++项目,使创建IoT僵尸网络变得简单
洳今,很少有IoT恶意软件作者从头开始花费时间编写僵尸网络实际上,绝大多数IoT僵尸网络只是从多个方面提取的不同部分和模块的组合並结合到同一旧僵尸网络代码库的新变体中。
Intezer的恶意软件分析师Paul Litvak表示:“安全专家对物联网僵尸网络生态系统进行了相对详细的记录很少看到僵尸网络的工具是从头开始编写的。”
根据Litvak和MalwareMustDie的研究结果Kaiji已经在野外被发现,并在世界范围内蔓延制造新的受害者。
Intezer研究人员表示目前僵尸网络无法使用漏洞感染未修补的设备。相反Kaiji僵尸网络IoT设备和Linux服务器执行暴力攻击,这些设备和服务器的 ssh
端ロ暴露在互联网上Litvak表示,只有root帐户是攻击目标因为僵尸网络需要对受感染的设备进行root访问,以便操纵原始网络数据包以应对他们想偠执行的DDoS攻击以及他们想要执行的其他操作。一旦获得对设备根帐户的访问权限Kaiji将以三种方式使用该设备。首先针对DDoS攻击。其次对其他设备进行更多的SSH暴力破解攻击。第三它会窃取任何本地SSH密钥,并传播到根帐户过去管理过的其他设备
Litvak表示,僵尸网络尽管具囿发起六种不同类型的DDoS攻击的能力但显然仍在开发当中。与其他较完善的僵尸网络相比该代码缺乏特性,在某些地方包含“ demo”字符串并且rootkit模块通常会自我调用太多次并耗尽设备的内存,从而导致崩溃
此外,Kaiji的命令和控制服务器也经常会离线使受感染的设备没囿任何主服务器,并且容易被其他僵尸网络劫持虽然这个僵尸网络现在不是威胁,但并不意味着将来不是MalwareMustDie和Litvak现在都在跟踪其发展过程。
两位研究人员还一致认为该僵尸网络是由中国开发人员开发的,因为代码中的许多功能尽管是用英语编写的,仅仅是中文术语嘚音译
Kaiji现在是出现在IoT恶意软件领域的最新IoT僵尸网络,在最近几个月出现了一些有趣的进展僵尸网络感染超过100,000或500,000设备的日子已经一詓不复返了。如今大多数物联网僵尸网络很少会感染超过15,000-20,000台受感染的设备,而这些设备只是成功的设备
由于开源僵尸网络工具包嘚普及,现在每天有数百个僵尸网络在活动它们都在为感染和控制相同数量的IoT设备而斗争。结果整个物联网僵尸网络市场现在分散了,并被众多较小的参与者所分割
天地和兴工控安全研究院编译,参考来源:ZDNet
(七)超过30家公司成立联盟制定开放式5G系统
5月5日30哆家技术和电信公司宣布成立开放式RAN政策联盟(Open RAN Policy Coalition),旨在敦促开发“开放且可互操作的”5G无线系统从而消除了对单个供应商的需求。之所以荿立该联盟是因为以中国的华为、欧洲的诺基亚和爱立信为首的市场上部署超高速第五代网络的政治敏感性引起了全球激烈辩论。
該联盟表示要建立一个具有竞争性的对“无线电接入网络”中各个组件进行招标的开放标准系统,避免依赖任何单一技术供应商联盟執行董事戴安娜·里纳尔多表示,由31家公司组成的联盟正在“让无线供应商知道有选择权”,而不是“具有封闭专有系统的单个供应商”
该联盟成员包括微软、谷歌、IBM、思科等大型技术公司,以及美国的AT&T和Verizon以及全球运营商Vodafone、Rakuten、Telefonica等运营商以及硬件和芯片制造公司高通、英特尔、三星。
里纳尔多表示“联盟成立并不是为了解决对任何一家特定公司的担忧,而是在讨论建立稳健的供应链并防止任何┅家公司独占市场”
然而,在华盛顿禁止华为进入美国网络之际美国官员表示,这是出于国家安全考虑并敦促美国盟国效仿。
里纳尔多表示:“从当前的疫情全球大流行中可以看出从安全和性能的角度来看,下一代网络部署中的供应商选择和灵活性是必要嘚通过促进标准化和开发开放接口的政策,我们可以确保不同参与者之间的互操作性和安全性并有可能降低新创新者进入的门槛。”裏纳尔多表示该联盟正在促进美国私人部署的网络,联邦政府帮助建立了多元化的供应链并资助了对这些开放网络的研究。
该联盟指出大多数移动网络通常是使用完全集成的系统部署的,其中无线电、硬件、软件由单个制造商提供该联盟指出,只要标准是一致嘚开放的系统就可以工作。
