目 錄

　　第一章 國內關鍵信息基礎設施安全動態簡訊

　　(一)首都網警發布預警通報：OPENSSL加密組件存在重大風險隱患

　　(二)12月1日等保2.0正式實施

　　第二章 國外關鍵信息基礎設施安全動態簡訊

　　(一)西門子提供了新發現的PLC漏洞的解決方法

　　(二)IBM發現伊朗黑客開發的新型惡意軟件ZeroCleare針對工業領域

　　(三)英國一座核電廠遭到網絡攻擊

　　(四)Tenable收購OT領導者Indegy

　　(五)韓國黑客組織盜取74億條個人信息

　　(六)美國主要數據中心供應商CyrusOne遭受勒索軟件攻擊

　　(七)美國健康醫療中心遭到勒索軟件攻擊

　　(八)美商用短信服務商TrueDialog數據泄露 涉數千萬條短信

　　(九)北約舉行大規模網絡軍演

　　第一章 國內關鍵信息基礎設施安全動態簡訊

　　(一)首都網警發布預警通報：OPENSSL加密組件存在重大風險隱患

　　2019年11月30日，首都網警發布網絡安全預警通報稱，據國家網絡與信息安全信息通報中心監測發現，互聯網SSL協議實現組件OPENSSL部分版本存在重大安全隱患，可能導致信息泄露等風險。

　　以下為首都網警《關于OPENSSL加密組件存在重大風險隱患的預警通報》全文：

　　據國家網絡與信息安全信息通報中心監測發現，互聯網SSL協議實現組件OPENSSL部分版本存在重大安全隱患，可能導致信息泄露等風險。SSL(Secure Socket Layer)協議是一種為網絡通信提供安全以及數據完整性的安全協議，該協議在傳輸層對網絡進行加密。OPENSSL是實現SSL協議的一款開源軟件，其提供了多種密碼算法、常用密鑰以及數字證書封裝管理等功能。

　　一、基本情況

　　此次事件發現：一是眾多RSA數字證書密鑰存在被破解的可能性，二是部分低版本的OPENSSL組件存在內存泄露漏洞。

　　二、影響范圍

　　以上問題涉及電信、金融、能源、醫療等多個重要行業部門，以及部分高校、企業郵件系統和多款網絡設備。在通信數據被截獲的情況下，攻擊者可利用上述漏洞獲取用戶賬號口令、業務系統數據、郵件內容等敏感信息。

　　三、安全提示

　　針對該情況，請大家做好防范。一是將原有RSA數字證書替換為RSA2048國產數字證書。二是及時提示本部門、本行業、本轄區重點單位，排查OPENSSL組件使用情況，督促相關單位及時將OPENSSL升級至最新版本。三是加強網絡安全意識，開展隱患排查和安全加固，提高防范能力。

　　本文版權歸原作者所有，參考來源：新浪財經 http://1t.click/bwcR

　　(二)12月1日等保2.0正式實施

　　網絡安全等級保護2.0時代，將于2019年12月1日正式開始。

　　網絡安全等級保護制度是我國網絡安全領域的基本國策、基本制度，等級保護標準在1.0時代標準的基礎上，注重主動防御，從被動防御到事前、事中、事后全流程的安全可信、動態感知和全面審計，實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。

　　等級保護的概念自1994年提出后，經過20多年的發展和演進，已取得較大成功，網絡安全法未發布之前可稱為等保1.0，網絡安全法發布之后成為等保2.0，在2.0時代發生了較大變化。但萬變不離其宗，等保五個等級不變、五項工作不變、主體責任不變。等級保護“五個級別”不變;等級保護“規定動作”不變，定級、備案、建設整改、等級測評、監督檢查; 等級保護“主體職責”不變。

　　對于工業控制系統，應依據等?；疽笾械陌踩ㄓ靡蠛凸た財U展要求來對工業控制系統開展等級保護工作。工業控制系統主要包括現場采集/執行、現場控制、過程控制和生產管理等特征要素。其中，現場采集/執行、現場控制和過程控制等要素應作為一個整體對象定級，各要素不單獨定級;生產管理要素可單獨定級。對于大型工業控制系統，可以根據系統功能、責任主體、控制對象和生產廠商等因素劃分為多個定級對象。工控擴展要求保護主要包括：室外控制設備防護、工業控制系統、網絡架構安全、撥號使用控制無線使用控制、控制設備安全、漏洞和風險管理、惡意代碼防范管理等方面內容。工業控制系統安全擴展要求主要針對現場控制層和現場設備層提出特殊安全要求，其他層次使用安全通用要求條款，對工業控制系統的保護需要根據實際情況使用基本要求。

