目 錄

　　第一章 國內關鍵信息基礎設施安全動態簡訊

　　(一)工信部：加快完善工控安全貫標工作機制 形成多級聯動支撐體系

　　(二)信軟司王建偉：夯實工控安全防護基礎，助力制造業高質量發展

　　(三)院長徐曉蘭：系統推進工業互聯網安全保障能力建設

　　第二章 海外關鍵信息基礎設施安全動態簡訊

　　(一)伊朗阿巴丹煉油廠疑似遭受網絡攻擊導致火災

　　(二)CyberX發布《 2020年全球物聯網/ ICS風險報告》

　　(三)德國制造商Pilz遭受BitPaymer勒索攻擊現仍未恢復工作

　　(四)芬蘭煉油企業Neste大規模信息系統故障

　　(五)Autoclerk數據庫泄露美國政府人員敏感數據

　　(六)DNC黑客APT29入侵歐盟多國外交機構

　　(七)聯合國，兒童基金會，紅十字會官員成為近期網絡釣魚活動的目標

　　(八)美國金融服務提供商Billtrust遭受惡意軟件攻擊后中斷

　　(九)美國高等法院系統被入侵并傳播垃圾郵件

　　第一章 國內關鍵信息基礎設施安全動態簡訊

　　(一)工信部：加快完善工控安全貫標工作機制 形成多級聯動支撐體系

　　2019年10月10日，工業控制系統信息安全防護貫標活動啟動會在南京召開?！豆I控制系統信息安全防護指南》實施三年來，在部黨組的統一部署和業界各方的共同努力下，工業控制系統信息安全初步形成了政策指導、標準支撐、產業創新的良好局面。

　　工業和信息化部作為工控安全主管部門，重點開展了三方面工作：一是持續完善政策和標準體系，陸續發布了《工業控制系統信息安全防護指南》《工業控制系統信息安全行動計劃(2018-2020年)》等政策文件，指導開展工控安全標準體系建設，通過貫徹落實相關政策標準，促使企業以較低成本實現了重大安全風險的防范。二是加快推動工控系統產業高質量發展，建成工業控制系統應用項目庫，支持產學研用聯合攻關，搭建供需對接平臺，助力產品的應用推廣，形成了一批典型行業工控安全解決方案;三是加快工控安全保障能力建設，按照《行動計劃》有關部署，已建成覆蓋8個省市、200余家企業的國家工控安全在線監測網絡，初步構建了攻防靶場、應急資源庫及工業控制系統檢測環境等基礎設施。

　　下一步，工業和信息化部將指導相關單位，一是加快完善工控安全貫標工作機制，扎實推進貫標，切實提升企業安全防護水平;二是深化產學研用協同攻關工作機制，培育產業良好發展生態;三是加快落實“一網一庫三平臺”建設要求，進一步強化綜合安全保障能力;四是充分調動地方資源，建設地方貫標隊伍，形成多級聯動的支撐體系。

　　本文版權歸原作者所有，參考來源：鳳凰新聞

　　(二)信軟司王建偉：夯實工控安全防護基礎，助力制造業高質量發展

　　制造業是立國之本、強國之基，是實體經濟的核心構成。制造業高質量發展要求以提質增效為重點，加快結構調整，推動發展方式轉變，實現新舊動能轉換。工業控制系統是制造業的神經中樞，其安全防護事關工業生產穩定運行，事關人民生命財產安全。近年來，針對工業控制系統的網絡攻擊呈現出顯著的政治、軍事和經濟意圖，工業控制系統逐漸成為網絡空間對抗的主戰場，提升我國工控安全防護水平已成為實現制造業高質量發展的重要基礎。

　　一、厘清防護基礎要素，筑牢高質量發展安全根基

　　提升工控安全防護水平，必須厘清安全防護的基礎要素，從供給側和需求側雙向出發，有的放矢地開展工控安全工作，打牢制造業高質量發展的安全基礎。

　　從供給側看工控安全防護基礎要素。一是核心技術產品的攻關。強化工業控制系統核心技術研究和關鍵產品研發能力，研制具備內生安全功能的產品，促進安全防護與業務場景有效銜接，是提升工控安全防護水平的根本途徑。二是安全服務能力的提升。建設威脅可知、風險可控的技術防控能力，構建國家、地方、企業多級協同的技術保障體系，是提升工控安全防護水平的主要手段。三是產業發展生態的建設。構建多方協作機制，匯聚產業鏈上下游優勢資源，充分釋放產業集聚的疊加和倍增效應，培育具備國際競爭力的龍頭骨干企業，是提升工控安全防護水平的重要保障。四是基礎共性標準的應用。加快關鍵技術標準、核心產品標準和重點應用標準的研制，推動標準廣泛應用，是提升工控安全防護水平的基本要求。