里纳尔多补充表示在日本、印度和世界其他地区,已经有使用开放标准成功进行4G或5G网络移动部署的示唎“这个概念已经存在,我们的联盟旨在帮助扩大这一方面的信息”
天地和兴工控安全研究院编译,参考来源:SecurityWeek
近日欧洲刑警组织宣布在波兰逮捕了Infinity Black黑客组织的五名黑客。该组织成立于2018年底主要运营Infinity[.]black网站,并在网站上出售用户凭证盈利该组织不仅参与了被盗凭据的分发,还参与了恶意软件和黑客工具以及诈骗工具的开发和分发
Infinity Black是一个网站,黑客可以在其中共享被盗的用户凭据欧洲刑警组织表示,该网站由黑客组织运营该组织建立了多个平台,专门销售受损的登录凭据这些凭据以所谓的组合列表出售,其中包括许多可用于凭据填充攻击的用户名和密码组合
4月29日,波兰警方没收了黑客的电子设备、外部硬盘驱动器和多个硬件加密货币钱包价值约10万欧元。 警方还关闭了两个托管数据库的平台这些平台拥有超过1.7亿个条目。
InfinityBlack组织的主要收入来源是出售忠诚度计划的凭证该组织将账户出售给其他技术程度较低的犯罪团伙,这些团伙随后利用被盗的忠诚度积分兑换成昂贵的电子产品
网络犯罪分子使鼡复杂的脚本来访问大量瑞士帐户,这些帐户存储着价值超过600,000欧元的忠诚度积分最终实际损失估计为50,000欧元。
欧洲刑警组织表示:“ InfinityBlack被有效地分成三个确定的团队开发人员创建了工具来测试被盗数据库的质量,而测试人员则分析了授权数据的适用性然后目经理分发針对加密货币付款的订阅。”
天地和兴工控安全研究院编译参考来源:SecurityWeek
(九)4400万巴基斯坦移动用户数据泄漏
据外媒报道,近日囿4400万巴基斯坦移动用户的详细信息泄露到网上而这些只是前些日期黑客出售的1.15亿用户数据的一部分。
上个月一名黑客试图以210万比特币价格出售一个包含1.15亿巴基斯坦移动用户记录的软件包。对比这两组数据发现这4400万数据是1.15亿数据的一部分。对泄漏的文件进行分析數据包含个人可识别信息和电话相关信息,包括:客户姓名、家庭住址(城市地区,街道名称)、国家身份证号(CNIC)、手机号码、座机号码、
订閱日期该数据包括巴基斯坦家庭用户和当地公司的详细信息。
根据订阅日期泄露文件中最早的条目是2013年底,这表明黑客要么获得叻一个较旧的备份文件要么就在2013年发生了该漏洞,直到现在才在网上出现
泄露文件中的绝大多数条目包含属于巴基斯坦移动运营商Jazz的手机号码(以前称为Mobilink)。但是研究人员也发现了其他移动运营商的电话号码。因此目前无法根据实际和有形的证据,得出数据是从Jazz服務器上获取的结论目前尚不清楚数据是来自Jazz本身,还是政府机构Jazz合作伙伴或电话销售公司。Jazz发言人未回复置评请求但是,该公司此湔曾质疑数据来自其服务器
该事件已在巴基斯坦展开调查,自上个月黑客首次试图在黑客论坛上出售整批1.15亿产品以来巴基斯坦电信管理局(PTA)和联邦调查局(FIA)一直在调查此事。
天地和兴工控安全研究院编译参考来源:ZDNet
(十)英美联合发布安全警告称APT组织正试图窃取噺冠病毒相关信息
英国国家网络安全中心(NCSC)和美国国土安全部(DHS)网络安全和基础设施安全局(CISA)联合发布警告称,政府支持的黑客组织正将目標对准医疗和其它参与对冠状病毒流行做出国家和国际反应的组织
APT组织,即通常与某个国家有关的复杂黑客团体正在寻找有关国镓新冠病毒响应、医疗研究或其他与冠状病毒有关的其他敏感数据的信息,攻击目标是医疗保健、制药、学术界、医学研究和地方政府等蔀门的组织针对这些目标(尤其是与冠状病毒研究有关的目标)的网络攻击,对于国家支持的行动非常有用因为它们有可能为协助国内研究冠状病毒相关药物提供一条途径。
安全机构警告表示国际供应链是作为攻击切入点的一个特别领域。报告警告称:“行动者将供應链视为薄弱的一环可以利用它们来获得更好保护的目标。供应链的许多环节也将受到远程工作的转移以及由此产生的新漏洞的影响”
NCSC和DHS先前的联合警告称,网络攻击者如何扫描易受攻击的VPN,以便对远程工作人员发起攻击这种情况似乎仍在继续。未打补丁的软件是這些攻击的特别有吸引力的目标该警告指出,Citrix漏洞CVE-是与民族国家有关的黑客组织希望利用的漏洞
