關鍵信息基礎設施安全動態周報【2020年第2期】
- 分類:威脅情報研究
- 作者:
- 來源:
- 發布時間:2020-01-10 12:14
- 訪問量:
【概要描述】《知曉天下安全事》—關鍵信息基礎設施安全動態周報【2020年第2期】天地和興播報。
關鍵信息基礎設施安全動態周報【2020年第2期】
【概要描述】《知曉天下安全事》—關鍵信息基礎設施安全動態周報【2020年第2期】天地和興播報。
- 分類:威脅情報研究
- 作者:
- 來源:
- 發布時間:2020-01-10 12:14
- 訪問量:
目 錄
(一)美國政府官網遭伊朗黑客攻擊
(二)巴林石油公司Bapco遭受伊朗數據清除軟件Dustman攻擊
(三)MITRE發布ATT&CK for ICS知識庫
(四)勒索軟件DeathRansom新變種可真正對文件進行加密
(五)日本擴編"網絡防衛隊" 招募民間黑客強化網絡戰能力
(六)直布羅陀政府網站存在SQL漏洞 允許修改法律文件
(七)奧地利外交部電腦系統遭網絡攻擊
(八)英國外匯兌換公司Travelex因遭到惡意軟件攻擊暫停服務
(九)美國學校管理軟件供應商Active Network遭受黑客攻擊 泄露支付信息
(十)美國Alomere Health醫院泄露近5萬患者信息
(十一)美國拉斯維加斯市政府遭受網絡攻擊
(十二)美國科羅拉多州Erie鎮遭受BEC詐騙匯款超100萬美元
(一)美國政府官網遭伊朗黑客攻擊
當地時間2020年1月4日晚,美國聯邦寄存圖書館計劃(簡稱FDLP)網站主頁出現了一張美國總統特朗普的惡搞圖片。圖片中,特朗普嘴巴流血、被伊朗伊斯蘭革命衛隊一拳打在臉上。這家網站由美國政府出版辦公室(簡稱GPO)運營,主要負責向公眾提供聯邦政府文件和信息,目前該網站處于離線狀態。盡管黑客署名“伊朗網絡安全組織”,但美國官方未對誰是幕后黑手發表評論。
美國有線電視新聞網(CNN)5日報道,一名高級政府官員證實,美國國土安全部已經監控到這家政府網站遭到明顯黑客攻擊,這名官員將之稱為網絡“破壞”。GPO首席公關官薩默塞特(Gary Somerset)也做出回應,確認“該網站遭遇入侵、現已關閉”,GPO的其他站點已經全面運行。他表示GPO正與相關部門協調進一步調查。
當地時間4日晚,美國聯邦寄存圖書館計劃網站被黑客入侵,主頁上出現一張“特朗普被一拳打到流血”的圖片,圖片中用阿拉伯語、波斯語和英語傳達了支持伊朗的信息。
圖片留言全文如下:
這是來自伊朗伊斯蘭共和國的信息
我們不會停止支持我們在該地區的朋友:巴勒斯坦被壓迫人民、也門被壓迫人民、敘利亞人民和政府、伊拉克人民和政府、巴林被壓迫人民,黎巴嫩和巴勒斯坦的穆斯林抵抗運動。我們將永遠支持他們。
革命領袖重申:
殉道是他(蘇萊曼尼)多年來不懈努力的回報。隨著他的離世和神的力量,他的工作和道路將不會停止,嚴厲的復仇等待著那些罪人,他們骯臟的雙手沾滿了他和其他殉道者的鮮血。
來自伊朗網絡安全組織的黑客攻擊
這只是伊朗網絡能力的一小部分!