　　根據網絡安全法及等級保護相關要求，企業或單位應該按照網絡安全法要求嚴格落實等級保護制度、履行網絡安全責任、加強網絡安全防護、不斷提高網絡抗攻擊能力，因此還應定期開展網絡的等級測評、風險評估、滲透測試、安全培訓、安全運維、重要時期的安全保障、日常的應急響應和安全通報等工作。通過這些工作夯實網絡安全工作的各個層面，提高安全水平和防御能力，保障企業或單位的網絡系統穩定運行。

　　本文版權歸原作者所有，參考來源：NOSEC http://1t.click/bwcW

　　第二章 國外關鍵信息基礎設施安全動態簡訊

　　(一)西門子提供了新發現的PLC漏洞的解決方法

　　2019年11月12日，西門子發布了一份安全報告，針對近期研究人員發現的其S7-1200 PLC中發現的漏洞提出了變通辦法及緩解措施，該漏洞可用于繞過固件完整性檢查以加載惡意軟件或劫持設備的工業流程。

　　此前，德國波鴻魯爾大學的研究人員在研究引導加載程序時發現了西門子S7-1200 PLC中未記錄的基于硬件的特殊訪問功能，該引導加載程序可在設備啟動時處理軟件更新并驗證PLC固件的完整性。

　　作為一般的安全措施，西門子強烈建議使用適當的機制來保護對設備的網絡訪問。 為了在受保護的IT環境中操作設備，西門子建議根據西門子工業安全性操作準則來配置環境并遵循產品手冊中的建議?？稍趆ttps://www.siemens.com/cert/operational-guidelines-industrial-security下載西門子工業安全性操作準則。

　　天地和興安全研究院翻譯整理，參考來源：Dark Reading http://1t.click/bwdd

　　(二)IBM發現伊朗黑客開發的新型惡意軟件ZeroCleare針對工業領域

　　2019年12月4日，據外媒ZDNet報道，IBM的X-Force安全團隊發現了一款由伊朗國家支持的新型破壞性數據清除惡意軟件，并命名為ZeroCleare。該軟件針對中東能源及工業領域的企業進行了多次攻擊。

　　IBM在報告中表示，該軟件與Shamoon非常相似，Shamoon是過去十年中最危險和最具破壞性的惡意軟件品種之一。IBM懷疑該惡意軟件的背后開發者為伊朗政府支持的兩個頂級黑客組織，APT34(ITG13，Oilrig)和xHunt(Hive0081)。

　　ZeroCleare是一款經典的數據清除惡意軟件，旨在從受感染的主機中刪除盡可能多的數據。數據清除惡意軟件通常在兩種情況下使用：它要么通過刪除重要的法證證據來掩蓋入侵，要么被用來損害受害者進行正常商業活動的能力，例如Shamoon，NotPetya或Bad Rabbit等攻擊。

　　IBM在研究最近的ZeroCleare攻擊時，表示已識別出兩種版本的惡意軟件。一個是為32位系統創建的，另一個是為64位系統創建的。在這兩個版本中，IBM表示只有64位版本實際有效。研究人員說，攻擊通常始于黑客執行暴力攻擊以訪問安全性較弱的公司網絡帳戶。一旦他們獲得了公司服務器帳戶的訪問權限，便利用SharePoint漏洞安裝了諸如China Chopper和Tunna之類的Web Shell。一旦攻擊者在公司內部站穩腳跟，他們就會在網絡內部橫向傳播到盡可能多的計算機，并在此部署ZeroCleare作為感染的最后一步。一旦ZeroCleare在主機上獲得了特權提升，它就會加載EldoS RawDisk，這是用于與文件、磁盤和分區進行交互的合法工具包。然后，該惡意軟件濫用了該合法工具，以擦除MBR并損壞大量網絡設備上的磁盤分區。

　　天地和興安全研究院翻譯整理，參考來源：ZDNet http://1t.click/bwdj

　　(三)英國一座核電廠遭到網絡攻擊

　　據2019年12月2日周日電訊報和都市晨報報道，一份周末披露的報告稱英國一家核電廠遭到了網絡攻擊，目前仍然沒有恢復正常運營。

　　英國政府通信總部(Government Communication Headquarters)下屬的國家網絡安全中心(National Cyber Security Centre, NCSC )已經向該公司提供了幫助。

　　英國核退役局(Nuclear Decommissioning Authorities, NDA)通過信息自由法獲得的報告說，政府官員已經“意識到核電站是容易受到網絡攻擊的行業，國家網絡安全中心也一直在幫助其恢復運營?！蹦壳按舜喂粼斐傻膿p失還不清楚。