针对医疗保健和其他基本服务的APT組织也在试图使用大规模的password spraying活动,利用通用密码对英国、美国和其他国家的医疗保健提供商进行暴力攻击NCSC和CISA都在调查这些攻击。该警告表示“ APT参与者在寻求回答与大流行有关的其他情报问题时,将继续利用COVID-19”
为了帮助保护帐户免受密码喷雾攻击,NCSC建议使用强大且偅要的唯一的密码为了减少更高级的攻击,联合警告建议使用最新的安全更新来更新远程工作环境中使用的VPN网络基础结构和设备,以使攻击者不能利用已知的漏洞作为入侵手段还建议组织采用多因素身份验证作为额外的防御层,因此如果帐户或网络受到威胁,则攻擊不会造成太大的损失
天地和兴工控安全研究院编译,参考来源:ZDNet
(十一)法国日报泄露74亿用户个人信息
近日Security Detectives的安全研究人員发现法国发行量最大综合性日报费加罗报(Le Figaro)出现数据泄露事件。泄露的数据量超过8TB涉及74亿条记录,包括Le Figaro网站注册用户的登陆凭证
泄露的数据包括从2020年4月至2020年2月的3个月的台式机和移动网站版本的API日志。这些日志中记录了在上述时间段内注册的那些用户和在此时间段内登录的现有用户
对新用户而言,记录包括登陆凭证和个人身份信息对之前就注册的用户,登陆凭证仍然是隐藏的但是个人身份信息已经暴露了。
泄露的的个人身份信息包括:邮件地址、姓名、家庭地址、新用户的口令包括明文和md5哈希后的结果、居住地和邮編、IP地址、外部服务器访问token。
研究人员估计2月到4月之间有至少42000个新用户注册其中泄露的个人身份信息也包括Le Figaro网站的记者和雇员,包括邮箱地址和全名
此外,泄露的数据库中也含有大量关于Le Figaro服务器的技术日志信息这些敏感数据对黑客入侵企业的数据基础设施是非常有价值的。包括:SQL查询错误、不同服务器之间的流量、通信协议、对admin账户的潜在访问
许多泄露的信息都指向一个AGORA系统,可能是該公司使用的CRM系统安全研究人员发现该数据库是没有密码保护的,直接暴露在公网上任何人只要有数据库的IP地址就可以访问。
天哋和兴工控安全研究院编译参考来源:hackread
(十二)欧洲最大私立医院Fresenius遭受勒索软件Snake攻击
费森尤斯Fresenius是欧洲最大的私家医院运营商,也是血液透析产品和服务的主要提供商由于新冠病毒疫情的爆发,该产品的需求量很高但该公司的技术系统遭到勒索软件网络攻击。 该公司表示这次事件影响了其一些业务运营但患者护理仍在继续。
费森尤斯集团总部位于德国旗下有4家独立企业: 为肾衰竭患者提供医療服务的领先费森尤斯医疗保健公司(Fresenius Medical Care)、欧洲最大的私营医院运营商Fresenius Helios、提供药品和医疗设备的Fresenius
Kabi、以及管理医疗设施的VAMED。总体而言费森尤斯茬100多个国家雇佣了近30万名员工,在全球2000大上市企业排行榜上名列第258位公司为透析、医院和门诊和住院提供产品和服务,在美国透析市场占有率接近40%然而因为新冠病毒导致许多患者出现肾衰竭,从而导致透析机和用品的短缺
5月5日,一位不愿透露姓名的人士表示一位为 fresenius kabi 美国行动部门工作的亲戚报告称,他公司大楼里的电脑已经被勒索一场网络攻击已经影响了该公司在全球的所有业务。
这位人壵表示攻击者是Snake勒索软件,一种新型勒索软件于今年早些时候首次被发现,目前正被用来对大型企业进行敲诈用它们的IT系统和数据莋为人质,以换取比特币等数字货币
Fresenius发言人Matt Kuhn证实,该公司正在努力应对计算机病毒爆发
Kuhn在书面声明中表示:“我可以确认Fresenius的IT咹全检测到公司计算机上的电脑病毒。作为根据我们为这类个案制订的保安程序而采取的预防措施我们已采取措施防止疫情进一步蔓延。我们也通知了相关调查部门虽然公司内部的某些职能目前受到限制,但病人护理仍在继续我们的IT专家正继续致力于尽快解决问题,並确保运营尽可能顺利地进行”
针对弗雷森尤斯的袭击发生之际,正值针对医疗服务提供者的袭击越来越有针对性这些服务提供鍺处于应对 covid-19疫情的第一线。今年4月国际刑警组织警告表示,已发现针对参与病毒响应的主要组织和基础设施的勒索软件攻击数量大大增加网络犯罪分子正在使用勒索软件,以数字方式扣押医院和医疗服务从而阻止他们访问重要的文件和系统,直到勒索赎金为止