我們時刻準備著。
盡管黑客署名為“伊朗網絡安全組織”,但美國官方未確認誰為此事負責。
美國國土安全部“網絡安全和基礎設施安全局”發言人森德克(Sara Sendek)回應稱:“我們知道聯邦寄存圖書館計劃網站遭到了‘親伊反美信息’的破壞。但目前沒有證據表明,這是伊朗國家支持的行動者所為?!彼硎?,該網站已下線、暫停訪問,有關部門正密切監控進展。
聯邦寄存圖書館計劃網站由美國國會建立,美國政府出版辦公室運營,旨在為公眾提供“免費的、永久的聯邦政府信息公開渠道”,其中包括法案和法規、法院意見以及政府提供的各種材料。
美國哥倫比亞廣播公司CBS認為,該此次網絡攻擊造成的損害相對較小,更多的是象征性的,而非破壞性的。一名參與網絡安全事務的美國高級官員同樣否認了此次攻擊的重要性。他告訴CBS,“這不是什么大事”,這些黑客可能是伊朗的同情者,但與政府本身無關。
截至目前,美國聯邦調查局沒有對此事發表評論。
當地時間1月3日,美國總統特朗普下令空襲伊拉克巴格達機場,造成包括多人死亡,其中包括伊朗伊斯蘭革命衛隊的精銳部隊“圣城旅”指揮官卡西姆·蘇萊曼尼。
伊朗革命衛隊隨后在聲明中證實了蘇萊曼尼少將遇難的消息。伊朗于當天舉行全國哀悼日,數萬名伊朗民眾走上街頭譴責美國的襲擊,反美情緒高漲。
本文版權歸原作者所有,參考來源:觀察者網 http://dwz.date/eun
(二)巴林石油公司Bapco遭受伊朗數據清除軟件Dustman攻擊
據外媒ZDNet 2020年1月9日報道,該媒體從多個來源獲悉,伊朗政府資助的黑客已在巴林國家石油公司Bapco的網絡上部署了一種新型數據清除惡意軟件Dustman。
該事件發生在12月29日。攻擊并未達到黑客想要的長期影響,因為Bapco的計算機機群只受到了一部分影響,該公司在該惡意軟件爆炸后仍繼續運行。
ZDNet從多個來源獲悉,Bapco事件是沙特阿拉伯國家網絡安全局上周發布的安全警報中描述的網絡攻擊。沙特官員將該警報發送給活躍于能源市場的本地公司,以警告即將發生的襲擊,并敦促公司保護其網絡。Bapco安全事件在美國和伊朗上周政治緊張局勢加劇后曝光,此前美國軍方在上周的一次無人駕駛飛機罷工中殺死了一名伊朗高級軍事將領。盡管Bapco事件似乎與當前的美國-伊朗政治緊張局勢無關,但確實顯示出伊朗在發動破壞性網絡攻擊方面的先進技術能力。
Bapco遭受攻擊的核心是一種名為Dustman的新型惡意軟件。根據沙特阿拉伯網絡安全機構的分析,Dustman是一種數據清除軟件,旨在受感染計算機啟動后刪除其數據。
根據沙特CNA官員的說法,Dustman似乎是去年秋天發現的ZeroCleare的升級版和更高級版本,也與原始的Shamoon具有多個代碼相似之處。這三個軟件之間的主要共享組件是EldoS RawDisk,這是一個用于與文件、磁盤、和分區進行交互的合法軟件工具包。這三種惡意軟件使用不同的漏洞利用和技術,將初始訪問權限提升為管理員級別,從此處解壓縮并啟動EldoS RawDisk實用程序以擦除受感染主機上的數據。
由于Dustman被認為是ZeroCleare的演進版本,因此大多數代碼都是相同的,但是分析該惡意軟件的沙特CNA官員表示,Dustman具有兩個重要區別:與ZeroCleare一樣,Dustman的破壞能力以及所有需要的驅動程序和裝載程序都在一個可執行文件中提供,而不是在兩個文件中提供;Dustman覆蓋原有的數據,而ZeroCleare通過垃圾數據(0x55)重寫原有的數據。
消息人士告訴ZDNet,以Dustman攻擊Bapco符合已知的伊朗政府資助的駭客的常規作案手法。從歷史上看,在12月29日部署Dustman之前,伊朗黑客僅對石油和天然氣領域的公司使用Shamoon和ZeroCleare。過去的目標包括與沙特政權有聯系的公司和沙特阿拉伯國家石油公司沙特阿美公司。伊朗和沙特阿拉伯自1970年代以來就一直緊張關系,原因是對伊斯蘭的解釋不同,以及它們在石油出口市場上的競爭。