　　從需求側看工控安全防護基礎要素。一是安全主體責任的落實。建立與企業信息化發展戰略相匹配的安全管理制度和技術防護體系，加大安全工作的人力、資金和技術投入力度，是提升工控安全防護水平的基本前提。二是技術防護能力的建設。促進工控安全防護解決方案與企業信息化建設深度融合，構建與實際生產環境緊耦合的安全防護策略，是提升工控安全防護水平的必然要求。三是專業人才隊伍的培育。培養工業自動化和網絡安全復合型人才，加強專業技能培訓，建立人才選拔機制，是提升工控安全防護水平的核心關鍵。

　　二、落實防護指南要求，提升工控安全綜合防護水平

　　習近平總書記指出，網絡安全和信息化是相輔相成的，安全是發展的前提，發展是安全的保障，安全和發展要同步推進。為應對制造業發展中面臨的網絡安全風險，規范企業安全管理制度和技術防護體系建設，進一步夯實工控安全防護基礎，2016年10月17日，工業和信息化部正式印發了《工業控制系統信息安全防護指南》(以下簡稱《指南》)?！吨改稀穲猿制髽I的主體責任及政府的監管、服務職責，聚焦系統防護、安全管理等安全保障重點，提出了11項具體防護要求，為企業開展安全防護提供了根本依據?！吨改稀酚“l后，受到社會各界的高度關注，地方工信主管部門、工業企業、網絡安全企業、工業控制系統廠商、科研機構等積極響應，在全國范圍內形成了學習貫徹《指南》、落實防護要求的良好氛圍。

　　一是增強意識，開展《指南》宣貫培訓。扎實推進《指南》落實工作，在全國范圍內分區域、分階段開展《指南》宣貫培訓，累計培訓各地工信主管部門和重點領域工業企業工控安全負責人1200余人，促進企業安全意識大幅提升。支持江蘇、浙江、四川、廣東等8個省市開展技術專題培訓，幫助各地建立工控安全專業技術隊伍。

　　二是抓好落實，貫徹《指南》防護要求。引導產學研用依據《指南》防護要點，開展聯合攻關和集成應用，研發具備安全功能的工業控制系統產品，促進內生安全水平提升。在冶金、石化、電力等重點行業，形成了一批安全解決方案。落實企業主體責任，以較低成本實現防護能力躍升，消減了自身面臨的主要安全風險。

　　三是提升能力，建設技術支撐服務體系。加強工控安全技術保障能力建設，圍繞落實《指南》要求，初步形成了產品檢測、態勢監測、風險處置和事件響應能力。加快工控安全標準體系建設，推動《指南》配套國家標準、行業標準、團體標準制修訂，增強標準供給能力，近三年，推動發布工控安全國家標準13項。

　　《指南》發布以來，在工業和信息化部指導下，產學研用各方圍繞落實《指南》開展了一系列工作，加快推動工控安全防護從理論研究進入概念普及和實踐階段，初步形成了政策指導、標準支撐、技術創新、產業協同的良好工作局面，工控安全綜合防護水平顯著提升，為守好制造業高質量發展的安全大門奠定了堅實基礎。

　　三、加強政策標準引領，護航高質量發展邁上新臺階

　　目前通過落實《指南》，我國工控安全工作取得了階段性成效，但同時也面臨著不少困難和挑戰。例如，部分企業落實工控安全防護主體責任還不到位;地方主管部門仍然缺乏有效的管理手段和支撐力量;科研機構尚未建立完善的技術支撐服務能力等。面對新形勢、新問題，我們必須以習近平新時代中國特色社會主義思想為指導，牢固樹立總體國家安全觀，堅持安全和發展同步推進，以工控安全防護貫標為突破口，充分發揮《指南》及配套標準的規范和引領作用，推動安全防護步入實踐深耕的新階段，助力制造業邁入高質量發展的快車道。

　　第一，貫標推進機構要組織技術力量加快重點標準研制發布，扎實推進重點地區貫標培訓深度行活動，進而在全國范圍推動貫標工作。搭建公共服務平臺，為企業提供自對標、自診斷服務，逐步形成貫標長效推進機制。

　　第二，地方工信主管部門要以貫標為工作抓手，充分調動區域內優勢資源，建設地方貫標支撐隊伍，引導工業企業積極參與貫標、實施貫標，扎實推進《指南》和配套標準落地落實。

　　第三，工業企業要切實落實安全防護的主體責任，積極參與貫標工作，將工控安全貫標納入企業信息化發展戰略，建立更加有效的安全管理制度和技術防護體系，探索形成安全防護樣板工程。

　　第四，工業控制系統廠商和工控安全廠商要增強協同攻關和集成應用，研發具備安全功能的工業控制系統產品，配合貫標形成可操作、可復制的成套解決方案，助力工業企業提升安全防護水平。