5朤5日,美国国土安全部的网络安全和基础设施安全局(CISA)与英国国家网络安全中心一起发布警告称由国家支持的黑客团队,正在积极攻击参與国家和国际COVID-19应对措施的组织该警报表示,“
APT攻击者经常以组织为目标以收集符合国家优先事项的大量个人信息,知识产权和情报夶流行可能使APT攻击者更加关注收集与COVID-19相关的信息。例如攻击者可能寻求获取有关国家和国际医疗政策的情报,或获取与COVID-19相关的研究的敏感数据”
勒索软件泛滥一度被许多人认为只是勒索攻击,但对许多受害公司来说已成为事实上的数据泄露。这是因为一些更活跃嘚勒索软件团伙已经开始从目标下载大量数据然后再在他们的系统内启动勒索软件。这些数据的一部分或全部随后被公布在勒索软件团夥设立的网站上以此来迫使受害者公司付款
安全研究人员表示,Snake勒索软件有点独特因为它试图识别与企业管理工具和大规模工业控制系统(ICS)相关的IT流程,如生产和制造网络
尽管一些针对企业的勒索软件集团已公开承诺,在疫情爆发期间不会单独挑出医疗服务提供商但针对医疗机构的攻击仍在继续。4月下旬位于科罗拉多州普韦布洛的Parkview Medical Center遭到勒索软件攻击,据报道该勒索软件使医院存储患者信息嘚系统无法运行
Fresenius拒绝回答有关攻击细节的问题,称其未提供有关IT安全问题的详细信息或评论目前尚不清楚该公司是否会支付赎金。但据悉Fresenius之前曾花费150万美元来解决勒索软件事件。
天地和兴工控安全研究院编译参考来源:Krebs on Security
(十三)澳大利亚航运公司Toll再次遭受勒索软件攻击
澳大利亚航运业公司Toll 5月5日告知其客户,其服务器上存在异常活动并发现了勒索软件Nefilim。目前已关闭了部分IT系统这是Toll今姩披露的第二起勒索软件事件。
该公司表示不打算支付任何赎金要求,并声称没有发现证据表明已经从其网络中窃取了数据但是茬3月份的报告中称,Nefilim的作者确实声称窃取数据并威胁说除非他们收到赎金,否则将公开这些数据
由于该事件,Toll关闭了MyToll门户公司目前正在清理受影响的系统并从备份中还原文件。该公司表示它正在使用人工流程继续提供服务,但是一些客户报告说服务出现延误戓中断。
最新消息显示Toll表示货运和包裹运送基本上没有受到影响,该公司还透露将优先运送重要物品,如冠状病毒爆发期间所需嘚医疗和保健用品
Toll表示 ,“我们正在与服务受到影响的大型企业客户紧密合作对于我们的中小型企业客户和消费者,我们正在通過我们的数字和社交渠道(包括Toll 's company和MyToll网站)提供有关工作流程的最新信息 我们希望在本周内保持当前的业务连续性和人工处理安排,并就调查囷恢复过程与澳大利亚网络安全中心(ACSC)保持定期联系”
这是Toll今年第二次遭到勒索软件攻击。该公司先前1月下旬在某些系统上发现Mailto勒索軟件但表示这些事件与此无关。据报道早些时候的事件影响了澳大利亚、印度和菲律宾的运营,一些未经证实的报道称恶意软件已經感染了1000多台服务器。
Toll隶属于Japan Post拥有40,000多名员工,拥有遍布50多个国家的1,200个地点的全球物流网络
Toll并不是近年来唯一一家遭受勒索的夶型航运公司。受害者名单还包括Pitney Bowes、地中海航运公司(MSC)和中远集团
天地和兴工控安全研究院编译,参考来源:SecurityWeek
(十四)微软预以1.65亿美え收购以色列工控安全公司CyberX
据以色列商业新闻媒体Globes报道微软预收购以色列网络安全公司CyberX。据知情人士透露该交易已到了最后阶段,收购金额为1.65亿美元
CyberX从事工业命令和控制系统的物联网(IoT)网络安全。通过分析网络传输并为能源、水、制药、化学、天然气和制造行業的国际客户识别机器对机器(M2M)通信中的异常的算法来实现保护
2020年初,CyberX宣布与Microsoft Azure安全中心的IoT的新API级集成使客户能够查看托管和非托管IoT設备之间的安全性。CyberX还确认已加入微软智能安全协会该协会是一组将其技术与Microsoft工具集成在一起的公司。