　　在10月份，國家網絡安全中心報告中提到，該中心在過去一年抵御了超過600起的網絡攻擊，其抵御的網絡攻擊總數已經超過1800起。

　　該組織稱“相當大一部分攻擊是持續來自敵對的國家”。

　　本文版權歸原作者所有，參考來源：中國國際貿易促進委員會駐英國代表處 http://1t.click/bwdp

　　(四)Tenable收購OT領導者Indegy

　　2019年12月02日，美國Cyber Exposure公司Tenable，Inc宣布收購Integy Ltd，收購價格為7800萬美元。Integy是工業網絡安全領域領導者，提供可視、安全、可控的OT環境。

　　收購Integy將擴大Tenable的OT專業知識及情報深度，以及其在漏洞管理、資產清單等領域中特定于OT的功能的廣度、配置管理、和威脅檢測。

　　Tenable董事長兼首席執行官Amit Yoran在一份聲明中說：“ Tenable和Indegy的結合匯集了IT漏洞管理和工業網絡安全的兩位先驅，以提供業界第一個基于風險的統一的IT和OT安全觀點?！?“這將改變游戲規則，將有助于改變安全性和最高管理層圍繞OT風險做出戰略決策的方式?！?/span>

　　Tenable和Indegy表示，它們在一個平臺上提供以下功能：基于風險的衡量;對IT和OT漏洞的統一看法;深入OT環境的智能; IT和OT漏洞評估;以及特定于OT的流程管理。

　　天地和興安全研究院翻譯整理，參考來源：CRN http://1t.click/bwds

　　(五)韓國黑客組織盜取74億條個人信息

　　2019年12月4日，據外媒報道，韓檢方搗毀一黑客團伙，該團伙將黑客程序偽裝成微軟認證程序，竊取74億條被感染電腦中的個人信息。

　　報道中指出，黑客將植入黑客代碼的軟件偽裝成微軟正品的軟件進行傳播，共竊取了74億條個人信息。這一非法黑客組織近日被檢方搗毀，八成韓國民眾的各種個人情報都被保存在該組織的數據庫里。

　　檢方表示，犯罪嫌疑人涉嫌將黑客程序偽裝成微軟認證的正品軟件，并在網上傳播，只要電腦感染黑客程序，該組織成員就能通過遠程查該臺電腦的所有信息。使用者每次輸入個人信息時，黑客程序就會進行采集，最終形成了龐大的數據庫。

　　其中還包含54億條個人信息的某中國電信詐騙團伙的電腦，也被該黑客團伙控制。以此手段采集到的個人信息達到74億條，只要搜索網站域名，就能檢索到用戶名、密碼、身份證號甚至是住址。

　　目前檢方已逮捕犯罪嫌疑人三名，并提起公訴。

　　本文版權歸原作者所有，參考來源：新浪科技 http://1t.click/bwdu

　　(六)美國主要數據中心供應商CyrusOne遭受勒索軟件攻擊

　　2019年12月4日，美國最大的數據中心提供商之一CyrusOne遭受了勒索軟件攻擊。CyrusOne目前正在與執法部門及取證公司合作，調查這種攻擊，并幫助客戶從備份中恢復丟失的數據。該公司遭受的勒索軟件類型為REvil(Sodinokibi)。

　　該勒索軟件家族在6月襲擊了幾家托管服務提供商，在8月初襲擊了德克薩斯州20多個地方政府，在8月底襲擊了400多家美國牙醫辦公室。

　　根據贖金記錄的副本，這是針對公司網絡的針對性攻擊。入口點目前未知。

　　CyrusOne尚未公開披露此事件。CyrusOne發言人無法通過電話，電子郵件或公司網站上的實時支持聊天發表評論。

　　金融和經紀公司FIA Tech今天通知客戶，其云服務中斷源自其數據中心提供商。FIA Tech并未指定數據中心提供商的名稱，但快速搜索將其識別為CyrusOne。

　　有消息人士指出，該事件并未影響CyrusOne的所有數據中心，但是恢復服務器和客戶數據將是一個漫長的過程。有人透露CyrusOne不打算支付贖金，除非有任何未來的不可預見的發展。

　　CyrusOne在歐洲，亞洲和美洲擁有45個數據中心，并擁有1,000多個客戶。CyrusOne是一家在納斯達克上市的公開交易公司。在去年的SEC文件中，該公司明確將“勒索軟件”列為其業務的風險因素。