　　本文版權歸原作者所有，參考來源：中國電子報

　　(三)院長徐曉蘭：系統推進工業互聯網安全保障能力建設

　　近年來，世界主要發達國家圍繞工業互聯網核心標準、技術、平臺等加快布局，搶占新一輪工業革命制高點，加快塑造全球產業競爭力。國務院《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》(以下簡稱《指導意見》)發布實施以來，我國工業互聯網加速創新發展態勢明顯。

　　然而，全球工業互聯網安全威脅日益嚴峻復雜，國家級工業互聯網安全事件時有發生，工廠內外部安全威脅相互交織，國家安全和利益面臨更深層次挑戰。安全是工業互聯網健康發展的前提和保障。把握工業互聯網的歷史性發展機遇，系統推進安全保障能力建設至關重要。

　　此次，工業和信息化部、教育部、人力資源和社會保障部、生態環境部、衛生健康委、應急管理部、國務院國資委、國家市場監管總局、國家能源局、國防科工局十部門聯合出臺實施《加強工業互聯網安全工作的指導意見》(以下簡稱《安全指導意見》)，系統推進工業互聯網安全制度、技術、產業體系建設，協同推動安全保障能力和服務水平提升，是促進工業互聯網高質量發展，護航制造強國和網絡強國建設的戰略之舉。

　　準確把握文件內涵，深刻認識對工業互聯網安全的重大意義

　　立足當前形勢，謀劃長遠發展?！栋踩笇б庖姟飞钊胴瀼亍吨笇б庖姟肪裰髦?，緊抓當前工業互聯網安全監管難點、行業防護痛點，構建了較為完備的安全監管體系，是我國工業互聯網安全頂層設計文件，具有重要的理論和實踐意義，為當前和今后一個時期工業互聯網安全發展指明了方向。

　　一是指導和規范工業互聯安全工作的政策綱領。

　　工業互聯網安全工作涉及多部門、多行業、多領域，需要立足全局，統籌聯動，形成合力?！栋踩笇б庖姟飞钊胴瀼亓暯娇倳浛傮w國家安全觀，嚴格落實《網絡安全法》等法律法規，高度凝聚十部門共識，形成了工信部統籌推進、地方分級管理、部門協同聯動的安全監管格局，構建了較為完善的安全監管體系，為規范和指導我國工業互聯網安全工作，提供了頂層的政策綱領。

　　二是拓展強化工業互聯網安全能力建設的行動指南。

　　工業互聯網安全能力建設是一項復雜的系統工程，需要突出重點、分類施策、協同推進?！栋踩笇б庖姟妨⒆銍H國內工業互聯網安全發展新形勢和技術業務發展新趨勢，圍繞制度機制、技術手段、產業發展明確了總體目標，提出要結合各地實際、突出重點、分步推進，集中力量指導、監管重要行業、重點企業，鼓勵重點領域技術突破等系列原則，構建了可落地、可實施的行動舉措，為加快和強化工業互聯網安全能力建設提供了科學的行動指南。

　　三是加速構建工業互聯網安全生態的重要驅動。

　　我國工業互聯網安全技術和產業基礎薄弱，生態體系建立需要政產學研用協同共建?！栋踩笇б庖姟诽岢鱿盗斜Ｕ洗胧?，堅持匯聚整合政產學研用多方力量，加大政府支持力度，鼓勵企業技術創新和安全應用，深化產教融合、校企合作，充分調動科研機構和社會力量，為加速構建工業互聯網安全生態提供了重要驅動,為工業互聯網安全健康生態提供了基礎保障。

　　牢牢抓住根本任務，系統推進工業互聯網安全保障體系建設

　　堅持整體布局，統籌能力提升。工業互聯網開放、互聯、跨界、融合的特點，為網絡安全管理和防護帶來新的挑戰。

　　《安全指導意見》圍繞設備、控制、網絡、平臺、應用和數據安全，以“制度機制、技術手段、產業發展”為核心，進一步明確了七大任務、十七項重點工程，細化了各項工作措施，建立了系統化的工業互聯網安全保障體系。

　　一是突出安全責任和管理體系建設。

　　《安全指導意見》明確了企業安全主體責任和政府安全監管責任，特別是進一步明確了地方工業和信息化主管部門、通信管理局各自監管職責范圍，構建了明晰的工業互聯網安全責任體系。圍繞“管理制度、管理機制、標準體系”，提出健全安全監督檢查、風險評估、數據保護、信息共享和通報、應急處置等管理制度，建立行業企業分級分類管理機制，為工業互聯網安全健康發展提供了制度保障。

　　二是突出提高安全整體防護能力。

　　《安全指導意見》圍繞“設備、控制、網絡、平臺、應用”提出了系列保障措施，明確企業在平臺上線前開展安全評估，完善工業APP應用前安全檢測機制，特別強調提升設備和控制系統的本質安全。同時，將數據安全放在更加突出重要位置，提出“分級分類、安全防護、跨境評估監測、泄露響應”等舉措，提升工業互聯網全流程環節、全生命周期、全產業鏈的數據安全水平。