Bapco似乎是Dustman惡意軟件攻擊的唯一受害者,盡管這并不意味著該惡意軟件并未部署在其他攻擊目標上。攻擊者當時似乎并沒有計劃使用Dustman,而是為了隱藏他們在網絡中存在的最后一招。根據多方報道,攻擊的入境點是VPN服務器。威脅行為者在受害者的網絡上獲得了域管理員和服務帳戶,該帳戶用于在受害者的所有系統上運行“ DUSTMAN”惡意軟件。攻擊者利用防病毒管理控制臺服務帳戶在網絡上分發惡意軟件。威脅行為者訪問了受害者的網絡,并將惡意軟件和遠程執行工具“ PSEXEC”復制到了防病毒管理控制臺服務器,該服務器由于其功能的性質而連接到了受害者網絡內的所有計算機。幾分鐘后,攻擊者訪問了受害者的存儲服務器,并手動刪除了所有數據。然后,攻擊者在防病毒管理控件上執行了一組命令,將惡意軟件分發到所有連接的計算機,并通過PSEXEC執行了惡意軟件,并放置了3個其他文件,兩個驅動程序和一個數據清除軟件。大部分連接的機器的數據都被清除掉了。 成功的攻擊導致所有數據被
清除的系統顯示藍屏死機(BSOD)消息。
Bapco員工第二天上班就發現了該襲擊,并溯源到了Dustman惡意軟件,該惡意軟件樣本之一就被上傳到了Hybrid-Analysis中。
天地和興工控安全研究院翻譯整理,參考來源:ZDNet http://dwz.date/eu5
(三)MITRE發布ATT&CK for ICS知識庫
近日,MITRE發布了ATT&CK for ICS知識庫,其中介紹了網絡攻擊者在攻擊ICS時使用的戰術和技術,ICS包括一些國家最關鍵的基礎設施,包括能源傳輸和分配廠、煉油廠、廢水處理設施、運輸系統等。這些攻擊的影響范圍從破壞到運營生產力到嚴重危害人類生命和周圍環境。
ATT&CK for ICS建立在全球可訪問的、免費的MITER ATT&CK知識庫的基礎上,該知識庫已被世界各地成熟的網絡安全團隊廣泛采用,以了解對手的行為和交易技巧并系統地提高防御能力。
ATT&CK for ICS添加了在ICS環境中使用的行為對手。它著重介紹了ICS系統操作員通常使用的專門應用程序和協議的獨特方面,并且對手利用了這些優勢來與物理設備進行交互。
知識庫可以為防御者扮演多個關鍵角色,包括幫助建立一種標準的語言,供安全從業人員在報告事件時使用。憑借在該領域供不應求的專業知識,它還可以幫助開發事件響應手冊,確定防御的優先級以及發現漏洞,報告威脅情報,分析師培訓和發展以及在演習中模擬對手。
天地和興工控安全研究院翻譯整理,參考來源:HelpNetSecurity http://dwz.date/eu4
(四)勒索軟件DeathRansom新變種可真正對文件進行加密
2020年1月2日,網絡安全公司Fortinet稱其檢測到了勒索軟件DeathRansom的新變種,可對文件進行有效的加密。該勒索軟件原先曾被認為是一個玩笑,并不會對文件實施有效的加密方案。該軟件的分發活動是穩定有效的,過去兩個月每天都會有受害者。
該勒索軟件于2019年11月首次被發現,最初只是一個無害代碼,模仿成勒索軟件的樣子,向用戶的所有文件添加文件拓展名,并在受害者的計算機上放置贖金票據。這都是為了誘騙受害者支付贖金,但受害者的文件并沒有真正被加密。
現如今,DeathRansom的代碼得到了發展,新版本可以真正的加密文件。最新版本結合使用了針對橢圓曲線Diffie-Hellman(ECDH)密鑰交換方案的Curve25519算法、Salsa20、RSA-2048、AES-256 ECB和簡單的方法,對文件進行了有效加密。塊異或算法。