　　天地和興安全研究院翻譯整理，參考來源：ZDNet http://1t.click/bwdy

　　(七)美國健康醫療中心遭到勒索軟件攻擊

　　2019年11月25日約晚上7:00，美國Great Plains健康醫療中心遭受勒索軟件攻擊，致使其工作人員改用筆和紙來維持工作。

　　該中心CEO Mel McNea表示，GPHealth信息系統團隊立即發現了問題，并通宵工作，以盡可能減少對當地衛生服務的影響。該中心不會以任何方式泄露患者信息，但會進行全面內部審核以進一步調查攻擊程度。

　　該勒索事件對GPHealth的運營影響非常重大。周二，GPHealth宣布由于勒索軟件攻擊而取消了許多非緊急患者的預約和程序，幸運的是手術和成像程序不受感染的影響。

　　該組織已經將該事件報告給了執法部門，目前仍不清楚感染其系統的惡意軟件的家族以及攻擊者如何發起攻擊。

　　該組織確認，2019年11月26日已經恢復了運營，但是電話線及郵箱仍然有些問題。

　　天地和興安全研究院翻譯整理，參考來源：Security Affairs http://1t.click/bwd3

　　(八)美商用短信服務商TrueDialog數據泄露 涉數千萬條短信

　　2019年12月02日，據外媒報道，安全公司vpnMentor發現了美國商用短信服務商TrueDialog泄露了千萬條短信消息，泄露的數據大多為企業發送給潛在客戶的短信。該數據庫存儲有TrueDialog客戶數年來收發的短信，由于沒有密碼，數據也沒有經過加密，任何人都可以獲得該數據庫內容。

　　TrueDialog專注于提供幾種不同的SMS程序，包括群發短信、營銷短信、緊急警報、教育短信解決方案等。 該公司目前與990多家手機運營商合作，擁有超過50億用戶。

　　除了私人短信，vpnMentor團隊發現了數以百萬計的TrueDialog用戶及客戶的帳戶用戶名、密碼、以及更多的PII數據。由于沒有適當地保護數據庫，TrueDialog損害了美國數百萬人的安全和隱私。

　　該數據庫不受在線保護，數據以純文本格式存儲，由Microsoft Azure托管，并在Oracle Marketing Cloud上運行。

　　根據研究人員的說法，該數據庫包含10億個條目，這些條目屬于1億多美國公民，該團隊分析了包含604 GB數據的存檔。

　　專家從通過TrueDialog發送的消息和平臺上托管的對話中找到了數千萬個條目。這些SMS消息中包含的敏感數據包括收件人的全名、TrueDialog帳戶持有人、TrueDialog用戶、消息的內容、電子郵件地址、收件人、用戶的電話號碼、消息的發送日期和時間、發送消息的狀態指示器(即閱讀收據，答復等)、TrueDialog帳戶詳細信息。

　　該數據庫還包括平臺日志，這些日志揭示了有關數據庫的結構和管理方式的重要細節。該數據庫還包括內部系統錯誤的日志以及暴露站點流量的許多HTTP請求和響應。

　　vpnMentor試圖向TrueDialog報告他們的發現，但他們從未收到回復。該數據庫于19/11/19被發現，專家于19/11/28向TrueDialog提交了報告，該數據庫于19/11/19受到保護。

　　天地和興安全研究院翻譯整理，參考來源：Security Affairs http://1t.click/bwd8

　　(九)北約舉行大規模網絡軍演

　　據俄羅斯衛星網12月2日報道，愛沙尼亞國防部新聞部門發布消息稱，北約大規模網絡軍演“網絡聯盟(Cyber Coalition)”于12月2日在愛沙尼亞的“國防軍事學院”基地舉行。

　　報道援引愛軍方消息稱：“定于12月2至6日舉行的‘網絡聯盟’演習由29個北約國家中的27個成員、歐盟以及包括日本、阿爾及利亞、奧地利、芬蘭、愛爾蘭和瑞典在內的6個北約伙伴國參加。參演國家將派出約700名相關人員，其中包括網絡安全專家、技術人員、軍隊、政府官員以及企業代表?！?/span>

　　演習期間，多國參演部隊將模擬貼近現實的網絡攻擊場景，通過密切互相配合，防止假想敵網絡攻擊癱瘓國家重要系統，并訓練相關人員增強網絡應對能力。

　　報道稱，愛沙尼亞于2004年成為北約成員。北約“網絡聯盟”演習已是第7次在愛沙尼亞舉行。

　　本文版權歸原作者所有，參考來源：新華網 http://1t.click/bwdB