　　三是突出強化技術保障和服務能力。

　　《安全指導意見》堅持技術保障和安全服務能力并舉，按照“上下聯動、政企協同、合作共享”的思路，提出建設國家、省、企業三級協同的工業互聯網安全技術保障平臺。著重加強工業協議、安全漏洞等安全資源庫儲備，推動安全評估、測試認證、試驗驗證等安全公共服務，逐步構建起強有力的技術保障體系和公共服務能力。

　　四是突出提升安全技術和產業支撐能力。

　　《安全指導意見》按照“技術創新、協同合作、重點突破、試點示范”路線，提出加強網絡安全攻擊防護、漏洞挖掘、態勢感知、追蹤溯源等核心技術研發，打造產學研用協同創新平臺，在汽車、電子信息、航空航天、能源等重點領域開展試點示范，加大對技術研發和成果轉化的支持力度，為工業互聯網持續健康發展提供堅實的技術和產業支撐。

　　緊扣重點工作落實，全力護航制造強國和網絡強國戰略實施不忘發展初心，肩負安全使命。

　　工業互聯網安全需要各方共同努力，國家頂層部署、地方大力推進、企業積極響應、多方協同聯動，不斷夯實工業互聯網安全基石。

　　我院作為國家級工業互聯網研究機構，肩負工業互聯網安全職責使命，將同各界一道認真落實好《安全指導意見》，全力護航制造強國和網絡強國戰略實施。結合工業互聯網安全工作實際，提出以下建議：

　　一是工業互聯網數據安全是核心。

　　數字化網絡化智能化是第四次工業革命之基石，是工業互聯網創新發展之關鍵。工業互聯網承載著數以億計設備、系統、工藝參數、企業核心業務和經濟運行數據。

　　數據是工業互聯網核心生產要素，也是工業互聯網發展之血液，其安全關乎企業運營安全、行業發展安全和國家經濟安全。要加快完善數據安全管理制度，研究制定工業互聯網數據安全防護指南和配套標準規范，提升行業整體數據安全能力。

　　建設國家工業互聯網大數據中心，搭建國家級工業互聯網數據安全監測平臺，形成數據安全監測、跨境評估、應急響應等監管支撐和服務能力，有效維護我國工業互聯網核心數據安全。

　　二是工業互聯網資產安全是關鍵。

　　工業互聯網通過人、機、物的全面互聯，全要素、全產業鏈、全價值鏈的全面鏈接，推動形成全新的工業生產制造和服務體系。

　　工業互聯網連接了海量設備、系統、平臺、應用，工業互聯網資產是工業互聯網發展之骨骼，其安全關乎企業生產安全、人民生命財產安全和國家基礎設施安全。

　　要加快完善設備、系統、平臺、應用安全防護標準，完善監督檢查、安全評估、檢測認證等機制，提升整體安全防護能力。搭建國家級工業互聯網重要資源測繪平臺，全面掌握我國工業互聯網資產和安全狀況，形成資產安全評估、威脅監測、損害評估等監管支撐和服務能力，有效維護我國工業互聯網重要資產安全。

　　三是工業互聯網安全公共服務是支撐。

　　工業互聯網安全需要充分調用各級各類資源，需要以大量公共服務為支撐。當前，我國工業互聯網安全公共服務支撐能力尚顯不足，特別是檢測認證、評估評價等具有較強外溢和拉動作用、公共性質相對突出。

　　要重點依托科研院所、行業組織，聯合具備第三方權威資質機構，加快構建我國工業互聯網漏洞庫、惡意代碼庫等安全基礎資源庫，建設國家工業互聯網安全測試中心，形成安全檢測、評估認證、應急處置等安全公共服務能力，為我國工業互聯網安全健康發展提供公共服務支撐。

　　四是工業互聯網安全人才培養是保障。

　　人是安全的核心,工業互聯網安全保障體系的建設離不開大量的專業網絡安全人員，工業互聯網安全產業的發展更離不開高水平、高素質的網絡安全從業人員。

　　目前我國從事工業互聯網安全的人才普遍短缺，特別是IT與OT融合性安全人才嚴重不足。要建立健全工業互聯網安全人才教育體系，支持企事業單位聯合高校建設國家工業互聯網培訓中心，共同培養實戰能力強的多層次安全人才，為我國工業互聯網安全提供有力的人才保障。

　　新時代下，我國工業互聯網創新發展進入快車道，前景廣闊、機遇可期。要牢固樹立總體國家安全觀和正確的網絡安全觀，以《安全指導意見》為指引，堅持安全與發展同步、技術與管理并重、規范和引導并舉，凝聚政產學研用各方力量，奮力譜寫工業互聯網安全工作新篇章，筑牢工業互聯網安全發展基石，全力護航制造強國和網絡強國戰略實施。