除此以外,對DeathRansom的調查并不僅限于分析該惡意軟件的源代碼,研究人員還尋找了有關勒索軟件作者的線索。經過一系列調查,Fortinet發現該軟件的背后行為者為網名為scat01的俄羅斯人Egor Nedugov。Fortinet發現了更多關于scat01的個人信息,但是并未公布在報告中。
目前,DeathRansom正在通過網絡釣魚電子郵件活動傳播。Fortinet報告包含公司可以在其安全產品中包含并防止公司系統受到感染的危害指標。Fortinet還表示,仍在研究勒索軟件的加密方案,以發現可能的錯誤,他們希望以此為基礎創建免費的解密程序,以幫助過去的受害者。
天地和興工控安全研究院翻譯整理,參考來源:ZDNet http://dwz.date/euy
(五)日本擴編"網絡防衛隊" 招募民間黑客強化網絡戰能力
日本《讀賣新聞》1月6日報道稱,日本防衛省計劃在2020年度大幅提升應對網絡攻擊的能力。除了擴充自衛隊“網絡防衛隊”規模之外,還計劃招募民間黑客、研發使用人工智能技術的防御系統。
報道指出,日本網絡防衛隊成立于2014年,是直轄于防衛相的與陸??兆孕l隊平級的部隊。防衛省計劃在今年將該部隊擴編70人至290人。未來,整個自衛隊負責應對網絡攻擊的人員規模將達到2000人。
報道認為,自衛隊內部包括裝備在內,各種各樣的指揮系統均由信息通信網絡彼此相連,一旦敵方發動網絡攻擊,造成網絡癱瘓,通常具備的戰斗力將無法發揮作用,從而遭受重大損失。即便在平時也存在敵人通過網絡攻擊竊取防御機密等風險。據防衛省的統計,已經確認的通過網絡空間對日本政府實施的威脅在2016年度就多達711萬起,且呈逐年增加態勢。
為防患于未然,防衛省對省內和自衛隊的電腦系統實施了24小時監控。此外還有可能就提升有事之時的網絡反擊能力展開研究。
本文版權歸原作者所有,參考來源:參考消息網 http://dwz.date/eu2
(六)直布羅陀政府網站存在SQL漏洞 允許修改法律文件
近日,安全研究人員Ax Sharma在研究直布羅陀政府的簽證規定時偶然發現,直布羅陀政府網站中存在SQL漏洞,惡意人員可利用該漏洞更改直布羅陀法律部門的公開信息,如上傳或刪除PDF文件至該官方網站。
在此頁面底部有“修改”和“刪除”鏈接,點擊這些鏈接需要填寫詳細信息登錄網站,然而這些保護步驟很容易繞開。
惡意人士可使用免費下載的軟件套件,可能會濫用此漏洞來更改法律文件的在線版本。在數字時代,政府網站上發布的法律被更廣泛的世界視為官方和具有約束力的法律,即使其主要版本往往是存儲在議會中的硬拷貝。
盡管直布羅陀政府已將受影響的網頁下線,但此事件及時提醒了系統管理員基礎的SQL安全性做法仍然像以往一樣重要。
Sharma使用開源滲透測試工具sqlmap就能夠查看為法律托管站點提供支持的所有表和數據庫信息。其中一個名為giblaws_giblaws.user的表包含工作人員的姓名、用戶名、密碼、和摘要等信息,sqlmap的內置摘要破解工具很容易在不到1秒的時間內破解了其中一個密碼。該密碼是六位數字,使用這些詳細信息登錄并使用該帳戶的權限來編輯網站的內容是一件簡單的事情。
直布羅陀政府發言人感謝Sharm發現了漏洞,并表示此事已得到解決,主要漏洞已得到緩解。但是,在接下來的幾天內,網站的這一部分將重新定位到一個全新的網站。
根據英國1990年的《計算機濫用法案》,未經他人許可在他人計算機上運行sqlmap可能構成犯罪。
天地和興工控安全研究院翻譯整理,參考來源:The Register http://dwz.date/eu3
(七)奧地利外交部電腦系統遭網絡攻擊