　　本文版權歸原作者所有，參考來源：人民網

　　第二章 海外關鍵信息基礎設施安全動態簡訊

　　(一)伊朗阿巴丹煉油廠疑似遭受網絡攻擊導致火災

　　10月20日，國際知名刊物作者Babak Taghvaee在Twitter上附帶視頻發布伊朗阿巴丹煉油廠起火消息;值得注意的是，作者稱火災是由確認的網絡攻擊所為。很巧的是，就在前幾日的10月16日，路透社援引美國兩名官員話稱“美在對伊朗發起秘密網絡攻擊行動，以還擊9月14日沙特石油被襲之恨”。

　　10月20日，伊朗西南部煉油廠火焰沖天。其國有媒體塔斯尼姆通訊社(Tasnim News Agency)發文報道：周日，在伊朗#Abadan煉油廠的一條運河上發生了一起大火。官方廣播公司IRIB說：“該煉油廠的消防部門控制了大火，并阻止了火勢蔓延到其他單位?！?/p>

　　阿巴丹煉油廠(Abadan Refinary)位于阿巴丹附近的海岸波斯灣，于1912年完工，是世界上最大的煉油廠之一，也一直是其他國家的重點投資對象。

　　然而，鑒于社交媒體人視頻捕捉大火的程度，尤其是考慮到它發生在當前海灣地區，油輪、煉油廠局勢如此緊張之下(9月14日沙特阿拉伯石油公司的兩處重要石油設施遭遇無人機襲擊)，所以，伊朗阿巴丹這場“莫名”大火，引發社交媒體廣泛關注。

　　當天，國際知名刊物作者babak taghvaee就在Twitte上發文稱：現在證實，一次網絡攻擊導致伊朗西南部阿巴丹煉油廠失火?？赡苁轻槍σ了固m革命衛隊公司于2019年9月14日對沙特阿拉伯國家石油公司的石油設施進行巡航導彈攻擊的網絡攻擊。該文引發了眾多人士互動討論?；蛟S，此言論并非空穴來風。畢竟在10月16日，路透社曾援引兩名美國官員的話爆料：在9月14日對沙特阿拉伯石油設施的襲擊之后，美國對伊朗進行了秘密網絡攻擊。

　　由此可見，伊朗官方消息似乎是已經低估了阿布丹大火的輕描淡寫。在這么多“前車之鑒”面前，此次阿巴丹大火真是“復仇”沙特石油被襲的結果嗎?是否如社交媒體所言是潛在的網絡攻擊引起的火災呢?

　　擁有世界上重要的石油、天然氣資源，以及重要的地理位置，海灣地區一直是兵家必爭之地。某些國家在品嘗到網絡戰能不費一兵一卒就能取得重大的“戰爭”勝利果實后，愈發以“各種物理事件為由”對敵對國家頻繁發動網絡攻擊：今年6月20日，美國無人機被伊朗擊落后，在特朗普總統授權下，美國網絡部隊就曾對伊朗多個軍事、情報機構展開帶有破壞目的性的網絡攻擊。8月《紐約時報》援引美國一位高級官員的話，對上述事件給與了“肯定回復”，報道稱：今年6月，美網軍就對伊朗發動了網絡攻擊，摧毀了伊朗革命衛隊使用的一個關鍵數據庫。該目標數據庫對伊軍方至關重要，它關乎伊朗能否精準有效地對波斯灣地區航行的船只發動攻擊。

　　本文版權歸原作者所有，參考來源：國際安全智庫

　　(二)CyberX發布《 2020年全球物聯網/ ICS風險報告》

　　據外媒報道，近日工業網絡安全公司CyberX發布了《2020年全球物聯網/ICS風險報告》(2020 Global IoT/ICS Risk Report)。該報告分析了2018年10月至2019年10月之間，CyberX從全球1800多個網絡站點中被動收集的數據。

　　在所有分析案例中，有62%的站點運行著過時、不受支持版本的Windows系統，如Windows XP和Windows 2000。若把Windows 7也包括在內(該版本將于2020年1月終止支持)，該比例將增至71%。

　　使用這些版本的Windows系統會帶來嚴重安全風險：攻擊者可從公開渠道獲取這些系統的漏洞詳細信息、PoC漏洞利用程序。此外，即使微軟為這些系統發布了相關更新，組織機構在進行更新時也會遇到障礙。

　　數據顯示，22%的站點曾出現過可疑活動，另有64%站點的設備密碼未被加密。與去年相比，被遠程訪問、或暴露于公共網絡的站點設備所占比例顯著降低，但運行過時系統、未啟用安全軟件自動更新的站點設備比例有所增加。