奧地利政府2020年1月5日表示,奧地利外交部電腦系統遭受不明來源的網絡攻擊。
奧地利外交部和內政部聯合發表聲明說,自當地時間4日23時起,奧地利外交部電腦系統遭到有針對性的網絡攻擊,至5日白天網絡攻擊仍在持續。受攻擊的主要是內部電腦系統,外交部網頁未受影響。奧地利有關方面正采取技術措施應對網絡攻擊。
聲明未透露網絡攻擊的具體方式和造成的后果。聲明說,從網絡攻擊的方式和嚴重程度看,不排除是有國家背景的行為主體發動的有針對性攻擊。
本文版權歸原作者所有,參考來源:新華網 http://dwz.date/eus
(八)英國外匯兌換公司Travelex因遭到惡意軟件攻擊暫停服務
據外媒報道,大型國際外匯兌換公司Travelex證實在12月31日遭到了惡意軟件攻擊并由此暫停了一些服務。該公司表示,為了保護數據以及阻止惡意軟件的進一步傳播,作為預防他們將對系統做下線處理。
目前,該公司的英國網站處于離線狀態,當用戶登入后會看到“服務器錯誤”的提示。該公司表示,他們正在升級過程中所以處于離線狀態。Travelex通過官方Twitter表示,員工現無法在網站上或通過應用進行交易。據稱,一些門店甚至采取手動操作的方式來處理客戶的請求。而像Tesco Bank等需要依賴Travelex的公司也因此陷入宕機狀態。
不過Travelex指出,截止到目前還沒有發現有客戶數據遭到泄露,但其并沒有就此做詳細說明或提供相關證據。這家總部位于倫敦的公司在全球經營著1500多家門店。
本文版權歸原作者所有,參考來源:cnBeta http://dwz.date/euu
(九)美國學校管理軟件供應商Active Network遭受黑客攻擊 泄露支付信息
近日,美國學校管理軟件提供商Active Network披露了嚴重的安全漏洞,在2019年10月1日至2019年11月13日期間訪問網上商店Blue Bear并支付學費或購買書籍和其他材料的父母可能已經被泄露了個人數據。
此次泄露的數據包括名稱、商店用戶名和密碼、支付卡號、支付卡到期日期、以及支付卡安全碼。該公司向加利福尼亞總檢察長辦公室報告了此問題, 并在一家領先的網絡安全公司的幫助下展開了調查。某律師事務所目前正在調查事件,試圖讓受影響的用戶參與集體訴訟。
根據Active Network公開的信息,攻擊者能夠攻陷其平臺,并植入一個軟件分離器,旨在收集用戶通過Blue Bear軟件完成的購買交易時所使用的支付卡片數據。Active Network宣布已采取措施增強其監控工具和安全控制,該公司還向用戶提供免費的身份監控服務。
Active Network是一家為該地區的K-12學校提供基于Web的學校管理軟件的公司。Blue Bear是一款云學校會計軟件,專門為該地區的K-12學校定制,以幫助管理和簡化學校的活動基金會計。
天地和興工控安全研究院翻譯整理,參考來源:Security Affairs http://dwz.date/euw
(十)美國Alomere Health醫院泄露近5萬患者信息
據外媒報道,近日,美國明尼蘇達州Alomere Health醫院被曝發生數據泄漏,該泄漏暴露了49351名患者的個人和醫療信息。據了解,事件發生的原因是由于該醫院的兩名員工的電子郵件帳戶遭到入侵。
據了解,該事件是在2019年11月6日被發現的,醫院內部IT人員發現在2019年10月31日至11月1日期間,一個未經授權的第三方訪問了醫院員工的電子郵件帳戶。但Alomere Health醫院直到2020年1月3日才開始通知受影響的患者。
該醫院對此解釋稱,由于無法在事發時及時確定是否有患者信息被包含在被入侵的電子郵件中,出于謹慎考慮,醫院檢查了帳戶中的電子郵件和附件,以確定事件的影響范圍。通過審查,最終確定了部分患者信息被包含在電子郵件帳戶中,可能會受到影響后,才開始進行通知。
據悉,暴露的數據主要包括患者姓名、地址、出生日期、病歷號、健康保險信息以及診斷和治療詳細信息。攻擊者還訪問了部分患者的社會安全號碼和駕駛執照號碼。
事后,該醫院在一家外部法證公司的幫助下展開了調查。表示將會為受影響的患者提供免費的信用監控和身份保護服務。并表示,將采取其他安全措施以防止未來事故的發生,包括對內部工作人員的培訓。
Alomere Health是位于美國明尼蘇達州亞歷山大市的一家普通醫療外科醫院,曾獲得醫療機構認證計劃(HFAP)的認可,擁有III級創傷中心,并兩次被湯森路透評為百佳醫院之一。
本文版權歸原作者所有,參考來源:E安全 http://dwz.date/eu7
(十一)美國拉斯維加斯市政府遭受網絡攻擊
據外媒報道,拉斯維加斯官員表示,該市在2020年1月7日凌晨4:30計算機系統遭受了網絡攻擊,但目前尚不清楚是否有任何敏感數據遭到破壞。該市的信息技術部門迅速反應,正在采取廣泛措施來保護系統。
該市發言人David Riggleman表示,該市正在評估是否有城市或公共數據遭到破壞,并預計會在兩天內更新詳細信息。該市每月平均面臨279,000次違反其系統的嘗試。該市每月大約會收發200萬封電子郵件,攻擊者可能是通過電子郵件破壞了該市的網絡。
天地和興工控安全研究院翻譯整理,參考來源:拉斯維加斯評論報 http://dwz.date/eu6
(十二)美國科羅拉多州Erie鎮遭受BEC詐騙匯款超100萬美元
據外媒《丹佛郵報》報道,美國科羅拉多州Eire鎮近日遭受了BEC詐騙,向一名冒充是該鎮雇傭建造伊利百匯大橋的建筑公司的人士匯款了101萬美元。
2019年12月30日,伊利鎮行政長官Malcolm Fleming發送了一封電子郵件,稱該鎮已經向某人付款,該人要求更改伊利百匯大橋上的建筑工作付款方式,但未意識到該人未在SEMA Construction工作。SEMA Construction是伊利百匯大橋的主要承包商。10月21日,一名身份不明的嫌疑人在該鎮的網站上填寫了一份電子表格,要求更改SEMA如何收取其工作付款。
Fleming在電子郵件中表示,工程款變成是通過電子轉帳而不是支票接收付款。 盡管該鎮的工作人員檢查了表格上的某些信息是否準確,但他們沒有向SEMA Construction核實所提交信息的真實性。他們接受了表格并更新了付款方式。
10月25日,該鎮為SEMA處理了兩筆付款,總金額超過101萬美元。據該鎮工作人員說,付款已發送到未經SEMA授權的帳戶。一旦付款進入該帳戶,這種欺詐行為的肇事者通常就會通過電匯將錢匯出國外。11月5日,該鎮的銀行通知該鎮工作人員潛在的欺詐行為。當Erie鎮工作人員聯系SEMA進行付款時,公司表示他們未收到付款,并確認他們不要求更改付款方式。
Fleming說,這些資金來自交通影響基金,該基金涵蓋多個項目,并且有足夠的余額來暫時彌補保險索賠之前的損失。據Erie鎮工作人員說,沒有證據表明任何該鎮工作人員從事過任何犯罪活動或有任何犯罪意圖。銀行通知該鎮后,該鎮的財務總監從網站上刪除了表格,除非經過適當驗證,否則將停止通過電子資金轉賬方式向賣方付款。
目前該鎮正在積極使用從調查中收集到的其他信息來識別潛在風險并減輕這些風險。目前已有員工因此事件引咎辭職。
天地和興工控安全研究院翻譯整理,參考來源:丹佛郵報 http://dwz.date/euz
掃二維碼用手機看

公司總部:北京市海淀區中關村軟件園8號華夏科技大廈三層
服務熱線:400-810-8981 / 010-82896289
版權所有:北京天地和興科技有限公司 京ICP備17065546號-1

掃一掃關注
天地和興微信公眾號