　　CyberX注意到，與其他部門相比，石油、天然氣及能源公共事業部門的設備顯得更加安全?？紤]到天然氣和能源公用事業是受管制較多的行業，這種情況不足為奇。

　　本文版權歸原作者所有，參考來源：E安全

　　(三)德國制造商Pilz遭受BitPaymer勒索攻擊現仍未恢復工作

　　近日，全球最大的自動化工具生產商之一，德國公司Pilz在其官網網站上發布公告，表示自2019年10月13日以來，公司的所有服務器和PC工作站(包括通信網絡)都已在全球范圍內受到影響。該網站目前僅部分運作。作為預防措施，該公司已從網絡中刪除了所有計算機系統，并阻止了對公司網絡的訪問。

　　該公司在76個國家/地區的所有地點均受到影響，并且與主要網絡斷開連接，無法提交訂單和檢查客戶狀態。該公司已向公共檢察官辦公室報告了此事件，并通知了聯邦信息技術安全辦公室。Pilz還成立了危機小組，以管理事件響應活動并在最短時間內從中斷中恢復。

　　Pilz員工花了三天時間才能恢復對其電子郵件服務的訪問權限，而又花了三天時間才能恢復其國際位置的電子郵件服務。直到今天才恢復對產品訂單和交貨系統的訪問。

　　FoxIT的首席情報分析師分析了BitPaymer樣本后，認為該樣本包含贖金記錄，其中包含針對Pilz的聯系詳細信息，并針對該公司的網絡進行了定制。BitPaymer最早出現在2017年夏天，但BitPaymer并不是常見的勒索軟件，它僅攻擊高價值的目標以希望獲取大筆贖金，而不是勒索家庭消費者獲取微薄的利潤。在過去兩年中，BitPaymer僅通過Dridex僵尸網絡進行分發。Dridex組織發送垃圾郵件，用Dridex特洛伊木馬感染用戶，編制受害者列表，然后在大型公司的網絡上部署BitPaymer，以期在加密文件后提取巨額贖金。

　　天地和興安全研究院翻譯整理，參考來源：ZDNet

　　(四)芬蘭煉油企業Neste大規模信息系統故障

　　芬蘭煉油廠Neste10月14日表示，該公司遭受了“廣泛的信息系統故障”，這影響了該公司的正常生產運營。在10月15日的后續調查中，Neste指出是芬蘭服務提供商的數據中心出現硬件故障。目前該公司尚未對事件的確切細節發表評論。

　　在10月15日的后續調查中，Neste指出芬蘭服務提供商的數據中心出現硬件故障。后續調查減輕了人們對Neste可能遭受某種網絡事件的擔憂。

　　總部位于芬蘭埃斯波的Neste是全球最大的以廢料和殘渣精制的可再生柴油生產商。該公司生產、提煉和銷售石油產品，并提供工程服務以及許可生產技術。Neste在14個國家/地區開展業務，擁有5,000多名員工。

　　在10月14日有關IT系統故障的聲明中，Neste表示，這種情況影響了Neste芬蘭和波羅的海的加工，儲罐和碼頭區域，并導致產品分銷的延遲。該故障正在調查中。我們正在與我們的服務提供商一起調查這種情況。

　　天地和興安全研究院翻譯整理，參考來源：MSSP Alert

　　(五)Autoclerk數據庫泄露美國政府人員敏感數據

　　2019年10月21日，vpnMentor的研究人員發現了Autoclerk數據庫中的一個漏洞，該數據庫是Best Western Hotels and Resorts Group擁有的預訂管理系統。該泄漏暴露了用戶和酒店客人的敏感個人數據，以及他們的酒店和旅行預訂的完整概述。它影響了全球1000萬人，每天都會添加數百萬條新記錄。 這次泄漏最嚴重的受害者是美國政府、軍方和國土安全部(DHS)。這些數據暴露了政府和軍事人員的個人詳細信息，以及他們過去和將來前往世界各地的旅行安排。

　　該數據庫由美國的Amazon Web Servers托管，包含超過179GB的數據。暴露的許多數據來自外部旅行和接待平臺，這些平臺使用數據庫所有者的平臺進行交互。 受影響的客戶平臺包括旅游業和酒店業內的財產管理系統(PMS)、預訂引擎以及數據服務。

　　盡管這些平臺主要位于美國，但泄漏事件使世界各地的用戶暴露無遺。vpnMentor團隊查看了許多未加密的登錄憑據，以訪問數據庫外部其他系統上的帳戶，例如單獨的PMS平臺，訪客評分和評論系統等。由于這次泄漏中暴露的平臺集中在旅行和款待上，因此數據庫包含了十萬個針對來賓和旅行者的預訂。這意味著使用受影響平臺的住宿中客人的個人詳細信息也已暴露。 公開預訂的人的信息包括：姓名、出生日期、家庭地址、電話號碼、旅行日期和費用、屏蔽的信用卡詳細信息。

　　天地和興安全研究院翻譯整理，參考來源：vpnMentor

　　(六)DNC黑客APT29入侵歐盟多國外交機構

　　繼2016年入侵民主黨全國委員會(DNC)的網絡和服務器之后，與俄羅斯有聯系的間諜組織Cozy Bear(也稱為APT29和Dukes)一直致力于避免安全公司的關注，但近期仿佛經過冬眠之后，該組織再次活躍起來了。

　　根據安全公司ESET今天發布的報告，APT29近期恢復并重建了大部分工具，并正在使用加密通信方式(例如在圖像中隱藏信息和命令，隱寫技術)，來規避安全公司檢測。不完全分析，該組織已經入侵了三個歐洲國家的外交部以及一個歐盟成員國的美國使館。

　　惡意軟件研究人員Matthieu Faou說：“即使該組織幾年來都規避了公眾審查，但他們實際上還是非常積極地入侵了高價值目標，并開發了新工具?！?“從2008年(或2009年)開始，它們已經運行了大約10年，幾乎一直活躍?！?/p>

　　隨著美國開始新的選舉周期臨近，網絡攻擊的跡象已引起越來越多的關注。除政府外，該組織還針對與北約，智庫和政黨有聯系的各種組織發起了攻擊。這表明，APT組織對收集信息有濃厚的興趣，以便更好地了解未來的國際政治走向，這對政府來說似乎十分重要。

　　ESET報告并不是將攻擊歸因于該組織的唯一機構。 2018年，FireEye曾將來針對美國國務院的網絡釣魚攻擊與APT29關聯起來，這些攻擊企圖破壞政府，國防，醫藥和運輸部門的系統。據分析，攻擊者使用了的工具和技術，與“APT29”組織有著深層的“基因”聯系，且這一波次攻擊中APT組織開始啟用了一些特殊加密通道，或新的公開渠道。例如：使用Twitter，Imgur和Reddit作為在受到入侵后立即向系統發出命令的主要方式。 Cozy Bear使用算法生成器生成新的Twitter句柄，受感染的機器將從中獲取加密的URL。

　　該組織還使用OneDrive等公共云服務，將通信隱藏在合法服務中。同時，該APT組織還常會將數據隱藏在圖像內部，這很難檢測。隱寫技術的實施非常復雜，并不常見，很難檢測，因為即使在更改圖像以包含命令或有效載荷之后，僅查看網絡流量，很難檢測到可疑攻擊行為正在進行。

　　此外，該組織在其當前活動中正在使用三個新的惡意軟件家族，這些組織被ESET稱為PolyglotDuke，RegDuke和FatDuke。ESET還發現了第四個惡意軟件樣本LiteDuke，該樣本用于以前未曾描述的較早的活動中。

　　PolyglotDuke使用Twitter和其他網站獲取命令和控制服務器的地址。RegDuke通過隱藏在注冊表中并使用Dropbox重建與攻擊者控制的服務器的連接來建立持久性。FatDuke是安裝在MiniDuke后門之后的客戶端，具有很多功能，并且使用混淆處理使其代碼，使得難以解密分析。MiniDuke后門，可在初始感染后安裝該后門，并允許攻擊者向受感染的系統發出命令。

　　該APT組織還廣泛使用憑據在整個網絡中“漫游”，從而在受害者響應事件的同時損害其他系統，并重新感染系統。ESET報告中稱：“在應對Dukes時，確保在短時間內移除所有植入物非常重要?！?“否則，攻擊者將使用剩下的任何植入物再次危害清潔的系統?！?/p>

　　本文版權歸原作者所有，參考來源：malwarebenchmark

　　(七)聯合國，兒童基金會，紅十字會官員成為近期網絡釣魚活動的目標

　　近日，網絡安全公司Lookout發現在過去的幾個月中，遍布全球的魚叉式網絡釣魚運動襲擊了許多人權組織，一些受害者包括紅十字會，聯合國兒童基金會以及聯合國世界糧食計劃署和聯合國開發計劃署。

　　這些站點以及它們背后的服務器基礎架構一直持續到今年3月。有些站點已經運行了很長時間，沒有被檢測到，并且報告說用于通過HTTPS為它們提供服務的SSL證書有時間到期。

　　Lookout 上周在一份報告中指出，他們發現所有的網絡釣魚網站都沒有包含在Google Safe Browsing中。Google Safe Browsing是一個不良網站的數據庫，瀏覽器瀏覽這些鏈接就會像用戶警報。這就意味著用戶在瀏覽這些網站時就不會收到警報。

　　Lookout表示，他們已與執法部門和目標組織聯系，以警告他們遭到襲擊。目前尚不清楚是誰發動了襲擊。范圍從民族國家的黑客組織到常規的網絡犯罪組織。聯合國發言人說，成員經常會收到反網絡釣魚材料和警報，建議啟用多因素身份驗證。攻擊的動機是破壞Okta和Microsoft的憑據以獲取對這些帳戶的訪問權限，這些帳戶可用于進一步的攻擊或情報收集。

　　Lookout認為這次的網絡釣魚頁面與絕大多數網絡釣魚活動不同。這些頁面適合移動設備使用，這意味著它們也可以在平板電腦和智能手機等小屏幕設備上加載并正常顯示。其次，網上誘騙頁面還包含用于在實時輸入密碼時記錄密碼的代碼，而不僅是在用戶提交登錄表單時。這種技術是一種巧妙的技術，在大多數網絡釣魚站點中很少見，因為它使攻擊者即使后來發現網絡釣魚頁面并放棄站點而無需提交登錄憑據，也可以獲取用戶的數據。Lookout說，托管網絡釣魚站點的服務器今天仍在活動。

　　天地和興安全研究院翻譯整理，參考來源：ZDNet

　　(八)美國金融服務提供商Billtrust遭受惡意軟件攻擊后中斷

　　2019年10月17日，美國金融服務提供商Billtrust的某些計算系統遭受惡意軟件攻擊后中斷，影響了其所有服務。雖然Billtrust并未公開發布受到攻擊，但其客戶之一Wittichen Supply Company發布了服務中斷通知，稱其客戶發票和在線賬單支付供應商通知他們其受到惡意軟件攻擊。

　　Wittichen Supply Company于昨天晚些時候收到通知，其客戶發票和在線賬單支付第三方供應商BillTrust是惡意軟件攻擊的對象。BillTrust正在與聯邦執法和網絡安全公司合作，調查和補救該攻擊。當前，所有BillTrust服務都已關閉，這影響了Wittichen Supply Company提供發票和展示在線支付功能。BillTrust還告訴Wittichen Supply Company，該攻擊沒有損害其客戶的任何數據，并且由于涉及的數據量大，該公司正在按計劃的時間表恢復服務。Billtrust還通知Wittichen Supply Company，他們已在大多數系統上部署了取證軟件，作為對該事件進行調查的一部分。 該公司還向客戶保證，他們的數據將定期備份，以為此類事件做準備，并且在恢復其余受影響的服務方面正在取得進展。

　　隨后在10月21日CST上午9:00在Wittichen Supply Company網站上發布的更新中表示，Billtrust系統繼續恢復在線狀態，該公司正在努力彌補中斷中丟失的數據。另外，自此更新以來，用戶可訪問其在線中支付功能BillPay以查看10/16/2019之前的發票和帳戶付款并在線進行付款。該公司盡快上傳將17日至20日的發票和付款上傳到BillTrust。

　　盡管該公司尚未指出網絡攻擊的類型，但熟悉此事的消息人士告訴他推斷該公司受到的是BitPaymer勒索軟件。

　　天地和興安全研究院翻譯整理，參考來源：Bleeping Computer

　　(九)美國高等法院系統被入侵并傳播垃圾郵件

　　近日，美國得克薩斯州一名男子因入侵洛杉磯高等法院(LASC)計算機系統并使用其服務器傳送約200萬個垃圾郵件而被判入獄145個月。33歲的Oriyomi Sadiq Aloba被裁定犯有一項串謀實施電匯欺詐罪，15起電匯欺詐罪，一項未遂電匯欺詐罪，一項對受保護計算機的未經授權損害，五項未經授權的訪問罪進入受保護的計算機以獲取信息，并進行四次嚴重的身份盜竊。

　　在2019年7月26日被裁定犯有上述指控后，他面臨聯邦監獄最高350年的法定最高刑期，但在今天的宣判聽證會上，法官判處他大約12年徒刑。除了必須在聯邦監獄度過的12年以上時間外，該男子還受到美國地方法院法官加里·克勞斯納(R. Gary Klausner)的命令，要賠償47,479美元。

　　在網絡釣魚攻擊之后，Aloba設法滲透到法院的計算機，該攻擊導致LASC員工的一個電子郵件帳戶在2017年7月遭到入侵。此帳戶后來被用于針對數千名其他LASC員工帳戶的魚叉式網絡釣魚攻擊。Aloba向他們發送了包含偽造的Dropbox通知的網絡釣魚電子郵件，要求他們向公司發送用戶憑據。這使Aloba可以收集數百名高等法院雇員的電子郵件地址和密碼。

　　根據2018年2月的最初起訴書，他使用這些憑據登錄到LASC服務器， 并向他自己發送了測試電子郵件以測試安全功能并確保他具有對帳戶的完全訪問權限。隨后，阿羅巴(Aloba)使用受損的電子郵件帳戶發送了超過200萬個網絡釣魚電子郵件，冒充美國運通(American Express)和富國銀行(Wells Fargo)等公司。

　　司法部認為，欺詐性電子郵件中的超鏈接導致受害者進入一個網頁，該網頁要求他們提供銀行登錄憑證，個人身份信息和信用卡信息。虛假的美國運通網站的鏈接使用的源代碼指定了Aloba的電子郵件帳戶作為受害者輸入虛假網站的信息的傳遞地址。

　　天地和興安全研究院翻譯整理，參考來源：Bleeping Computer